病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« autohal.exe修复9348篡改主页 »

清除xeex.exe病毒

  任务管理器中出现一个随机数字加 xeex.exe的进程,360及部分知名杀毒软件无法打开,杀毒软件的网页无法访问,并且该病毒能够感染应用程序。清除方法如下:

1.断网,在任务管理器中结束随机数字+xeex.exe的进程,并删除文件,然后清空临时文件夹temp与IE临时缓存文件夹Temporary Internet Files

2.删除以下文件:

c:\docume~1\admini~1\locals~1\temp\tmp.tmp
c:\windows\fonts\a97cracb.fon
c:\windows\system\ming9b090423.exe
c:\windows\system\nb9ming32c090423.dll
c:\windows\system32\08223b03.dll
c:\windows\system32\122b901e.dll
c:\windows\system32\2ef0d734.dll
c:\windows\system32\2exjw3dsatgwrf5uapadmhn.dll
c:\windows\system32\bprbasgvesmzhrfu3afb.inf
c:\windows\system32\btmband89jc9pspq5eknj.inf
c:\windows\system32\cduauvkgy9.dll
c:\windows\system32\cwcqnwxhjwqte6psyyee.inf
c:\windows\system32\dhdhws7ffw.dll
c:\windows\system32\dmvjfcdsge5kccsmc6gzfjb.inf
c:\windows\system32\drivers\pcidump.sys
c:\windows\system32\emqzjjurmfvkrkex9gj.inf
c:\windows\system32\fsmby3kmwnag5grbwggu.inf
c:\windows\system32\fxnee8ue86dau4wwqsw.inf
c:\windows\system32\je9hr9nedwpyacken42c.inf
c:\windows\system32\ndxq9awmc.dll
c:\windows\system32\nxe2grrknzf9dxykmqg.inf
c:\windows\system32\p6vyqtqjuya3rfan7j.inf
c:\windows\system32\perrgx5dkqsbqdwaucrqh.dll
c:\windows\system32\qfk6ys52myexkxpwmdmhq.inf
c:\windows\system32\qqyq7452eavkmqdnr.inf
c:\windows\system32\s5ksrtwdf35ew9f2kbdf.inf
c:\windows\system32\scevfjrcmab7.dll
c:\windows\system32\updater.exe
c:\windows\system32\w8mvnsbgccw52xyxv8wq.inf
c:\windows\system32\wmitpfs.dll
c:\windows\system32\x5t4kv8dnmmbdrxaux82k.inf
c:\windows\system32\z6fvkef47hupzgaxee.inf
c:\windows\tasks\2vefnvqbcyfhkuaxtve9.inf
c:\windows\tasks\c2nh4numz9kny5zqnc.inf
c:\windows\tasks\efepead4zpvmuxrdbs.inf
c:\windows\tasks\jjx5r8wnsqunnxgwpwn.inf
c:\windows\tasks\txpsquxathx8qtr6s6yn.inf
c:\windows\tasks\ygfdvuegeqm9fhy5rnn.inf

同时从其它电脑上拷贝或从网上下载正常文件覆盖以下可能被病毒替换的文件:
c:\windows\system32\comres.dll(有点象猫癣木马)
c:\windows\system32\appmgmts.dll
c:\windows\system32\mspmsnsv.dll
c:\windows\system32\userinit.exe

3.使用SREng修复下面各项:

