病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« avp.exe病毒U盘里文件夹变成exe文件 »

2008-12-25 14:33:3

清除msosmhfp01.dll、Extensionsk.exe等病毒

  瑞星跌倒、QQ被盗,检查SREng扫描日志,发现AppInit_DLLs被修改,各盘根目录下出现autorun.inf及其指向病毒文件,autorun.inf内容如下:

[AutoRun]
Open=Extensionsk.exe
Shell\Open=打开(&O)
Shell\Open\Command=Extensionsk.exe
Shell\Open\Default=1
Shell\Explore=资源管理器(&X)
Shell\Explore\Command=Extensionsk.exe

已经把右键菜单的“打开”和“资源管理器”劫持到病毒文件上,所以打开分区除了不能双击外,也别指望右键菜单来打开了。

  具体清除步骤如下:

1、删除文件:

c:\documents and settings\user\local settings\temp\tmp19.tmp
c:\documents and settings\user\local settings\temp\tmp3.tmp
c:\program files\common files\fjos0r.dll
c:\program files\internet explorer\plugins\nt_sys32.sys
c:\windows\boot-hf.exe
c:\windows\cfcltdiz.exe
c:\windows\fonts\k8door0.dll
c:\windows\fonts\k8door1.dll
c:\windows\system32\dndsioc.dll
c:\windows\system32\drivers\msosfpids32.sys
c:\windows\system32\drivers\msosmsfpfis64.sys
c:\windows\system32\huifitc.dll
c:\windows\system32\logondll.dll
c:\windows\system32\mfchlp32.dll
c:\windows\system32\msimms32.dll
c:\windows\system32\ptsshell.dll
c:\windows\system32\tassif.dll
c:\windows\system32\tciocp32.dll
c:\windows\system32\ticisms.dll
c:\windows\system32\upxdnd.dll
c:\windows\system32\wsockdrv32.dll
msosmhfp01.dll(路径不是在windows下就是在system32下)
msosmnsf01.dll(同上)

还有各盘下的autorun.inf和Extensionsk.exe

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <boot-hf><; c:\windows\BOOT-hf.exe>  []虽然网上有说BOOT-hf.exe可能是修复boot.ini的程序,但也有说是盗QQ的木马,反正就算是修复boot.ini,也不用一直保留,可以删除。

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <scufnchl><C:\WINDOWS\cfcltdiz.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><msosmhfp01.dll,msosmnsf01.dll>  [N/A][AppInit_DLLs]清空即可,即把<msosmhfp01.dll,msosmnsf01.dll>修改为<> [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll>  [Microsoft Corporation]
    <{F6BBDC08-750B-4624-97D4-E9866DAD3B56}><C:\WINDOWS\Fonts\k8door1.dll>  []
    <{398C9B84-4EF7-47B5-9862-DE29543B3C42}><C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\DfLogon]
    <WinlogonNotify: DfLogon><LogonDll.dll>  []

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[mhfp / mhfp]    <\??\C:\documents and settings\user\local settings\Temp\tmp3.tmp>
[msfpfis64 / msfpfis64]    <\??\C:\WINDOWS\system32\drivers\msosmsfpfis64.sys>
[mnsf / mnsf]    <\??\C:\documents and settings\user\local settings\Temp\tmp19.tmp>
[fpids32 / fpids32]    <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys>

    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\Program Files\Internet Explorer\PLUGINS\Nt_Sys32.Sys>
[]    <C:\Program Files\Common Files\fjOs0r.dll>


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/55.html

Tags:     
作者:流风33 | 分类: | 评论:0 | 浏览:

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog.

闽公网安备 35010202000133号