病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 开机显示ntsd.exe程序错误unknown software exception错误的解决方法 »

清除aliimz.sys、pcidump.sys、cehkmdok.dll等病毒

现象:杀毒软件失效,安全模式进不了,字体出错等。清除修复方法如下:

1.删除以下文件:(参考怎样根据SREng日志的分析报告清除病毒

c:\windows\fonts\bnitnojy.dll
c:\windows\fonts\xssuxtav.dll
c:\windows\fonts\rysqjhbs.dll
c:\windows\fonts\hxtzwlnr.dll
c:\docume~1\admini~1\locals~1\temp\msdfjsadfjd.dat
c:\docume~1\admini~1\locals~1\temp\qwe21.tmp
c:\windows\system32\qwe22.tmp
c:\windows\system32\drivers\pcidump.sys
c:\windows\system32\drivers\aliimz.sys
c:\windows\system32\eplaebdm.dll
c:\windows\system32\gfogkhmf.dll
c:\windows\system32\ggmaheeh.dll
c:\windows\system32\nfpclkgc.dll
c:\windows\system32\nljjdodd.dll
c:\windows\system32\201476d0.dll
c:\windows\system32\2ef0d734.dll
c:\windows\system32\4fbfd5a4.dll
c:\windows\system32\56bc86c7.dll
c:\windows\system32\695c5a80.dll
c:\windows\system32\704c3595.dll
c:\windows\system32\91c7df6d.dll
c:\windows\system32\f71a67d5.dll
c:\windows\system32\fa9b58aa.dll
c:\windows\system32\72b29486.dll
c:\windows\system32\9ca963ca.dll
c:\windows\system32\e1384213.dll
c:\windows\system32\vxfly32.dll
c:\windows\system32\f65bdec7.dll
c:\windows\system32\ngknghbf.dll
c:\windows\system32\dblliabj.dll
c:\windows\system32\jcphnjbm.dll
c:\windows\system32\hbmhonfg.dll
c:\windows\system32\lcokgfhp.dll
c:\windows\system32\cehkmdok.dll
c:\windows\system32\16af66eb.dll
c:\windows\system32\cc80f0b4.dll
以上system32文件夹下的随机数字字母组合的文件名可能会有不同(类似上文

2.使用SREng修复下面各项:

    启动项目-注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <Stromliv><C:\WINDOWS\system32\userinit.exe>  (此处的文件userinit.exe应用正常电脑上同名文件覆盖,不能简单删除)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><cehkmdok.dll,lcokgfhp.dll,hbmhonfg.dll,jcphnjbm.dll,dblliabj.dll,ngknghbf.dll>  (此项应清空<AppInit_DLLs>的值,而不能删除<AppInit_DLLs>项)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{DCBC4DF7-09A8-42D0-BCF4-299F72F40EAD}><C:\WINDOWS\fonts\bnitnojy.dll> 
    <{4EAA8F86-4217-48D0-A976-389247780A14}><C:\WINDOWS\fonts\xssuxtav.dll> 
    <{5AF04671-190D-4D5C-97AF-D8054F831E27}><C:\WINDOWS\fonts\rysqjhbs.dll> 
    <{16AF66EB-93C8-49F9-BB09-B4F87CEDCE46}><16AF66EB.dll> 
    <{695C5A80-18A5-4CD2-A911-4DBEBE92F18D}><695C5A80.dll> 
    <{CE146D84-735D-409E-8A40-4057C71E45EF}><C:\WINDOWS\system32\cehkmdok.dll> 
    <{CC80F0B4-04D7-44D0-8DB9-9109B5B72141}><CC80F0B4.dll> 
    <{201476D0-2B18-462E-AB9F-3E2B0CC8732B}><201476D0.dll> 
    <{F65BDEC7-4BF3-4512-840F-68B166B6D7AC}><F65BDEC7.dll> 
    <{56BC86C7-0692-4F94-A2C1-6CF1DBF8096C}><56BC86C7.dll> 
    <{72B29486-39B6-4241-B234-B57DEF78302F}><72B29486.dll> 
    <{4FBFD5A4-5FE8-4444-8BD9-FD0FAFA64F96}><4FBFD5A4.dll> 
    <{91C7DF6D-AEF5-4136-9252-AF030D7A5931}><91C7DF6D.dll> 
    <{704C3595-DB85-40F6-A601-8D6F346907BD}><704C3595.dll> 
    <{2EF0D734-21FD-4225-A1A2-BCD296182AAF}><2EF0D734.dll> 
    <{F71A67D5-5BBB-47A3-9534-4150FC739257}><F71A67D5.dll> 
    <{FA9B58AA-6759-4C02-B37F-572FC2F1A231}><FA9B58AA.dll> 
    <{E1384213-0948-4A60-A9E3-875B191CC2E7}><E1384213.dll> 
    <{9CA963CA-107C-4089-B0AB-31380F90D7E3}><9CA963CA.dll> 
    <{5C840F19-9B15-41CF-B54D-26411FA1636D}><C:\WINDOWS\system32\lcokgfhp.dll> 
    <{1B6187F0-8721-4304-A556-912EAD35E964}><C:\WINDOWS\system32\hbmhonfg.dll> 
    <{3C9173B6-DDF1-44F6-86F7-368A0A7FFD64}><C:\WINDOWS\system32\jcphnjbm.dll> 
    <{DB552AB3-C537-4131-AA03-297514280173}><C:\WINDOWS\system32\dblliabj.dll> 
    <{704701BF-A281-4905-A6D2-CB2251F0ED74}><C:\WINDOWS\system32\ngknghbf.dll> 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    <C:\WINDOWS\fonts\bnitnojy.dll><C:\WINDOWS\fonts\bnitnojy.dll> 
    <C:\WINDOWS\fonts\xssuxtav.dll><C:\WINDOWS\fonts\xssuxtav.dll> 
    <C:\WINDOWS\Fonts\hxtzwlnr.dll><C:\WINDOWS\Fonts\hxtzwlnr.dll> 
    <C:\WINDOWS\fonts\rysqjhbs.dll><C:\WINDOWS\fonts\rysqjhbs.dll> 
    <CE146D84><C:\WINDOWS\system32\cehkmdok.dll> 
    <5C840F19><C:\WINDOWS\system32\lcokgfhp.dll> 
    <1B6187F0><C:\WINDOWS\system32\hbmhonfg.dll> 
    <3C9173B6><C:\WINDOWS\system32\jcphnjbm.dll> 
    <DB552AB3><C:\WINDOWS\system32\dblliabj.dll> 
    <704701BF><C:\WINDOWS\system32\ngknghbf.dll>

并删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\下被劫持的各杀毒软件程序名项(SREng中以红色标示出的IFEO项)

    启动项目-服务-Win32服务应用程序之如下项删除:
[COM+ System  / COM+ System ]    <C:\WINDOWS\system32\qwe22.tmp>

    启动项目-服务-驱动程序之如下项删除:
[pcidump / pcidump]    <System32\DRIVERS\pcidump.sys>
[aliimz / aliimz]    <System32\Drivers\aliimz.sys>

安全模式可以用SREng修复:SREng-系统修复-高级-修复安全模式

另请清除临时文件、IE缓存,并用拯救过来的杀毒软件升级后全盘查杀病毒。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/279.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号