可参考之前一篇“清除xeex.exe病毒”,本文可做对照。现象症状不重述,存在文件被感染的情况,可能导致重装系统后重复中毒,而且大量的病毒木马进程出现在进程表中,系统卡死,杀毒软件、防火墙、包括360打不开,给清除工作带来困难。先说清除方案:
1.删除以下文件:
c:\windows\downloaded program files\q2wbjhgrg3dekh9h2euq.cur
c:\windows\downloaded program files\szaeac74ezxjeveju6p.cur
c:\windows\fonts\a97cracb.fon
c:\windows\system32\08223b03.dll
c:\windows\system32\122b901e.dll
c:\windows\system32\2ef0d734.dll
c:\windows\system32\2exjw3dsatgwrf5uapadmhn.dll
c:\windows\system32\amnczw74h8gwd6cpygkrzdy8.inf
c:\windows\system32\btmband89jc9pspq5eknj.inf
c:\windows\system32\cduauvkgy9.dll
c:\windows\system32\cwcqnwxhjwqte6psyyee.inf
c:\windows\system32\dhdhws7ffw.dll
c:\windows\system32\drivers\pcidump.sys
c:\windows\system32\emqzjjurmfvkrkex9gj.inf
c:\windows\system32\fsmby3kmwnag5grbwggu.inf
c:\windows\system32\je9hr9nedwpyacken42c.inf
c:\windows\system32\ndxq9awmc.dll
c:\windows\system32\nxe2grrknzf9dxykmqg.inf
c:\windows\system32\p6vyqtqjuya3rfan7j.inf
c:\windows\system32\perrgx5dkqsbqdwaucrqh.dll
c:\windows\system32\pwd4xpm8kyzkcbqcakt.inf
c:\windows\system32\qfk6ys52myexkxpwmdmhq.inf
c:\windows\system32\scevfjrcmab7.dll
c:\windows\system32\t5snssxgp75aprfts5pkuajx.inf
c:\windows\system32\updater.exe
c:\windows\system32\w8mvnsbgccw52xyxv8wq.inf
c:\windows\system32\wmitpfs.dll
c:\windows\system32\x5t4kv8dnmmbdrxaux82k.inf
c:\windows\system32\z6fvkef47hupzgaxee.inf
c:\windows\tasks\c2nh4numz9kny5zqnc.inf
c:\windows\tasks\efepead4zpvmuxrdbs.inf
c:\windows\tasks\jjx5r8wnsqunnxgwpwn.inf
c:\windows\tasks\tdz5y2teakw2z7xkphf9sqj.inf
c:\windows\tasks\tqupe3tz9fgwu56yjwvyy4t.inf
c:\windows\tasks\ygfdvuegeqm9fhy5rnn.inf
c:\windows\temp\tmp.tmp
以下文件请从其它电脑上拷贝或从网上下载(如http://www.zhaodll.com/),覆盖原文件(如不允许,可用启动盘启动后删除原文件再粘贴,或强制删除后再覆盖)
c:\windows\system32\drivers\sr.sys
c:\windows\system32\srsvc.dll
c:\windows\system32\comres.dll
c:\windows\system32\qmgr.dll
2.使用SREng修复下面各项(下面有些内容可能需要在删除文件后重启才能继续处理):
启动项目 -- 注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<updater><C:\WINDOWS\system32\updater.exe>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{A2BCFCEE-C939-433F-A32A-7353A6E720DB}><C:\WINDOWS\Tasks\JJX5r8wnsqUnNxGwpwn.inf>
<{D36A1DF7-6582-4160-B925-59A34E39FE30}><C:\WINDOWS\system32\EMQzJJURMfVkrkEx9GJ.inf>
<{20CFDC59-228C-481F-80B6-404BCFA16B13}><C:\WINDOWS\system32\Je9hR9NedWPyAckEN42c.inf>
<{81EB905C-EDF8-4033-80BF-E0F4F46733DF}><C:\WINDOWS\Tasks\TDz5y2TEAKw2z7xkPhf9Sqj.inf>
<{7488E47D-E8F3-41C0-B2DA-9B2BD8803A80}><C:\WINDOWS\Tasks\EfEPEaD4ZpVMUXrDbS.inf>
<{51716C09-6B08-4CCF-B526-718E912C0573}><C:\WINDOWS\system32\PERrGx5DkqSbQdwauCRQH.dll>
<{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll>
<{74DA2FEC-F68F-4DC7-9A45-9174AC044427}><C:\WINDOWS\system32\z6FVkEF47huPzgaXee.inf>
<{C4BD9D5C-04CA-45E6-8539-98B07D99B6BC}><C:\WINDOWS\system32\AMNCZw74h8gwd6CpYGkrZDy8.inf>
<{6049BC02-7EDA-4C41-B4AB-D5398607C39E}><C:\WINDOWS\Tasks\yGfdVUegEQm9fhY5rnN.inf>
<{87DE8A1A-96C5-4420-B222-EF998F697CE7}><C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll>
