A V 终 结 者木马群清除`
2007-07-29 10:02:53
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://gudugengkekao.blog.51cto.com/172212/36024 |
昨天中午帮MM弄电脑时抓到的``
随机7,也就是AV终结者`
不写详细了``想看的在我博客自己翻下哈``(标题随机7什么的``)
其实随机7是进程守护技术``以前写的那些方法可以通杀```
木马群就不一样了``=。=
附上AV终结者专杀:
木马群清理方法:
专杀后,下载SREng:
依SREng做出的分析(可能不一定相同):
执行以下操作时先全部清空临时文件:
我的电脑-系统盘(C盘?)-属性-磁盘清理-全部勾选上-点确定即可
执行上面操作后,往下.. SRENG操作方法:
(先看懂了再执行下面操作...) 用SREng 删除如下各项: 启动项目--注册表 --(下面的删除)~
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<uvmmind><C:\winnt\system32\wocfiba.exe> []
<oymejto><C:\winnt\system32\gnkjkrl.exe> [] <ztsa><C:\DOCUME~1\admin\LOCALS~1\Temp\ztso.exe> [] <TIMHost><C:\winnt\TIMHost.exe> [] <rxsa><C:\DOCUME~1\admin\LOCALS~1\Temp\rxso.exe> [] <wdsa><C:\DOCUME~1\admin\LOCALS~1\Temp\wdso.exe> [] <zxsa><C:\DOCUME~1\admin\LOCALS~1\Temp\zxso.exe> [] <qjsa><C:\DOCUME~1\admin\LOCALS~1\Temp\qjso.exe> [] <mppds><C:\winnt\mppds.exe> [] <RAV0095><C:\winnt\system32\RAV0095.exe> [] <RAV008C><C:\winnt\system32\RAV008C.exe> [] <MsIMMs32><C:\winnt\MsIMMs32.exe> [] <RAV00AE><C:\winnt\system32\RAV00AE.exe> [] <RAV00B2><C:\winnt\system32\RAV00B2.exe> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{713AF41A-21B1-131B-1BFC-D2A90DF4A2B7}><C:\winnt\system32\xyfpri.dll> [] <{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\winnt\system32\dhbpri.dll> [] <{91B1E846-2BEF-4345-8848-7699C7C9935F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll> [] <{D544C22D-1F70-4B1E-873D-D8DABEB26695}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll> [] <{3495D328-661A-4FB0-BA67-8ACDD1704D1E}><C:\winnt\system32\9222.dll> [] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下
的IFEO键,全部删除。
强制删除工具 PowerRMV
(其他工具-PowerRMV.com 大小101.4KB) 填入下面文件的完整路径,选上抑止杀灭对象再次生成,然后杀灭,然后有个提示,选确定就可以了````
C:\Windows\system32\wocfiba.exe C:\Windows\system32\gnkjkrl.exe C:\Documents and Settings\你的用户名\Local Settings\Temp\ztso.exe C:\Windows\TIMHost.exe C:\Documents and Settings\你的用户名\Local Settings\Temp\rxso.exe C:\Documents and Settings\你的用户名\Local Settings\Temp\wdso.exe C:\Documents and Settings\你的用户名\Local Settings\Temp\zxso.exe C:\Documents and Settings\你的用户名\Local Settings\Temp\qjso.exe C:\Windows\mppds.exe C:\Windows\system32\RAV0095.exe C:\Windows\system32\RAV008C.exe C:\Windows\MsIMMs32.exe C:\Windows\system32\RAV00AE.exe C:\Windows\system32\RAV00B2.exe C:\Windows\system32\xyfpri.dll C:\Windows\system32\dhbpri.dll C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll C:\Windows\system32\9222.dll C:\Documents and Settings\你的用户名\Local Settings\Temp\ztso0.dll C:\Documents and Settings\你的用户名\Local Settings\Temp\rxso0.dll C:\Documents and Settings\你的用户名\Local Settings\Temp\wdso0.dll C:\Documents and Settings\你的用户名\Local Settings\Temp\zxso0.dll C:\Documents and Settings\你的用户名\Local Settings\Temp\qjso0.dll C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGwd2.dll C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysWFGQQ2.dll C:\Program Files\Common Files\Microsoft Shared\MSINFO\atmQQ2.dll C:\Windows\system32\RAV0095.DAT C:\Windows\system32\RAV008C.DAT C:\Windows\system32\MsIMMs32.dll C:\Windows\system32\hgypmn.dll C:\Windows\system32\qcqiyh.dll C:\Windows\system32\RAV00AE.DAT C:\Windows\system32\RAV00B2.DAT 重启电脑,后修改QQ、邮箱等密码``
  本文出自 “孤独更可靠” 博客,请务必保留此出处http://gudugengkekao.blog.51cto.com/172212/36024 本文出自 51CTO.COM技术博客 |
孤独更可靠
博客统计信息
热门文章
最新评论
友情链接
