清除aliimz.sys、pcidump.sys、cehkmdok.dll等病毒-Storm

现象：杀毒软件失效，安全模式进不了，字体出错等。清除修复方法如下：

c:\windows\fonts\bnitnojy.dll
c:\windows\fonts\xssuxtav.dll
c:\windows\fonts\rysqjhbs.dll
c:\windows\fonts\hxtzwlnr.dll
c:\docume~1\admini~1\locals~1\temp\msdfjsadfjd.dat
c:\docume~1\admini~1\locals~1\temp\qwe21.tmp
c:\windows\system32\qwe22.tmp
c:\windows\system32\drivers\pcidump.sys
c:\windows\system32\drivers\aliimz.sys
c:\windows\system32\eplaebdm.dll
c:\windows\system32\gfogkhmf.dll
c:\windows\system32\ggmaheeh.dll
c:\windows\system32\nfpclkgc.dll
c:\windows\system32\nljjdodd.dll
c:\windows\system32\201476d0.dll
c:\windows\system32\2ef0d734.dll
c:\windows\system32\4fbfd5a4.dll
c:\windows\system32\56bc86c7.dll
c:\windows\system32\695c5a80.dll
c:\windows\system32\704c3595.dll
c:\windows\system32\91c7df6d.dll
c:\windows\system32\f71a67d5.dll
c:\windows\system32\fa9b58aa.dll
c:\windows\system32\72b29486.dll
c:\windows\system32\9ca963ca.dll
c:\windows\system32\e1384213.dll
c:\windows\system32\vxfly32.dll
c:\windows\system32\f65bdec7.dll
c:\windows\system32\ngknghbf.dll
c:\windows\system32\dblliabj.dll
c:\windows\system32\jcphnjbm.dll
c:\windows\system32\hbmhonfg.dll
c:\windows\system32\lcokgfhp.dll
c:\windows\system32\cehkmdok.dll
c:\windows\system32\16af66eb.dll
c:\windows\system32\cc80f0b4.dll
以上system32文件夹下的随机数字字母组合的文件名可能会有不同（类似上文）

