——————————————————————————————————————————
这里下载手工清理木马群工具包,并解压至C盘文件夹里。(全部工具内附操作说明):
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689———————————————————————
下载usp10.dll扫描清理工具。
http://bbs.ikaka.com/attachment.aspx?attachmentid=481869然后作好下面操作需要的所有准备,彻底断网处理。不断网无法解决问题。
———————————————————————
用工具包内的“XDELBOX删除文件工具”去删除病毒文件。工具包必须全部解压至C盘后应用。
如果XDELBOX工具操作中提示出错,不能操作,可以继续使用工具包内其他SmtDel工具、费尔工具、超级巡警、EasyDelete工具删除病毒文件。(全部内附操作说明图)
启动XDELBOX程序。复制粘贴下面文件操作删除:
C:\WINDOWS\fonts\CtmRes.dll
C:\WINDOWS\fonts\ctm01025.ttf
C:\WINDOWS\fonts\ctm04004.ttf
C:\WINDOWS\fonts\ctm09003.ttf
C:\WINDOWS\fonts\ctm11008.ttf
C:\WINDOWS\fonts\ctm12004.ttf
C:\WINDOWS\System32\COMRes.dll
C:\WINDOWS\fonts\CtmRes.dll
C:\WINDOWS\fonts\ComRes.dll
C:\WINDOWS\system32\ahopajbj.dll
C:\WINDOWS\system32\blnmbffp.dll
C:\WINDOWS\system32\mmbamohn.dll
C:\WINDOWS\system32\mmkmckol.dll
C:\WINDOWS\system32\ceeiklmk.dll
C:\WINDOWS\system32\kgmnkbcm.dll
C:\WINDOWS\system32\gafilkkk.dll
C:\WINDOWS\system32\dhihfidp.dll
C:\WINDOWS\system32\nbjchcbi.dll
C:\WINDOWS\system32\hohjfhhp.dll
C:\WINDOWS\system32\ncdcjejc.dll
C:\WINDOWS\system32\damldhfm.dll
C:\WINDOWS\system32\ednbgdjf.dll
C:\Program Files\Internet Explorer\PowerNeNt.Onz
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\WowInitcode.dat
C:\WINDOWS\system32\anymie360.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\333
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\822204
C:\WINDOWS\system32\pmaggmgm.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\870191
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1084148
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1170637
C:\WINDOWS\System32\Drivers\msiffei.sys
C:\WINDOWS\system32\2BD92F5E.dat
重启电脑自动运行完毕进入系统后,不论删除结果如何立即继续下面操作。
运行usp10.dll扫描清理工具扫描电脑,并继续下面操作。
———————————————————————
可以这贴里找相同系统里的ctfmon.exe文件下载:
http://bbs.ikaka.com/showtopic-8417665.aspx用工具包内的“SmtRpl替换文件工具”(有使用说明)
将C:\WINDOWS\system32\ctfmon.exe替换回正常的系统文件.