  启动项目 -- 注册表之如下项删除(大部分都是随机的文件名,可根据文件名长度与含义及文件创建、修改时间查找):
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  <updater><C:\WINDOWS\system32\updater.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
  <ming9bstart><C:\WINDOWS\system\ming9b090423.exe> 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
  <{A2BCFCEE-C939-433F-A32A-7353A6E720DB}><C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf>
  <{D36A1DF7-6582-4160-B925-59A34E39FE30}><C:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf>  
  <{20CFDC59-228C-481F-80B6-404BCFA16B13}><C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf>  
  <{B6C3510F-2666-496B-A46F-6EEFD6328C2B}><C:\WINDOWS\Tasks\txPsQUxAThX8QTR6s6Yn.inf>
  <{7488E47D-E8F3-41C0-B2DA-9B2BD8803A80}><C:\WINDOWS\Tasks\EfEPEaD4ZpVMUXrDbS.inf>  
  <{51716C09-6B08-4CCF-B526-718E912C0573}><C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll>
  <{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll>  
  <{74DA2FEC-F68F-4DC7-9A45-9174AC044427}><C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf>  
  <{C20C5A13-4DD7-40D9-90B4-700BAB0BBBE9}><C:\WINDOWS\system32\S5kSrtwDf35EW9f2kBDF.inf>  
  <{6049BC02-7EDA-4C41-B4AB-D5398607C39E}><C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf>]
  <{87DE8A1A-96C5-4420-B222-EF998F697CE7}><C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll>  
  <{9C20D654-5AF8-4DB7-A125-1A17D7065C73}><C:\WINDOWS\system32\QQyQ7452eAVkMqdNR.inf>
  <{B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C}><C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf>  
  <{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><C:\WINDOWS\system32\08223B03.dll>  
  <{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}><C:\WINDOWS\fonts\A97CRaCB.fon>
  <{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><C:\WINDOWS\system32\dhDhwS7fFW.dll>  
  <{C07B914B-C164-42D2-9838-1422C3F70D99}><C:\WINDOWS\system32\BPRBASgvesMzHRfu3AfB.inf>  
  <{7938BD2F-0143-4C46-991C-71069712D9D9}><C:\WINDOWS\system32\DMvJFcDsGe5Kccsmc6gZFjB.inf>  
  <{CD478099-014D-4B3A-A4BB-B518F1019BC7}><C:\WINDOWS\system32\SCEVFJRCmaB7.dll>
  <{335A9BAE-19FA-42F2-AFD2-20C3275EF392}><C:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf>  
  <{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}><C:\WINDOWS\system32\ndxq9awMc.dll>  
  <{2EF0D734-21FD-4225-A1A2-BCD296182AAF}><C:\WINDOWS\system32\2EF0D734.dll>  
  <{0DCB6565-A9F9-41CA-97E1-65F4A6345F3E}><C:\WINDOWS\Tasks\2VeFNvQbcyFhKUaXTVE9.inf>  
  <{CE38B9E6-AF0C-4B93-AFAB-A20C2311FFD0}><C:\WINDOWS\system32\X5T4kV8DNmMbdRXAUx82K.inf>
  <{B7D21764-31A1-4B15-B975-8AAA398CE07F}><C:\WINDOWS\system32\FXNEE8UE86dAU4wwQSW.inf>  
  <{E16EA4C8-040B-4A12-A0F5-783963AD665D}><C:\WINDOWS\system32\P6VyQtQJUYa3rFan7J.inf>  
  <{1719B301-B494-4185-9379-242461F9CF02}><C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf>
  <{B9D0F4D7-C809-4C27-9CB4-63201DFB3D05}><C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf>  
  <{3DCB9005-ABA0-47F8-8C40-49ABC04AE5EE}><C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf>  
  <{93DA1E7D-7C46-4F90-8674-EC90511FCA72}><C:\WINDOWS\system32\CDuAUVkGy9.dll>  
  <{8A6A5B34-D995-4C5D-9338-B5E264B4A87}><C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf>  
  <{CB661471-055A-4C5B-9ED0-497B9908FEF5}><C:\WINDOWS\system32\CWcQnWxHjWqtE6PsYyEe.inf>  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
  <360rpt.exe><ntsd -d>  (360)
  <360safe.exe><ntsd -d>
  <ast.exe><ntsd -d>  (超级巡警)
  <avguard.exe><ntsd -d>(AVG)
  <avp.exe><ntsd -d>(卡巴斯基)
  <egui.exe><ntsd -d>(NOD32)  
  <ekrn.exe><ntsd -d>  
  <kavstart.exe><ntsd -d>(金山)  
  <KVMonXP.kxp><ntsd -d>  (江民)
  <MPMon.exe><ntsd -d>(微点,不知道是否开着防御病毒能否进入IFEO)
  <MPSVC.exe><ntsd -d>
  <RavMonD.exe><ntsd -d>(瑞星)
  <修复工具.exe><ntsd -d>  
   ……
  (映像劫持IFEO项太多,不一一列出,它们在SREng注册表启动项中将以红色标出,需全部删除,否则杀毒软件都无法运行)

启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[WMITPFS Service / wmitpfs] <C:\WINDOWS\system32\svchost.exe -k wmitpfs-->%windir%\system32\wmitpfs.dll>

启动项目 -- 服务-- 驱动程序之如下项禁用:
[pcidump / pcidump] <\??\C:\WINDOWS\system32\drivers\pcidump.sys>

4.除以上正在运行的文件外,还可能有其它病毒释放的文件和下载的木马存在,可下载windows清理助手辅助查杀(至少清理助手还没有被劫持),如果以上注册表的映像劫持项被删除,还可以使用360清理病毒和木马,最后还是要升级杀毒软件进行全盘扫描杀毒,修复可能被感染的应用程序,如果未升级,可能导致被感染的文件直接被删除而不是清除修复。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/504.html

发表评论(欢迎交流,无须注册 | 如申请友链与本站要求不符,恕不回复,见谅):

验证码

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 收藏文章:
  • 新浪微博:
  • 订阅博客:
  • 腾讯微博:

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2016 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号