2.使用SREng修复下面各项：

启动项目－注册表之如下项删除：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <Stromliv><C:\WINDOWS\system32\userinit.exe> （此处的文件userinit.exe应用正常电脑上同名文件覆盖，不能简单删除）
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><cehkmdok.dll,lcokgfhp.dll,hbmhonfg.dll,jcphnjbm.dll,dblliabj.dll,ngknghbf.dll> （此项应清空<AppInit_DLLs>的值，而不能删除<AppInit_DLLs>项）
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{DCBC4DF7-09A8-42D0-BCF4-299F72F40EAD}><C:\WINDOWS\fonts\bnitnojy.dll>
    <{4EAA8F86-4217-48D0-A976-389247780A14}><C:\WINDOWS\fonts\xssuxtav.dll>
    <{5AF04671-190D-4D5C-97AF-D8054F831E27}><C:\WINDOWS\fonts\rysqjhbs.dll>
    <{16AF66EB-93C8-49F9-BB09-B4F87CEDCE46}><16AF66EB.dll>
    <{695C5A80-18A5-4CD2-A911-4DBEBE92F18D}><695C5A80.dll>
    <{CE146D84-735D-409E-8A40-4057C71E45EF}><C:\WINDOWS\system32\cehkmdok.dll>
    <{CC80F0B4-04D7-44D0-8DB9-9109B5B72141}><CC80F0B4.dll>
    <{201476D0-2B18-462E-AB9F-3E2B0CC8732B}><201476D0.dll>
    <{F65BDEC7-4BF3-4512-840F-68B166B6D7AC}><F65BDEC7.dll>
    <{56BC86C7-0692-4F94-A2C1-6CF1DBF8096C}><56BC86C7.dll>
    <{72B29486-39B6-4241-B234-B57DEF78302F}><72B29486.dll>
    <{4FBFD5A4-5FE8-4444-8BD9-FD0FAFA64F96}><4FBFD5A4.dll>
    <{91C7DF6D-AEF5-4136-9252-AF030D7A5931}><91C7DF6D.dll>
    <{704C3595-DB85-40F6-A601-8D6F346907BD}><704C3595.dll>
    <{2EF0D734-21FD-4225-A1A2-BCD296182AAF}><2EF0D734.dll>
    <{F71A67D5-5BBB-47A3-9534-4150FC739257}><F71A67D5.dll>
    <{FA9B58AA-6759-4C02-B37F-572FC2F1A231}><FA9B58AA.dll>
    <{E1384213-0948-4A60-A9E3-875B191CC2E7}><E1384213.dll>
    <{9CA963CA-107C-4089-B0AB-31380F90D7E3}><9CA963CA.dll>
    <{5C840F19-9B15-41CF-B54D-26411FA1636D}><C:\WINDOWS\system32\lcokgfhp.dll>
    <{1B6187F0-8721-4304-A556-912EAD35E964}><C:\WINDOWS\system32\hbmhonfg.dll>
    <{3C9173B6-DDF1-44F6-86F7-368A0A7FFD64}><C:\WINDOWS\system32\jcphnjbm.dll>
    <{DB552AB3-C537-4131-AA03-297514280173}><C:\WINDOWS\system32\dblliabj.dll>
    <{704701BF-A281-4905-A6D2-CB2251F0ED74}><C:\WINDOWS\system32\ngknghbf.dll>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <C:\WINDOWS\fonts\bnitnojy.dll><C:\WINDOWS\fonts\bnitnojy.dll>
    <C:\WINDOWS\fonts\xssuxtav.dll><C:\WINDOWS\fonts\xssuxtav.dll>
    <C:\WINDOWS\Fonts\hxtzwlnr.dll><C:\WINDOWS\Fonts\hxtzwlnr.dll>
    <C:\WINDOWS\fonts\rysqjhbs.dll><C:\WINDOWS\fonts\rysqjhbs.dll>
    <CE146D84><C:\WINDOWS\system32\cehkmdok.dll>
    <5C840F19><C:\WINDOWS\system32\lcokgfhp.dll>
    <1B6187F0><C:\WINDOWS\system32\hbmhonfg.dll>
    <3C9173B6><C:\WINDOWS\system32\jcphnjbm.dll>
    <DB552AB3><C:\WINDOWS\system32\dblliabj.dll>
    <704701BF><C:\WINDOWS\system32\ngknghbf.dll>

并删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下被劫持的各杀毒软件程序名项（SREng中以红色标示出的IFEO项）

启动项目－服务－Win32服务应用程序之如下项删除：
[COM+ System / COM+ System ] <C:\WINDOWS\system32\qwe22.tmp>

启动项目－服务－驱动程序之如下项删除：
[pcidump / pcidump] <System32\DRIVERS\pcidump.sys>
[aliimz / aliimz] <System32\Drivers\aliimz.sys>

安全模式可以用SREng修复：SREng－系统修复－高级－修复安全模式

另请清除临时文件、IE缓存，并用拯救过来的杀毒软件升级后全盘查杀病毒。

>> 除非说明均为原创，如转载请注明来源于http://www.stormcn.cn/post/279.html

导航

2009-3-10 14:5:57

清除aliimz.sys、pcidump.sys、cehkmdok.dll等病毒

Tags: 杀毒软件 病毒木马

作者:流风33 | 分类:
病毒救援
| 评论:0 | 浏览:

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog.
闽公网安备 35010202000133号

导航

2009-3-10 14:5:57

清除aliimz.sys、pcidump.sys、cehkmdok.dll等病毒

Tags: 杀毒软件 病毒 木马

作者:流风33 | 分类:病毒救援 | 评论:0 | 浏览: strBatchCount+="spn279=279,"

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog.闽公网安备 35010202000133号

Tags: 杀毒软件病毒木马

作者:流风33 | 分类:
病毒救援
| 评论:0 | 浏览:

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog.
闽公网安备 35010202000133号