----------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。 『转载请保留此申明!』
----------------------------------
【2006-12-29最后更新:注意最新变种 IMSCMIG.exe,tpxhst32.exe,SVCH0ST.exe,IEXPL0RE.exe,SC0NFIG.exe,TIMPLATF0RM.exe的清除指南
http://hi.baidu.com/teyqiu/blog/item/431701e90ecaa03fb80e2db7.html 】
本文的眼:最近看到这 6数字+1字母M.BMP 和 如下文件 都是一并出现的,因此写此清除日志。貌似最新的“威金变种”。建议按本文的操作完成后,再用一款威金的专杀解决已经感染的文件问题。
有的也有windhcp.ocx,windhcp.dll一并出现,请参考我的这篇帖子 >>http://hi.baidu.com/teyqiu/blog/item/ad2062d00e30e18fa0ec9c58.html
进行本文的操作前,请务必确定已经至少采用了一款威金的专杀复查过系统。
关于专杀的下载和使用,请参考我的帖子 >>威金有效专杀
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlzs.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhs2.exe
C:\WINDOWS\uninstall\rundl132.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zts2.exe
C:\Program Files\Internet Explorer\PLUGINS\System64.sys
C:\Program Files\Internet Explorer\IEXPLORE.Sys
C:\Program Files\Internet Explorer\IEXPLORE.Dat
C:\WINDOWS\210531M.BMP
杀毒前关闭系统还原:右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
1 用工具killbox 分别填入如下的文件 选择“重启后删除”。
注意一次删多个文件的方法 看懂再操作。 (也就是你拷贝了一个文件进去后点清除,弹出的提示选NO ,直到最后一个文件输完再点YES)
killbox的下载及其用法见: http://post.baidu.com/f?kz=126275178
【也可用强制删除工具 PowerRMV 下载地址: http://post.baidu.com/f?kz=158203765
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭】
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlzs.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhs2.exe
C:\WINDOWS\uninstall\rundl132.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zts2.exe
C:\Program Files\Internet Explorer\PLUGINS\System64.sys
C:\Program Files\Internet Explorer\IEXPLORE.Sys
C:\Program Files\Internet Explorer\IEXPLORE.Dat
C:\WINDOWS\210531M.BMP
重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
2 SREng 删除如下各项
方法 http://hi.baidu.com/teyqiu/blog/item/f706213fc52346ec54e72351.html
启动项目 -->注册表 下的如下各项需要删除
<wlzs><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wlzs.exe> [N/A]
<mhs2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mhs2.exe> [N/A]
<load><C:\WINDOWS\uninstall\rundl132.exe> [N/A]
<zts2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zts2.exe> [N/A]
<{6E44887F-5214-41F2-AB46-4728735C4CC6}><C:\Program Files\Internet Explorer\PLUGINS\System64.sys> [N/A]
<{99F1D023-7CEB-4586-80F7-BB1A98DB7602}><C:\Program Files\Internet Explorer\IEXPLORE.Sys> [N/A]
<{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}><C:\Program Files\Internet Explorer\IEXPLORE.win> [N/A]
<{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}><C:\Program Files\Internet Explorer\IEXPLORE.Dat> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><210531M.BMP> [N/A] 这个不是删除 编辑为空。
3、最后用如下工具解决威金残留问题
威金熊猫最新有效专杀 [【推荐!!】]
Worm.viking,W32.Looked.p
~~~~~~~~~或者
!!威金被感染EXE文件最有效修复工具abc.com
http://bbs.360safe.com/attachment.php?aid=6886
+++ 友情说明 ++++
第一次编辑时 <AppInit_DLLs><210531M.BMP>,可能会发现 无法编辑为空!!!!!!!!
这时应先用 PowerRMV的抑制杀除对象再次生成 或者 Killbox 的重启后删除功能删除掉病毒文件,再编辑时就可以了。
+++++ 友情提醒2 如果你的机子运行ABC.COM出现如下的提示:
ViKing Killer
Run-time error '339';
Component'mscomc...
请换其他的专杀工具,农夫的威金专杀也很有效
【注意提示文件拒绝访问之类的信息实际都没有问题的。。】
http://bbs.360safe.com/attachment.php?aid=5901
----------------------------------
teYqiu【天下无毒】原创文章,转载请标明。http://hi.baidu.com/teyqiu
百度知道反病毒知识专家崔衍渠 授权。 『转载请保留此申明!』
----------------------------------
