菜鸟求助
最近病毒“窝案”比较常见。被病毒感染后,会有一窝婴儿出生。
自动下载流行病毒到某网站后台,卡巴等国外软件无法及时升级。
后来用金山查杀了200多个病毒,根据日期搜索病毒在系统盘上创建了1000多个文件。流氓软件砍不死!他们在春风中又长高了!主页已更改为。com/user 17/pjf/blog/44570897 . html)
手动杀毒操作的具体步骤如下:
首先,用IceSword分类处理以下流程:
第一类:病毒模块插入的系统核心进程。
这种过程不能结束,否则,系统会崩溃。
这就是病毒在随机插入过程中难以处理的原因。
使用IecSword,您可以做到这一点:
点击IceSword面板上的“文件”和“设置”;勾选“无线程创建/无附件功能”并点击“确定”。然后根据进程名或PID(进程号)找到以下进程,强行卸载插入的病毒模块C: \ Windows \ 136741m。BMP和C: \ Windows \ System32 \ WSD _ Sock32。DLL。
[PID: 744][\?\ C:\ WINDOWS \ system32 \ winlogon . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:796][C:\ WINDOWS \ system32 \ services . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:808][C:\ WINDOWS \ system32 \ save dump . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:816][C:\ WINDOWS \ system32 \ lsass . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:1004][C:\ WINDOWS \ system32 \ svchost . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:1092][C:\ WINDOWS \ system32 \ svchost . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:1196][C:\ WINDOWS \ System32 \ svchost . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:1288][C:\ WINDOWS \ system32 \ svchost . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:1376][C:\ WINDOWS \ system32 \ svchost . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:2264][C:\ WINDOWS \ system32 \ sev chost . exe][微软公司,5,0,0,0]
[PID:224][C:\ WINDOWS \ system32 \ sev chost . exe][微软公司,5,0,0,0]
第二类:病毒进程。
要删除病毒文件及其注册表插件,您必须先用IceSword结束这些进程:
[PID:448][C:\ WINDOWS \ uninstall \ rundl 132 . exe][不适用,不适用]
[PID:476][C:\ Program Files \ Common Files \ { 08831C2E-063 C-2052-0727-060502060056 } \ update . exe][不适用,不适用]
[PID:500][C:\ WINDOWS \ system32 \ wdf mgr 32 . exe][不适用,不适用]
[PID:512][C:\ Program Files \ Common Files \ System \ update run . exe][不适用,不适用]
[PID:3996][C:\ WINDOWS \ system32 \ systemi.exe][明基,1.00]
[PID:2468][C:\ WINDOWS \ system32 \ rav mod . exe][Microsoft Corporation,6,0,3790,1830]
[PID:2788][C:\ WINDOWS \ system32 \ rav mod . exe][Microsoft Corporation,6,0,3790,1830]
[PID:3480][C:\ WINDOWS \ system32 \ rav mod . exe][Microsoft Corporation,6,0,3790,1830]
[PID:3528][C:\ Documents and Settings \ All Users \ Templates \ temp . exe][不适用,不适用]
[PID:3784][C:\ WINDOWS \ system32 \ rav mod . exe][Microsoft Corporation,6,0,3790,1830]
[PID:1188][C:\ WINDOWS \ system32 \ rav mod . exe][微软公司,6,0,3790,1830]
[PID:2140][C:\ WINDOWS \ system32 \ rav mod . exe][Microsoft Corporation,6,0,3790,1830]
[PID:3976][C:\ WINDOWS \ system32 \ rav mod . exe][Microsoft Corporation,6,0,3790,1830]
[PID:1744][C:\ WINDOWS \ system32 \ rav mod . exe][Microsoft Corporation,6,0,3790,1830]
第三类:被病毒插入的普通应用进程;