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里将<AppInit_DLLs>项目置空(就是选择“编辑”)这必须关闭杀毒软件的监控,否则改不了可能。
就是将 <AppInit_DLLs> 的“值”项编辑置空
你可以选择其中一个红色项,然后编辑时你可能看不到什么,只需要在值项里输入任意一个字母或数字即可。
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
<{AC2DC2EF-5165-40A3-8CDF-41DCA1B0901A}><C:\WINDOWS\system32\shlhook.dll> [File is missing]
<{BE1CFE3B-1E94-4560-A5A7-3F418CC374C7}><C:\WINDOWS\system32\behcfejb.dll> [File is missing]
<{6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF}><C:\Program Files\Internet Explorer\PowerNeNt.Onz> []
<{66BA6817-BB29-4DD8-B97B-1A10281B0E3B}><C:\WINDOWS\system32\mmbamohn.dll> []
<{96A00606-A4B0-4EC5-A703-C451E7A2FFF8}><C:\WINDOWS\system32\pmaggmgm.dll> []
<{047FD3A4-6457-407D-A4B5-5CC078A0F474}><C:\WINDOWS\system32\gknfdjak.dll> []
<{8B3BEDAC-01A3-43CE-8B4E-5F86557CAC87}><C:\WINDOWS\system32\objbedac.dll> []
<{3402ADFF-1F5C-4477-BD1C-234B0DC2899C}><C:\WINDOWS\system32\jkgiadff.dll> []
<{F5DA7239-621D-4EDD-A41E-59AD4C6C7982}><C:\WINDOWS\system32\fldanijp.dll> []
<{36D19AB9-E639-42E4-8FA8-674B1C06B01C}><C:\WINDOWS\system32\jmdhpabp.dll> []
<{435E5175-BB03-40D1-81F3-9B73537322A5}><C:\WINDOWS\system32\kjlelhnl.dll> []
<{FB722B83-1B18-4F94-8C41-B0827CE6F24D}><C:\WINDOWS\system32\fbniiboj.dll> []
<{12DAC51C-F59B-46ED-BCB9-A2B42A98A37F}><C:\WINDOWS\system32\hidaclhc.dll> []
<{21531C65-1C02-470F-A22C-3ED9A34BB937}><C:\WINDOWS\system32\ihljhcml.dll> []
<{7395628A-D59D-4E91-A687-5C5E8AFF5660}><C:\WINDOWS\system32\njplmioa.dll> []
<{1DF8E4F4-1EEF-454D-BA72-E57ED80BC712}><C:\WINDOWS\system32\hdfoekfk.dll> []
<BE1CFE3B><C:\WINDOWS\system32\behcfejb.dll> [File is missing]
<66BA6817><C:\WINDOWS\system32\mmbamohn.dll> []
<96A00606><C:\WINDOWS\system32\pmaggmgm.dll> []
<047FD3A4><C:\WINDOWS\system32\gknfdjak.dll> []
<8B3BEDAC><C:\WINDOWS\system32\objbedac.dll> []
<3402ADFF><C:\WINDOWS\system32\jkgiadff.dll> []
<F5DA7239><C:\WINDOWS\system32\fldanijp.dll> []
<36D19AB9><C:\WINDOWS\system32\jmdhpabp.dll> []
<435E5175><C:\WINDOWS\system32\kjlelhnl.dll> []
<FB722B83><C:\WINDOWS\system32\fbniiboj.dll> []
<12DAC51C><C:\WINDOWS\system32\hidaclhc.dll> []
<21531C65><C:\WINDOWS\system32\ihljhcml.dll> []
<7395628A><C:\WINDOWS\system32\njplmioa.dll> []
<1DF8E4F4><C:\WINDOWS\system32\hdfoekfk.dll> []
<IFEO[rfwstub.exe]><svchost.exe> [(Verified)Microsoft Windows Publisher]
<IFEO[Thunder5.exe]><svchost.exe> [(Verified)Microsoft Windows Publisher]
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除
==================================
驱动程序
[msiffei / msiffei][Stopped/Manual Start]
<System32\Drivers\msiffei.sys><N/A>
[Safe Mon 360 / SafeMon0][Running/System Start]
<\??\C:\WINDOWS\system32\2BD92F5E.dat><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[]
{6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF} <C:\Program Files\Internet Explorer\PowerNeNt.Onz, N/A>
[]
{6A8D34D7-08D7-421F-AFF6-956A0BD6F0BF} <C:\Program Files\Internet Explorer\PowerNeNt.Onz, N/A>
————————————————————————————————————
在扫日志的SRENG工具》系统修复》HOSTS文件》选择“重置”再“保存”
——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。
用工具包内的“系统垃圾文件清理工具”清空能清空的垃圾文件,不能清空的不管它
————————————————————————————————————
当扫描usp10.dll扫描清理工具提示重启电脑时
再重启电脑,反复检查,操作的结果,
连网用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:
http://www.arswp.com/杀毒软件升级至最新版本全盘杀。
记得打全系统漏洞补丁
SRENG工具的各项操作看这里:
http://bbs.ikaka.com/showtopic-8545446.aspx请回想中毒的过程,以及按照去这贴上传你的瑞星杀毒软件的防御日志
http://bbs.ikaka.com/showtopic-8592708.aspx 
