病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记
« 清除禁用杀毒软件的patty.exe、adsldps.dll病毒清除goteple病毒 »
分享到:

2008-12-25 11:5:23

清除自动关闭网页的spoo1sv.exe、winlib .dll病毒

  现象:求助者只说了打开网页会自动关闭。

  检查其SREng日志,发现病毒不少,尤其那个winlib .dll,注意“winlib”和“.dll”之间有一个空格,还有一个就是spoo1sv.exe,冒充打印程序spoolsv.exe。

1.删除以下文件:

C:\Program Files\Common Files\CPUSH\cpush.dll
c:\windows\Downloaded Program Files\mjo.dll
c:\windows\Downloaded Program Files\c21.dll
c:\program files\microsoft office\system\kzdh@webbrowser-lyrics_3103.exe
c:\documents and settings\all users\application data\microsoft\office\system\sysloader.exe
c:\Documents and Settings\z\local settings\temp\~af06201\upgrade\atidgllk.sys
c:\windows\system32a2.sys
c:\windows\system32\38a1.dll
c:\windows\system32\flym.dll
c:\windows\system32\spoo1sv.exe
c:\windows\system32\winlib .dll
c:\windows\system32\msplrct.dll
c:\windows\system32\231.dll
c:\windows\system32\8a9c1.exe
c:\windows\system32\drivers\8bmf.sys
c:\windows\system32\drivers\acpidisk.sys
c:\windows\system32\drivers\ys519pkzl8.sys
c:\windows\system32\drivers\tqfhk.sys
c:\windows\system32\drivers\mxdispdr.sys

c:\windows\system32\npkycryp.sys
c:\windows\system32\npkcrypt.sys
这俩没在QQ目录下,也许不是病毒,是旧版QQ的键盘保护驱动,不过反正新版QQ也不用了,直接删除了吧

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <mjo><rundll32 "C:\WINDOWS\Downlo~1\mjo.dll",start>  [Microsoft Corporation]
    <c21><rundll32 "C:\WINDOWS\Downlo~1\c21.dll",Run>  [Microsoft Corporation]

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[ms_2fax / ms_2fax]    <C:\WINDOWS\system32\8a9c1.exe>
[Windows Managemener PrintSystem / spoo1sv]    <spoo1sv.exe>
[Windows Advanced Manager / wamer]    <"C:\Program Files\Microsoft Office\SYSTEM\kzdh@webbrowser-lyrics_3103.exe">
[System Event loader / sysloader]    <"C:\Documents and Settings\All Users\Application Data\Microsoft\Office\SYSTEM\sysloader.exe">

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[8bm / 8bmf]    <\SystemRoot\System32\DRIVERS\8bmf.sys>
[acpidisk / acpidisk]    <\??\C:\WINDOWS\system32\drivers\acpidisk.sys>
[ys519pkzl / ys519pkzl8]    <\SystemRoot\System32\DRIVERS\ys519pkzl8.sys>
[tqfhk / tqfhk]    <\??\C:\WINDOWS\system32\drivers\tqfhk.sys>
[R2A / R2A]    <\??\C:\WINDOWS\system32a2.sys>
[npkycryp / npkycryp]    <\??\C:\WINDOWS\system32\npkycryp.sys>(注,解释如上)
[npkcrypt / npkcrypt]    <\??\C:\WINDOWS\system32\npkcrypt.sys>(注,解释如上)
[mxdispdr / mxdispdr]    <\??\C:\WINDOWS\system32\drivers\mxdispdr.sys>
[atidgllk / atidgllk]    <\??\C:\DOCUME~1\z\LOCALS~1\Temp\~Af06201\Upgrade\atidgllk.sys>

    系统修复-- 浏览器加载项之如下项删除:
[Invoke Class]    <C:\WINDOWS\system32\38a1.dll>
[Invoke Class]    <C:\WINDOWS\system32\38a1.dll>
[BHO Class]    <C:\WINDOWS\system32\flym.dll>
[CAdLogic Object]   <C:\Program Files\Common Files\CPUSH\cpush.dll, >
[CAdLogic Object]   <C:\Program Files\Common Files\CPUSH\cpush.dll, >

转载时请注明:转载自 Storm_Center  原文地址:http://www.stormcn.cn/post/45.html
——凡文章内未标注转载来源者均为原创文章 【恭候您的意见】 谢谢!——

Tags:     
作者:流风33 | 分类:病毒救援 | 评论:0 | 浏览:

发表评论(欢迎交流,无须注册 | 如申请友链与本站要求不符,恕不回复,见谅):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 收藏文章:
  • 腾讯微博:
  • 订阅博客:
  • 新浪微博:

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场. [关于我] [网站地图] [联系邮箱]. 闽ICP备09000343号
Copyright 2008-2012 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. [返回顶部]