<{09FDF8F4-0F9E-4C84-9F0C-21A1143815E3}><C:\WINDOWS\system32\pwd4Xpm8KYzkcbqcaKT.inf>
<{B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C}><C:\WINDOWS\system32\FsmBY3kmWnAG5gRbwGgU.inf>
<{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><C:\WINDOWS\system32\08223B03.dll>
<{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}><C:\WINDOWS\fonts\A97CRaCB.fon>
<{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><C:\WINDOWS\system32\dhDhwS7fFW.dll>
<{861603EA-21EB-487F-87FD-D373009787A2}><C:\WINDOWS\Downloaded Program Files\q2wbJhgRG3deKh9h2eUq.cur>
<{612A87C6-33C3-4CCF-9F65-55FFC9C83860}><C:\WINDOWS\system32\t5SNSsxGp75apRFtS5Pkuajx.inf>
<{CD478099-014D-4B3A-A4BB-B518F1019BC7}><C:\WINDOWS\system32\SCEVFJRCmaB7.dll>
<{335A9BAE-19FA-42F2-AFD2-20C3275EF392}><C:\WINDOWS\system32\qfK6YS52MyExkxpwMDmHq.inf>
<{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}><C:\WINDOWS\system32\ndxq9awMc.dll>
<{2EF0D734-21FD-4225-A1A2-BCD296182AAF}><C:\WINDOWS\system32\2EF0D734.dll>
<{07B2788F-BD22-404E-B617-4ABCA2C0BF94}><C:\WINDOWS\Tasks\TQupe3tz9FGwu56yjWvyY4t.inf>
<{CE38B9E6-AF0C-4B93-AFAB-A20C2311FFD0}><C:\WINDOWS\system32\X5T4kV8DNmMbdRXAUx82K.inf>
<{F181F067-7046-4DCB-993F-200990736305}><C:\WINDOWS\Downloaded Program Files\sZaeAC74EzXJeVeJu6p.cur>
<{E16EA4C8-040B-4A12-A0F5-783963AD665D}><C:\WINDOWS\system32\P6VyQtQJUYa3rFan7J.inf>
<{1719B301-B494-4185-9379-242461F9CF02}><C:\WINDOWS\system32\BtmBAnd89jc9PsPq5EKNj.inf>
<{B9D0F4D7-C809-4C27-9CB4-63201DFB3D05}><C:\WINDOWS\Tasks\c2nH4numz9knY5zqnC.inf>
<{3DCB9005-ABA0-47F8-8C40-49ABC04AE5EE}><C:\WINDOWS\system32\W8MvNsbGCCW52XyxV8wQ.inf>
<{93DA1E7D-7C46-4F90-8674-EC90511FCA72}><C:\WINDOWS\system32\CDuAUVkGy9.dll>
<{8A6A5B34-D995-4C5D-9338-B5E264B4A87}><C:\WINDOWS\system32\nXe2grrKNzF9dxYKmqg.inf>
<{CB661471-055A-4C5B-9ED0-497B9908FEF5}><C:\WINDOWS\system32\CWcQnWxHjWqtE6PsYyEe.inf>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
IFEO具体内容就不抄了,千篇一律,从杀毒软件到防火墙,还360的坛坛罐罐,可以根据SREng的注册表启动项目中标为红色的IFEO项进行删除,如果直接进注册表操作,检查各项除了“Your Image File Name Here without a path”外,只要debugger值为“ntsd -d”的全删除。
启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[WMITPFS Service / wmitpfs] <C:\WINDOWS\system32\svchost.exe -k wmitpfs-->%windir%\system32\wmitpfs.dll>
启动项目 -- 服务-- 驱动程序之如下项禁用:
[pcidump / pcidump] <\??\C:\WINDOWS\system32\drivers\pcidump.sys>
本例中未出现userinit.exe被感染的现象,这与上例不同。
以上内容与篇前所引的前文基本相同。下面说说一些清除操作的细节:
如果有启动盘最好,如各种PE工具盘,特别是带自动加载硬盘系统注册表工具的,可以处理其中大多数,替换可能被感染的系统文件也很方便,不会因为正在使用而不能动它,删除文件也毫无困难,最重要的是不受系统中病毒的影响,效率高。如果没有启动盘,就象“手动清除comres.dll病毒记”中一样做,不再述,费时费力,有干扰,不保证100%适应你的情况。
除此外,由于有病毒感染执行文件,可能导致清除工作失败,因此借助杀毒软件来进行最后的清除清理工作,一定要升级,避免杀毒软件一删了之,如果升级后仍然不认,应把本机上的病毒样本和被感染的样本传给杀毒软件厂商分析促其升级(这些样本如果自己不认的,就从隔离区中找 )。当然如果是破坏型的感染,那就没招了,只能删除掉后重装对应的应用软件,代码删除了,谁也补不回来。
如果耐不住,一定要重装系统,同样为防止其它分区上被感染或隐藏病毒再次感染重装的系统,所以在装完系统后,不要去碰其它分区,即使你的驱动程序备份在其它分区中,也不能用,可能它们已经中毒。尽快装上杀毒软件处理,参考上一段。
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/516.html
