此病毒借计划任务定时使用rundll32调用em63.dll,因此一定要先清理计划任务中的定时任务,但删除时别把rundll32.exe删除了,这个是系统文件,同时还有病毒建立的服务与加载的IE插件要清理。清理方案如下:
1.删除以下文件:
c:\windows\system32\a5q8.dll
c:\windows\system32\bf32.exe
c:\windows\system32\em63.dll
c:\windows\system32\s.exe
c:\windows\system32\syma8d.dll
2.使用SREng修复下面各项:
启动项目 -- 服务 -- Win32服务应用程序,删除如下项:
[OSEvent / OSEvent] <C:\WINDOWS\system32\s.exe>
[csrse / csrse] <C:\WINDOWS\system32\bf32.exe>
系统修复 -- 浏览器加载项,删除如下项:
[Invoke Class] <C:\WINDOWS\system32\a5q8.dll>
[BHO Class] <C:\WINDOWS\system32\syma8d.dll>
3.进入控制面板 -- 任务计划,删除带有病毒文件的任务项,本例中任务名为866b.job和866ac.job,可能会有其它名字,建议查看每个任务的属性以确认,一般为“rundll32 em63.dll,Always”形式。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/501.html
