病毒安全知识,电脑网络技术,手工杀毒方法,答疑解决笔记

导航

« 资料:百兆网线和千兆网线的区别显卡故障引起死机 »

清除hifbe.dlc、gxiv.dll、18406.exe等病毒

  中毒情况:使用游戏外挂中毒,桌面丢失,鼠标右击不能用,显示找不到资源管理器,还显示找不到c2rs.dll动态链接库(估计是在杀毒软件还活着时删除的),IE主页被改,杀毒软件无能为力,等等。

清除方案如下(可参考“怎样根据SREng日志的分析报告清除病毒”一文处理)

1.删除以下文件:
C:\Documents and Settings\All Users\drm\irtnv.dlc
C:\Documents and Settings\NetworkService\Application Data\uebvy\hifbe.dlc
c:\documents and settings\<用户名>\「开始」菜单\程序\启动\360.exe
c:\documents and settings\<用户名>\application data\gqaku\gqaku.exe
C:\Program Files\NetMeeting\ehjvr.dlc
c:\program files\messenger\conimed.exe
c:\windows\system32\18406.exe
c:\windows\system32\cccd.exe
c:\windows\system32\drivers\ljdnf.sys
c:\windows\system32\drivers\qqvnu.sys
c:\windows\system32\drivers\qztad.sys
c:\windows\system32\gxiv.dll
c:\windows\system32\wiminip32.exe
c:\windows\system32\winhelp.exe
c:\windows\system32\winhelp32.exe
c:\windows\txplatform.exe
c:\windows\system32\gzs\lsass.exe(注意它们的路径与系统文件不同)
c:\windows\wwww\smss.exe
以下两个文件须复制正常文件覆盖替换:
c:\windows\system32\ctfmon.exe
c:\windows\explorer.exe(此文件出问题将导致桌面丢失,即只剩下一个背景图片)

2.删除重启后使用SREng修复下面各项:

启动项目 -- 注册表之如下项删除:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<360safebox>< C:\WINDOWS\system32\18406.exe>
<smss>< c:\windows\wwww\smss.exe>
<TXPlatform>< C:\WINDOWS\TXPlatform.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<wAoD><%systemroot%\system32\rundll32.exe %systemroot%\system32\gXIV.dll,DllRegisterServer>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<mydoc><"C:\Program Files\Messenger\conimed.exe">
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{f2fe57f6-7a76-cfcb-cfcb-8b87e08f5ced}]
<N/A><C:\WINDOWS\system32\gzs\lsass.exe /s>

启动项目 -- 启动文件夹之如下项删除:
[360] <C:\Documents and Settings\<用户名>\「开始」菜单\程序\启动\360.exe>(假冒360安全卫士的文件)

启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[gqakueoy / gqaku] <C:\Documents and Settings\<用户名>\Application Data\gqaku\gqaku.exe>
[MacroAdser / MacroAdser] <C:\WINDOWS\system32\cccd.exe>
[nuxoivxm / nwcworkstation] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\DOCUME~1\NETWOR~1\APPLIC~1\uebvy\hifbe.dlc>
[ojfnrcid / irmon] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\NETMEE~1\ehjvr.dlc>
[tgfhcsit / ias] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\DOCUME~1\ALLUSE~1\DRM\irtnv.dlc>
[Wiminip32 System / Wiminip32] <C:\WINDOWS\system32\Wiminip32.exe>
[winhelp / winhelp] <c:\windows\system32\winhelp.exe>
[winhelp32 / winhelp32] <c:\windows\system32\winhelp32.exe>

启动项目 -- 服务-- 驱动程序之如下项禁用:
[dluvha / dluvha] <\SystemRoot\system32\drivers\ljdnf.sys>
[armestj / armestj] <\SystemRoot\system32\drivers\qqvnu.sys>
[eqjshi / eqjshi] <\SystemRoot\system32\drivers\qztad.sys> 

启动项目 --计划任务(删除前先到控制面板-任务计划中查其看属性,看rundll32引用的文件是什么,如果是病毒文件,一并删除,注意不要误删除rundll32.exe系统文件)
ms.job

最后建议升级杀毒软件、安全工具全盘扫描清理残留文件,并清理临时文件与IE缓存。


>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/705.html

  • 收藏文章:
  • 新浪微博:
  • 微信订阅号
    微信订阅

最新发表

本站出现的所有广告均不代表本人及本站观点立场 | 关于我 | 网站地图 | 联系邮箱 | 返回顶部
Copyright 2008-2016 www.stormcn.cn. All Rights Reserved. Powered By Z-Blog. 闽ICP备09000343号

闽公网安备 35010202000133号