如发现系统文件debug.exe和taskmgr.exe被病毒替换,并异常的驻留进程中
那么重新找相同系统的正常文件来替换这debug.exe和taskmgr.exe的同时,必须要一起替换系统comctl32.dll 文件。
否则也会导致重启不能进系统的。
替换后
操作前强烈要求先断网1.建议使用XDelBox删除以下文件:(Xdelbox1.7下载地址:
http://www.qispace.com.cn/read.php/1.htm 的工具19或
http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0)
使用说明:
先勾选抑制再生,
删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除(不论文件是否存在,继续操作重启删除
),电脑会重启进入DOS界面进行删除操作。
运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。c:\windows\system32\lenschk.exe
c:\windows\system32\hbsoul.dll
c:\windows\system32\i4u48u.dll
c:\windows\system32\kab12.dll
C:\WINDOWS\system32\System.exe
c:\windows\system32\comuidsg.dll
c:\windows\system32\bootvidgj.dll
c:\windows\system32\slbiopfs2.dll
c:\windows\system32\mstimewd.dll
c:\windows\system32\kbdswjr.dll
c:\windows\system32\lweurqhx.dll
c:\windows\system32\xolehlpjh.dll
c:\windows\system32\qzone.exe
c:\windows\system32\drivers\msiffei.sys
c:\windows\system32\drivers\oreans.sys
c:\windows\system32\drivers\iqcvu.sys
c:\windows\system32\drivers\hbkernel32.sys
2.删除重启后使用SREng修复下面各项: 启动项目 -- 注册表之如下项删除:
[kab12] <kab12.exe>
[HBService32] <System.exe>
[{898E02AB-9372-4a2c-9C4A-FFE1AF61097F}] <C:\WINDOWS\system32\comuidsg.dll>
[{D3112B69-A745-4805-874E-ABD480EA1299}] <C:\WINDOWS\system32\bootvidgj.dll>
[{EB9660D8-E1CD-4ff0-B4A9-00CD907F928A}] <C:\WINDOWS\system32\slbiopfs2.dll>
[{65056902-6E7B-4bd7-95BA-688DB5FA5BEB}] <C:\WINDOWS\system32\mstimewd.dll>
[{432BDC7C-DE5B-43f4-AA81-E7F8AFB0182D}] <C:\WINDOWS\system32\kbdswjr.dll>
[{71A78CD4-E470-4a18-8457-E0E0283DD507}] <C:\WINDOWS\system32\lweurqhx.dll>
[{F0930A2F-D971-4828-8209-B7DFD266ED44}] <C:\WINDOWS\system32\xolehlpjh.dll>
[comuidsg.dll] <C:\WINDOWS\system32\comuidsg.dll>
[bootvidgj.dll] <C:\WINDOWS\system32\bootvidgj.dll>
[slbiopfs2.dll] <C:\WINDOWS\system32\slbiopfs2.dll>
[mstimewd.dll] <C:\WINDOWS\system32\mstimewd.dll>
[kbdswjr.dll] <C:\WINDOWS\system32\kbdswjr.dll>
[lweurqhx.dll] <C:\WINDOWS\system32\lweurqhx.dll>
[xolehlpjh.dll] <C:\WINDOWS\system32\xolehlpjh.dll>
注意该项[AppInit_DLLs]修改:把<lensch.dll micsus.dll,HBmhly.dll,HB1000Y.dll,HBWOOOL.dll,HBXY2.dll,HBJXSJ.dll,HBSO2.dll,HBFS2.dll,HBXY3.dll,HBSHQ.dll,HBFY.dll,HBWULIN2.dll,HBW2I.dll,HBKDXY.dll,HBWORLD2.dll,HBASKTAO.dll,HBZHUXIAN.dll,HBWOW.dll,HBZERO.dll,HBBO.dll,HBCONQUER.dll,HBSOUL.dll,HBCHIBI.dll,HBDNF.dll,HBWARLORDS.dll,HBTL.dll,HBPICKCHINA.dll,HBCT.dll,HBGC.dll,HBHM.dll,HBHX2.dll,HBQQHX.dll,HBTW2.dll,HBQQSG.dll,HBQQFFO.dll,HBZT.dll,HBMIR2.dll,HBRXJH.dll,HBYY.dll,HBMXD.dll,HBSQ.dll,HBTJ.dll,HBFHZL.dll,HBWLQX.dll,HBLYFX.dll,HBR2.dll,HBCHD.dll,HBTZ.dll,HBQQXX.dll,HBWD.dll,HBZG.dll,HBPPBL.dll,HBXMJ.dll,HBJTLQ.dll,HBQJSJ.dll,kmon.dll>修改为<kmon.dll>
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[QQ空间 / QZone] <C:\WINDOWS\system32\QZone.exe>
启动项目 -- 服务-- 驱动程序之如下项禁用:
[msIffei / msIffei] <System32\Drivers\msIffei.sys>
[XPROTECTOR / XPROTECTOR] <\??\C:\WINDOWS\system32\drivers\Oreans.sys>
[iqcvu / iqcvu] <\SystemRoot\system32\drivers\iqcvu.sys>
[HBKernel32 Driver / HBKernel32] <\SystemRoot\system32\DRIVERS\HBKernel32.sys>