中毒症状:360及杀毒软件无法启动,重装杀毒软件无效,安全模式无法进入,无法查看隐藏文件,个别系统文件被病毒感染。使用360顽固木马专杀、金山急救箱、安天防线等工具,无效或者无法彻底清除,病毒文件反复生成、感染(报告为蠕虫病毒)。
1.删除以下文件(以下部分文件为随机文件名,仅供参考,须按实际情况清理):
c:\windows\system32\ex6yhpm6akhmmh4bdbxpawsshce.inf
c:\windows\system32\ujmhygss7trv9gu2hhmkjcu7dpu.inf
c:\windows\downloaded program files\wustnjhyfqfpv8pqbc.cur
c:\windows\system32\122b901e.dll
c:\windows\fonts\kb21901841.dll
c:\windows\tasks\deaxupxqweyavph4pd3brcyyshv.inf
c:\windows\system32\kb11901758.dll
C:\Documents and Settings\Administrator\Application Data\cmssc.dll
以下三个文件需用正常系统文件替换(可使用专用工具或用启动盘启动后替换):
c:\windows\system32\appmgmts.dll
c:\windows\system32\mspmsnsv.dll
c:\windows\system32\xmlprov.dll
C:\WINDOWS\system32\ntmssvc.dll
2.使用SREng修复下面各项:
启动项目-注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><C:\WINDOWS\Fonts\kb21901841.dll> 把<C:\WINDOWS\Fonts\kb21901841.dll>修改为<>(即清空AppInit_DLLs的值)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{32D1A17C-A0E9-4B05-AD83-A292B98CD824}><C:\WINDOWS\Tasks\dEAXUPxQWEyAvpH4Pd3brcyYSHV.inf>
<{C3BDE61A-DB4C-4a68-8A01-CD4A29B88974}><C:\WINDOWS\Fonts\kb21901841.dll>
<{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll>
<{526EB425-7F56-4773-8D70-B8E45AA8E2B6}><C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur>
<{7CC109E5-B2FC-4FEE-AF04-74B2DCBD2540}><C:\WINDOWS\system32\ujMhyGsS7tRV9gU2HHMkJcu7DPU.inf>
<{2F5E182E-4BF4-4EEE-A124-F64E74A379DA}><C:\WINDOWS\system32\EX6yHpM6akhMMh4bDbXPAWssHcE.inf>
清理[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]中的IFEO项(映像劫持)
系统修复-winsock供应者-重置-重启
RSVP UDP Service Provider
C:\Documents and Settings\Administrator\Application Data\cmssc.dll
RSVP TCP Service Provider
C:\Documents and Settings\Administrator\Application Data\cmssc.dll
系统修复-高级-修复安全模式(在系统修复中还可修复注册表中的隐藏文件不显示等问题)
注意,此类病毒(或者应该称为木马)可能比较顽固,需要反复清理(可借助windows清理助手协助清理),最后一定要再用杀毒软件再扫描一遍,清除残留文件,前提是杀毒软件的劫持项(IFEO)已经删除。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/562.html
