病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 改变PPS播放器设置修复显示问题rockey6smartsvc.exe »

清除wuauctl.exe、webcheck.dll等病毒

症状:电脑发出慕名的声音,未打开QQ也会发出QQ的咳嗽声,从任务管理器中发现后台打开很多奇怪的网页,如小屁孩日记、嘻喔喔、WOYO、激情聊天室……等等,即使当时结束它们,还会自动打开。

清除方法:

1.删除以下文件:

c:\windows\system32\wuauctl.exe(又见wuauctl.exe,系统更新文件应该是wuauclt.exe)
c:\windows\system32\mspmsnsvr.dll
c:\windows\system32\olemaskvr.dll
c:\windows\webcheck.dll

2.使用SREng修复下面各项:

  启动项目 -- 注册表之如下项删除:

[IFEO[360safe.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[360tray.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[acasp.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[ahnsd.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[avp.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[CCenter.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[egui.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[FrogAgent.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[icesword.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[katmain.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[kav.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[kav32.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[kavstart.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[kavsvc.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[kpfw32.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[kpfwsvc.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[KRegEx.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[KVCenter.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[KvMonXP.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[KvMonXP.kxp]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[kvprescan.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[KVSrvXP.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[KVXP.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[KWatch.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[mmc.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[Msconfig.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[naPrdMgr.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[Rav.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[Ravmon.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[RavmonD.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[RavStub.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[RavTask.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[Regedit.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[rfwmain.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[rfwproxy.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[rfwsrv.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[rstray.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[safeboxtray.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[scan32.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[shstat.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[SnipeSword.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[TBMon.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[TrojDie.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[UIHost.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[UpdaterUI.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[vcrmon.exe]] <C:\WINDOWS\system32\wscntfy.exe>
[IFEO[VsTskMgr.exe]] <C:\WINDOWS\system32\wscntfy.exe>
IFEO即HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options,注意C:\WINDOWS\system32\wscntfy.exe不要删除,这是系统文件

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
  <WebCheck><C:\WINDOWS\webcheck.dll>

  启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Portable Media Serial Number Service / WmdmPmSN] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\MsPMSNSvr.dll>
 


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/437.html

  • 1楼.Yhouirk
  • 我想知道的是,最近很多人出现这个问题,这个东东到底是怎么跑到我的机器里的?很疑惑……
    流风33 于 2009-8-14 21:16:38 回复
    这恐怕就要问自己了,上网不安全啊,毕竟最近挂马的网站比较多,所谓网站挂马行为在云安全打击下大为减少不过是厂商们自说自话而已。
  • 2009-8-14 15:49:05  [引用]

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号