系统遭遇蓝屏,检查发现病毒,同样使用映像劫持,被劫持项目和以前各种映像劫持的程序大同小异(估计已经模式化了,方法也相同,都用了ntsd -d),也出现了comres.dll,真的猫癣木马复生了?清除方案如下:
1.从其它电脑上拷贝或网上下载正常文件覆盖以下三个文件(勿直接删除了事,否则可能带来某些系统问题)
c:\windows\system32\comres.dll
c:\windows\system32\appmgmts.dll
c:\windows\system32\qmgr.dll
2.删除以下文件:
c:\windows\tasks\c2nh4numz9kny5zqnc.inf
c:\windows\system32\fxnee8ue86dau4wwqsw.inf
c:\windows\system32\skcfujq5edn.dll
c:\windows\system32\dhdhws7ffw.dll
c:\windows\fonts\a97cracb.fon
c:\windows\system32\08223b03.dll
c:\windows\system32\704c3595.dll
c:\windows\system32\uv4kfmsjpk7ekfenjpv9ct.inf
c:\windows\system32\2exjw3dsatgwrf5uapadmhn.dll
c:\windows\tasks\ygfdvuegeqm9fhy5rnn.inf
c:\windows\system32\s5ksrtwdf35ew9f2kbdf.inf
c:\windows\system32\z6fvkef47hupzgaxee.inf
c:\windows\system32\122b901e.dll
c:\windows\system32\perrgx5dkqsbqdwaucrqh.dll
c:\windows\tasks\efepead4zpvmuxrdbs.inf
c:\windows\tasks\fktqef2gvvz9fr7v5he.inf
c:\windows\system32\je9hr9nedwpyacken42c.inf
c:\windows\system32\emqzjjurmfvkrkex9gj.inf
c:\windows\tasks\jjx5r8wnsqunnxgwpwn.inf
c:\windows\system\ming9b090423.exe
c:\windows\system32\updater.exe
c:\docume~1\admini~1\locals~1\temp\tmp.tmp
c:\windows\system32\dfc8ac3ed7da.dll
3.使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<updater><C:\WINDOWS\system32\updater.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<ming9bstart><C:\WINDOWS\system\ming9b090423.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A2BCFCEE-C939-433F-A32A-7353A6E720DB}><C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf>
<{D36A1DF7-6582-4160-B925-59A34E39FE30}><C:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf>
<{20CFDC59-228C-481F-80B6-404BCFA16B13}><C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf>
<{136F4843-F6B1-459F-83B5-7B0F982FDDA5}><C:\WINDOWS\Tasks\FkTQEF2gVvZ9fR7v5HE.inf>
<{7488E47D-E8F3-41C0-B2DA-9B2BD8803A80}><C:\WINDOWS\Tasks\EfEPEaD4ZpVMUXrDbS.inf>
<{51716C09-6B08-4CCF-B526-718E912C0573}><C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll>
<{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll>
<{74DA2FEC-F68F-4DC7-9A45-9174AC044427}><C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf>
<{C20C5A13-4DD7-40D9-90B4-700BAB0BBBE9}><C:\WINDOWS\system32\S5kSrtwDf35EW9f2kBDF.inf>
<{6049BC02-7EDA-4C41-B4AB-D5398607C39E}><C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf>
<{87DE8A1A-96C5-4420-B222-EF998F697CE7}><C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll>
<{9C20D654-5AF8-4DB7-A125-1A17D7065C73}><C:\WINDOWS\system32\uV4kFmSjPK7eKfenjpv9Ct.inf>
<{704C3595-DB85-40F6-A601-8D6F346907BD}><C:\WINDOWS\system32\704C3595.dll>
<{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><C:\WINDOWS\system32\08223B03.dll>
<{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}><C:\WINDOWS\fonts\A97CRaCB.fon>
<{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><C:\WINDOWS\system32\dhDhwS7fFW.dll>
<{76CBCF38-0583-44C7-A1AE-D463DFE625EC}><C:\WINDOWS\system32\skcfujQ5EDN.dll>
<{B7D21764-31A1-4B15-B975-8AAA398CE07F}><C:\WINDOWS\system32\FXNEE8UE86dAU4wwQSW.inf>
<{B9D0F4D7-C809-4C27-9CB4-63201DFB3D05}><C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options](IFEO)
删除其中debuger值为ntsd -d的项目,可借助SREng,在其注册表项中所有需要删除的IFEO项都用红色标示。
最后同样建议升级杀毒软件全盘查杀漏网的木马,并检查是否有应用程序被病毒感染(没有更好),强烈建议清空临时文件夹temp与IE缓存文件夹Temporary Internet Files。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/507.html