这些进程已经被病毒模块插入。如果不结束这些进程,就无法删除病毒文件。你可以用IceSword结束这些过程:
[PID:1592][C:\ WINDOWS \ system32 \ spoolsv . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:176][C:\ WINDOWS \ Explorer。微软公司,6 . 00 . 2900 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:340][C:\ program files \ internet explorer \ ie xplore . exe][微软公司,6.00.2900.2180
[PID:568][C:\ WINDOWS \ system32 \ conime . exe][微软公司,5.1.2600.2180
[PID:1340][C:\ WINDOWS \ system32 \ Media \ services . exe][不适用,不适用]
[PID:1636][C:\ WINDOWS \ system32 \ nvsvc 32 . exe][英伟达公司,6.14.10.8293]
[PID:1852][C:\ WINDOWS \ system32 \ svchost . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:2396][C:\ program files \ internet explorer \ ie xplore . exe][微软公司,6 . 00 . 2900 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:2620][C:\ WINDOWS \ system32 \ wdf mgr . exe][微软公司,5.2.3790.1230建造者:dnsrv(bld4act)]
[PID:2904][C:\ WINDOWS \ system32 \ rundll32 . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:3124][C:\ WINDOWS \ system32 \ wscntfy . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:3456][C:\ WINDOWS \ System32 \ alg . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:3864][C:\ program files \ internet explorer \ ie xplore . exe][微软公司,6 . 00 . 2900 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID: 532][F:\Maxthon\Maxthon~。exe][傲游国际有限公司,1,5,7,82]
[PID:356][C:\ WINDOWS \ system32 \ WBEM \ wmiprvse . exe][微软公司,5.1.2600 . 2180(xpsp _ SP2 _ RTM . 040803-2158)]
[PID:3264][C:\ WINDOWS \ system32 \ wuauclt . exe][微软公司,5.8.0.2469构建者:lab01_n(wmbla)]
[PID:1180][F:\ SREng 2 \ SREng \ SREng ~。小青蛙工作室,2.2.6.605
2.用Iceword处理完上述过程后,可以用Iceword删除以下病毒文件:
c:\ WINDOWS \ system32 \ nt service 32 . dll
C:\Program Files\real\adx.exe
c:\ WINDOWS \ system32 \ iebar 1 . dll
c:\ WINDOWS \ uninstall \ rundl 132 . exe
c:\ Program Files \ Common Files \ { 08831C2E-063C-2052-0727-060502060056 } \ update . exe
c:\ docume ~ 1 \ Zhao \ locales ~ 1 \ temp文件夹。
c:\ WINDOWS \ system32 \ systemi . exe
c:\ WINDOWS \ system32 \ wdf mgr 32 . exe
c:\ Program Files \ Common Files \ System \ update run . exe
C:\WINDOWS\136741M。位图文件的扩展名(Bitmap)
c:\ WINDOWS \ system32 \ 3d fdf 19A。可执行程序的扩展名
c:\ WINDOWS \ system32 \ 67481948。可执行程序的扩展名
C:\WINDOWS\system32\aqxyy.dll
c:\ WINDOWS \ system32 \ nsvce 32 . exe
c:\ WINDOWS \ system32 \ wind hcp . ocx
c:\ WINDOWS \ system32 \ nt service 32 . dll
c:\ PROGRA ~ 1 \ COMMON ~ 1 \ dtes \ kxlg . dll
C:\WINDOWS\SYSTEM32\WBEM\BMADY。动态链接库
c:\ WINDOWS \ system32 \ drivers \ ajifcfbf . sys
c:\ WINDOWS \ system32 \ DRIVERS \ ms protect . sys
c:\ WINDOWS \ System32 \ DRIVERS \ naqbas 29 . sys
右键单击字母D,然后单击打开。删除d盘根目录下的Autorun.inf和mplay.com
c:\ Windows \ System32 \ WSD _ SOCK32.DLL(由WinsockxpFix.exe修复)
