中毒现象:360的网络流量中发现一进程svchost.exe有较大的上传速度,占用带宽,然而用杀毒软件检查没有发现病毒,手动结束该进程后重启电脑又恢复前述现象。
通过对其使用SREng扫描日志分析后,清除方案如下:
1.删除以下文件:
c:\documents and settings\all users\「开始」菜单\程序\启动\start.pif
c:\windows\system32\theurlwc.url
c:\windows\avtapit.dll
c:\program files\winrar\formats\date\l%sessionname%\qiwgm.cc3
c:\1da3c2b0d2fb0306.dat
c:\documents and settings\all users\application data\microsoft\media player\obj\wmpobj.sys
c:\windows\fonts\tanmo.fon
c:\docume~1\admini~1\locals~1\temp\~mhcgu.tmp
c:\windows\system32\drivers\e7b.tmp
c:\windows\fonts\jvvxo.fon
c:\de7661a0fb6ea8da.dat
2.使用SREng修复下面各项:
启动项目 -- 启动文件夹之如下项删除:
[start] <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\start.pif>
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Microsoft Device Manager / Theurlwc] <C:\WINDOWS\System32\Theurlwc.url-->C:\WINDOWS\system32\Theurlwc.url>
[WbWin / WbWin] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\avtapit.dll>
[Messenger / Messenger] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\Program Files\WinRAR\Formats\Date\L%SESSIONNAME%\qiwgm.cc3>
启动项目 -- 服务-- 驱动程序之如下项禁用:
[1da3c2b0d2fb0306 / 1da3c2b0d2fb0306] <\??\C:\1da3c2b0d2fb0306.dat>
[wmpobj / wmpobj] <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\obj\wmpobj.sys>
[tanmo / tanmo] <\??\C:\WINDOWS\Fonts\tanmo.fon>
[SafeSysDrv / SafeSysDrv] <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~mhcgu.tmp>
[NPF / NPF] <\??\C:\WINDOWS\system32\drivers\E7B.tmp>
[jvvxo / jvvxo] <\??\C:\WINDOWS\Fonts\jvvxo.fon>
[de7661a0fb6ea8da / de7661a0fb6ea8da] <\??\C:\de7661a0fb6ea8da.dat>
以上仅为SREng日志中体现,建议清理临时文件夹与浏览器缓存文件夹,并使用杀毒软件(不过很可能还找不到什么,仍建议升级后扫描全盘)和相关安全工具(如windows清理助手,它的清理残渣功能比较好,特别是以上清除后,仍残留在注册表中的东西)进行一次扫描检查。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/804.html
