病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« CNNIC:不会贸然关闭已注册域名ThunderAdvise.dll »

清除mpkrnl.dll、kb*.dll等木马

  同事说他的电脑有问题,检查后发现中了木马,经过清理修复,特此记录。有几点注意:以下列出的可能并非完全,仍可能存在残留,因此在清除以下内容后,使用杀毒软件全盘查杀;清理过程可以使用windows清理助手协助操作,部分内容来源于其查杀记录,当然用其它的工具也可以;我同事的电脑上安装的系统为win2000,系统目录为c:\winnt,如果是xp以上的系统,则应该为windows;还有c:\program files\messenger\中的MSGSWCAM.dll,注意与正常MSN文件区别(注意安装目录)。

1.删除以下文件:

C:\WINNT\system32\actxprxy.dll(该系统文件被病毒替换,需用正常文件替换恢复)

c:\winnt\mpkrnl.dll
c:\program files\messenger\msgswcam.dll(此文件夹并非MSN的安装目录,应整个删除)
C:\WINNT\system32\imm32.dll.tmp
C:\WINNT\SYSTEM32\qt-dx3.dll
C:\WINNT\system32\MSGSCR.TLB
C:\WINNT\SYSTEM32\DRIVERS\hmbpodex.dat 
C:\WINNT\SYSTEM32\DRIVERS\msnoipds.dat 
C:\WINNT\SYSTEM32\DRIVERS\wtimsdo.dat

还有一个wsconfig.db文件,在系统目录下,是文本文件,其中包含以下内容:
[0]
f=C:\WINNT\system32\kb5115534.dll
g=C:\WINNT\system32\kb6115553.dll
j=C:\WINNT\system32\kb911561.dll
q=C:\WINNT\system32\kb16115532.dll
o=C:\WINNT\system32\kb14115550.dll
m=C:\WINNT\system32\kb12115558.dll
l=C:\WINNT\system32\kb1111563.dll
b=C:\WINNT\system32\kb1115522.dll
这些kb*.dll文件也要注意查找并删除,后面的数字是可变的
 

以下文件名为一般为随机生成,仅供参考
c:\program files\mhzx\tlmhzx1104.dll(此文件夹应整个删除)
c:\winnt\tasks\deaxupxqweyavph4pd3brcyyshv.inf
c:\winnt\system32\perrgx5dkqsbqdwaucrqh.dll
c:\winnt\system32\z6fvkef47hupzgaxee.inf
c:\winnt\downloaded program files\gxrsg8sda4habgnqxnr9jgfu6nz.cur
c:\winnt\system32\jmq7bper4xa8ev5ftcb.inf
c:\winnt\system32\fsmby3kmwnag5grbwggu.inf
c:\winnt\fonts\a97cracb.fon

2.使用SREng修复下面各项:

启动项目 -- 注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
   <MPKrnl><rundll32 "C:\WINNT\MPKrnl.dll",KrnlMsgProc>  
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
     <Userinit><C:\WINDOWS\system32\userinit.exe,rundll32.exe c:\Progra~1\mhzx\tlmhzx1104.dll Start,> (此项应恢复系统默认值<C:\WINDOWS\system32\userinit.exe,> 注意最后有个逗号)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
  <{32D1A17C-A0E9-4B05-AD83-A292B98CD824}><C:\WINNT\Tasks\dEAXUPxQWEyAvpH4Pd3brcyYSHV.inf>
  <{51716C09-6B08-4CCF-B526-718E912C0573}><C:\WINNT\system32\PERrGx5DkqSbQdwauCRQH.dll>  
  <{74DA2FEC-F68F-4DC7-9A45-9174AC044427}><C:\WINNT\system32\z6FVkEF47huPzgaXee.inf>  
  <{C53C1999-1B56-41BD-8F76-520D618F112C}><C:\WINNT\Downloaded Program Files\gxrSG8sdA4hAbGNQXnr9JGFu6nZ.cur>
  <{7198F428-77AC-4837-AFBE-1E0393575935}><C:\WINNT\system32\JMq7bpeR4Xa8eV5ftCB.inf>  
  <{B7F1BFDC-4B6C-4E2F-AF7A-638D2D47802C}><C:\WINNT\system32\FsmBY3kmWnAG5gRbwGgU.inf>  
  <{8708994F-1758-4C2C-9A3F-FA22D6CCCB41}><C:\WINNT\fonts\A97CRaCB.fon>  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
   <Webcam><C:\Program Files\Messenger\msgswcam.dll>
 

启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
  [Smart Card Helper / SCardDrv] <C:\WINNT\system32\scardsvr32.exe -v> (此项应与以上木马无关,是我同事电脑上经常中的老病毒,和杀毒软件很熟了,一般文件已经删除,只有服务残余项留着) 


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/567.html

发表评论(无须注册,所有评论在审核通过后显示):

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

  • 微信订阅号
    微信订阅

最新发表

最新评论及回复

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2020 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号