症状:系统死慢,CPU高占用率90%以上 进程中出现IEXPLORER.EXE(未开IE浏览器情况下)
日志及分析见 http://www.kingzoo.com/bbs/viewthread.php?tid=10647&pid=61319&page=1&extra=
多罗嗦几句 我的处理流程是这样的
因为是一个同事的电脑,居然没法用U盘(不然直接拿杀毒U盘上)。还好能上网。
1)首先到我的BLOG的这篇帖子里《>> SREng/分析助手/通用病毒杀灭机/Xdelbox/PowerRMV 套装 :P》找到套装的下载链接(新浪的) 下载。
2)解压缩到桌面 运行SRENG 2.5中的SR_teyqiu.com扫描系统 获得日志扫描文件SRENG.log
3)由于速度太慢,大致看了下日志 有通过[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
加载的,进程管理器中先杀掉Explorer.exe进程。按<win>+R 打开运行 (注:win键一般的键盘上都有,就是上面是微软的旗帜图标的那个,一般在CTRL和ALT键的中间。)
4)找到桌面我的文件夹teyqiu_AntVir_TOOLS ,打开分析助手的执行文件
5)分析日志 得到指令文件 wj.dat
6)老方法,<win>+R 打开“运行”,点浏览,找到通用病毒杀灭机的可执行文件,运行。
7)文件导入(找到之前保存的指令文件 wj.dat ) 如下图 点执行指令 重启后问题解决,世界清净了。
整个过程大概只3分钟。十分高效。
在可能的情况下,建议大力推广通用病毒杀灭机,加快执行效率,将分析日志及繁琐的工具操作留给反病毒斗士(即将这个过程“封装”),对一般的求助者,只是用通用病毒杀灭机导入一个得到的指令文件,点两下按钮就解决了他们的麻烦。
通用病毒杀灭机下载 >> SREng/分析助手/通用病毒杀灭机/Xdelbox/PowerRMV 套装 :P
本案例是利用通用病毒杀灭机成功解决的案例。如下给出手动解决的方法:
【对于本问题的解决方法】
具体问题具体分析。如下为本问题的解决方案 请仔细阅读,看懂后操作。
1、关闭系统还原(Windows 2000系统可忽略该步)
2、强制删除如下的文件, 建议采用xdelbox 或者 powerRMV等工具。如果提示某文件不存在,请忽略之继续填入下一个直到完成。
c:\program files\internet explorer\plugins\nvsys_55.sys
c:\windows\system32\kvsc3.dll
c:\windows\system32\lotushlp.dll
c:\windows\system32\ssldyn.dll
c:\windows\system32\swjqbzc.dll
c:\windows\system32\msprint32d.dll
c:\progra~1\winkld\winkld.dll
c:\windows\ssldyn.exe
c:\windows\ufwjsx.exe
c:\windows\system32a2.sys
c:\windows\\systemroot\system32\drivers\kajhsg.sys
c:\windows\system32\fat32.sys
3、重启后 用工具SREng 操作如下
==================================
启动项目 -->注册表 的如下项删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<MsPrint32D><C:\WINDOWS\ufwjsx.exe> [N/A]
<SSLDyn><C:\WINDOWS\SSLDyn.exE> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{471B15AD-7A9C-491D-9C19-4E15B12DCE00}><C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys> []
<{24909874-8982-F344-A322-7898787FA742}><C:\WINDOWS\system32\swjqbzc.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<SysTime><C:\PROGRA~1\WinKld\WinKld.dll> [N/A]
==================================
SREng 位置:系统修复--> 浏览器加载项(BHO) 下的如下项目删除
[]
{471B15AD-7A9C-491D-9C19-4E15B12DCE00} <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys, N/A>
[]
{471B15AD-7A9C-491D-9C19-4E15B12DCE00} <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys, N/A>
==================================
启动项目 -->服务-->驱动程序的如下项删除(如果删不掉,就设置类型为disabled!)
[PciHardDisk / PciHardDisk][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\fat32.sys><N/A>
[sgofkf / sgofkf][Running/]
<2 - 系统找不到指定的文件。><N/A>
[R2A / R2A][Stopped/Disabled]
<\??\C:\WINDOWS\system32a2.sys><N/A>
[kajhsg / kajhsg][Running/Boot Start]
<\SystemRoot\\SystemRoot\System32\drivers\kajhsg.sys><N/A>
4 最后用windows清理助手或者金山清理专家等工具清理 。
ps: 工具下载以及SRENG用法等的具体方法请参考,看懂再操作。
http://hi.baidu.com/teyqiu/blog/item/6dcb7cd91bce21ea39012f8d.html