第三,最后用IceSword删除注册表中的以下内容:
启动项目:
[HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows \ current version \ Run]
& lt桌面& gt& lt" C:\ WINDOWS \ system32 \ rundll32 . exe " " C:\ WINDOWS \ system32 \ ntservice 32 . dll ",Run & gt[]
& ltadx.exe & gt& ltc:\ Program Files \ real \ adx . exe & gt;[微软公司]
& ltIEBarUp & gt& ltRunDll32 " C:\ WINDOWS \ system32 \ iebar 1 . dll ",Run & gt[不适用]
& ltload & gt& ltc:\ WINDOWS \ uninstall \ rundl 132 . exe & gt;[不适用]
& lt{ 08831C2E-063 c-2052-0727-060502060056 } & gt;& lt" C:\ Program Files \ Common Files \ { 08831C2E-063 C-2052-0727-060502060056 } \ update . exe " te-110-12-0000049 & gt;[不适用]
& ltzts2 & gt& ltc:\ DOCUME ~ 1 \赵\ LOCALS ~ 1 \ Temp \ zts 2 . exe & gt;[不适用]
& ltrxzs & gt& ltc:\ DOCUME ~ 1 \赵\ LOCALS ~ 1 \ Temp \ rxzs . exe & gt;[不适用]
& ltmhs2 & gt& ltc:\ DOCUME ~ 1 \赵\ LOCALS ~ 1 \ Temp \ MHS 2 . exe & gt;[不适用]
& ltwlzs & gt& ltc:\ DOCUME ~ 1 \赵\ LOCALS ~ 1 \ Temp \ wlzs . exe & gt;[不适用]
& lt& gt& ltc:\ WINDOWS \ system32 \ systemi . exe & gt;[不适用]
& ltwdfmgr32 & gt& ltc:\ WINDOWS \ system32 \ wdf mgr 32 . exe & gt;[不适用]
& lt系统& gt& ltc:\ Program Files \ Common Files \ System \ update run . exe & gt;[不适用]
[HKEY _ LOCAL _ MACHINE \ Software \ Microsoft \ Windows NT \ current version \ Windows]
& ltAppInit _ DLLs & gt& lt136741M。BMP & gt[不适用]
服务:
[3d fdf 19A/3d fdf 19A]
& ltc:\ WINDOWS \ system32 \ 3d fdf 19A。EXE-service & gt;& lt微软公司& gt
[67481948 / 67481948]
& ltc:\ WINDOWS \ system32 \ 67481948。EXE-service & gt;& lt微软公司& gt
[COM+消息/ COM+消息]
& lt" C:\ WINDOWS \ system32 \ svchosts . exe "-e te-10-12-0000049 & gt;& lt不适用& gt
[远程注册表保护/模式]
& ltc:\ WINDOWS \ System32 \ svchost . exe-k netsvcs-& gt;c:\ WINDOWS \ system32 \ aqxyy . dll & gt;& lt微软公司& gt
[pl.eeewl.com/pl.eeewl.com]
& ltc:\ WINDOWS \ system32 \ nsvce 32 . exe & gt;& lt不适用& gt
[Windows DHCP服务/ WinDHCPsvc]
& ltc:\ WINDOWS \ system32 \ rundll32 . exe wind hcp . ocx,start & gt& lt微软公司& gt
[Windows NT服务32 / Windows NT服务32]
& lt" C:\ WINDOWS \ system32 \ rundll32 . exe " " C:\ WINDOWS \ system32 \ ntservice 32 . dll ",Start & gt& lt微软公司& gt
[Vsn xnyw服务/ xnyw]
& ltC:\ WINDOWS \ system32 \ rundll32 . exe C:\ PROGRA ~ 1 \ COMMON ~ 1 \ dtes \ kxlg . dll,Service & gt& lt微软公司& gt
[网络IPSEC连接/发送]
& ltC:\WINDOWS\SYSTEM32\RUNDLL32。EXE C:\ WINDOWS \ SYSTEM32 \ WBEM \ b mady。DLL,Export 1087 & gt;& lt不适用& gt
驱动程序:
[ajifcfbf / ajifcfbf]
& lt\ SystemRoot \ system32 \ drivers \ ajifcfbf . sys & gt;& lt不适用& gt
[msprotect / msprotect]
& ltsystem32 \ DRIVERS \ ms protect . sys & gt;& ltwindows 2000 DDK提供程序& gt
[纳克巴什2 /纳克巴什29]
& lt\ SystemRoot \ System32 \ DRIVERS \ naqbas 29 . sys & gt;& lt不适用& gt