|
强壮不惑狮
- 帖子:1166
- 注册:
2006-07-15
- 来自:
|
发表于:
2007-04-08 12:12
|
短消息
资料
| 引用: | 【轩辕小聪的贴子】光看SREng扫出的注册表项,楼主的电脑中得跟毒窝差不多,或者曾经中得跟毒窝差不多。
首先
<load><C:\WINDOWS\uninstall\rundl132.exe> []
这应该是viking病毒。如果是楼主之前中过,现在已清理,则只需删除此注册表项即可。如果是仍然在中毒中,请先用威金专杀查杀。
另外,其他病毒其中有几个是十分顽固型的,解决起来要有动手能力和相当有耐心才行。
重启到安全模式下:
用SREng在“启动项目”-“注册表”中删除以下项目:
<svc><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\byetmr.exe> [Microsoft Corporation]
<load><C:\WINDOWS\uninstall\rundl132.exe> []
<System><C:\Program Files\Common Files\System\Updaterun.exe> []
<dxsxfe96><%systemroot%\system32\Rundll32.exe "%systemroot%\system32\dxsxfe96.dll",Start> [N/A]
<CPushSetup><"C:\WINDOWS\system32\regsvr32.exe" /s "C:\Program Files\Common Files\CPUSH\cpush.dll"> [N/A]
<twin><C:\WINDOWS\system32\ctfnom.exe> [Microsoft Corporation]
<WinlogonNotify: ole2disp><rndwmdmsp.dll> []
用SREng在“启动项目”-“启动文件夹”中删除:
[ruango]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\ruango.lnk --> C:\WINDOWS\system32\MSRundll.exe [Microsoft Corporation]><N>
用SREng在“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[88C4A3EC / 88C4A3EC][Stopped/Auto Start]
<C:\WINDOWS\system32\88C4A3EC.EXE -service><Microsoft Corporation>
[ Cryptographic Server / CryptographicServer][Running/Auto Start]
<C:\WINDOWS\system32\mshtmlsed.exe><N/A>
[Std fxyr Service / fxyr][Running/Auto Start]
<C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\xstj\kcdw.dll,Service -s><Microsoft Corporation>
[IEAgent service / IEAgent][Stopped/Auto Start]
<"C:\WINDOWS\system32\ieagent.exe"><>
[Imsvc / Imsvc][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\Webmail.dll><>
[kkdj3sdf3 / kkdj3sdf3][Stopped/Auto Start]
<C:\WINDOWS\system32\kkdj3sdf3.exe -service><Microsoft Corporation>
[Internet Protect Service / Mercha2][Running/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE C:\WINDOWS\SYSTEM32\WBEM\ULAOR.DLL,Export 1087><Microsoft Corporation>
[Navoct / Navoct][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\Program Files\iesnap\navoct.dll>< >
[NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
[Remote Procedure Call System(RPCS) / RpcS][Running/Auto Start]
<C:\WINDOWS\system32\RpcS.exe><Microsoft Corporation>
[Indexing Manager / Tech][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\gbtog.dll><Microsoft Corporation>
用SREng在“启动项目”-“服务”-“驱动程序”中点“隐藏经认证的微软项目”,选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[acpidisk / acpidisk][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>
[dxsxfe9 / dxsxfe96][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\dxsxfe96.sys><N/A>
[iopy / iopyq][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\iopyq.sys><N/A>
[pwjzej3 / pwjzej33][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\pwjzej33.sys><Microsoft Corporation>
[usb8028 / usb8028][Running/System Start]
<system32\drivers\usb8028.sys><Microsoft Corporation>
[usb8028x / usb8028x][Running/System Start]
<system32\drivers\usb8028x.sys><Windows System Internal>
用SREng在“系统修复”-“浏览器加载项”中删除:
[]
{3D0AAF1C-5D15-41CA-ABCA-0D996F7F474D} <C:\WINDOWS\system32\idrgtykmzbubc.dll, N/A>
[HelpIE Class]
{589A6FED-A214-4FE3-8D1E-CD07BC634D89} <C:\WINDOWS\system32\HelpIE.dll, TODO: <公司名>>
[实用搜索]
{6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} <C:\Program Files\superutilbar\superutilbar.dll, www.shiyongsousuo.com>
[]
{CAC9566E-8DC9-455E-B564-97E9EBD4FE7E} <C:\WINDOWS\system32\wmnduydqeddwv.dll, N/A>
[macfed Class]
{CB7CA266-4479-4997-86AF-7554AA8A0AF4} <C:\WINDOWS\system32\atsldr.dll, >
[WinMyFavor Class]
{F7F49040-389C-4f1f-A825-06D5328EAE59} <C:\WINDOWS\system32\MyFavor.dll, N/A>
[]
{22F0F28C-8107-4DA7-9C84-E089D7053893} <C:\WINDOWS\system32\srcserv\ss.dll, N/A>
[]
{3D0AAF1C-5D15-41CA-ABCA-0D996F7F474D} <C:\WINDOWS\system32\idrgtykmzbubc.dll, N/A>
[HelpIE Class]
{589A6FED-A214-4FE3-8D1E-CD07BC634D89} <C:\WINDOWS\system32\HelpIE.dll, TODO: <公司名>>
[实用搜索]
{6CFD436C-7AAD-4E50-992F-C0C87A94CAD2} <C:\Program Files\superutilbar\superutilbar.dll, www.shiyongsousuo.com>
[]
{CAC9566E-8DC9-455E-B564-97E9EBD4FE7E} <C:\WINDOWS\system32\wmnduydqeddwv.dll, N/A>
[macfed Class]
{CB7CA266-4479-4997-86AF-7554AA8A0AF4} <C:\WINDOWS\system32\atsldr.dll, >
[WinMyFavor Class]
{F7F49040-389C-4F1F-A825-06D5328EAE59} <C:\WINDOWS\system32\MyFavor.dll, N/A>
卸载(如果不是你自己装的):
c:\PROGRA~1\iesnap
C:\Program Files\superutilbar
C:\PROGRA~1\xstj
C:\Program Files\CNNIC
重启后删除以上项目对应的所有文件(除了C:\WINDOWS\system32\regsvr32.exe、C:\WINDOWS\System32\svchost.exe、C:\WINDOWS\system32\rundll32.exe这三个系统文件外)
将QQ安装目录下的TIMPlatform.exe删除,将TIMPlatfrom.exe改名为TIMPlatform.exe
注意:
由于有几个比较顽固的,特别是用驱动加载的项目,所以单纯以上这样的操作可能还不能彻底删除。
如驱动项删除后,重启仍然有:
用IceSword在“注册表”展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除相应项目
并尝试用IceSword强制删除文件
之后建议直接按机箱上的reset键重启
如文件删除后马上再生成:
尝试用killbox的delete on reboot功能删除文件,重启后再清理相应注册表
IceSword和killbox的下载链接见http://forum.ikaka.com/topic.asp?board=28&artid=6979213的相应楼层。
最后,这是个庞大的工程,祝楼主好运。
……………… |
[NVIDIA Display Driver Service / NVSvc][Running/Auto Start]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>这个是病毒么? 
|
