想当白客 - 2008-2-5 9:47:00
我的系统里有2个假冒的系统程序删不干净:explorer和userinit...我用清理助手查出来的..我把他们删了后真正的explorer和userinit程序就自动出来来..可每次重器后又有了..而且用很多粉碎文件的杀毒软件粉碎后又有...
以下是我重起后没做任何其他操作的扫描日志
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)附件:
100943720082593605.txt
CAPTjoe - 2008-2-5 10:11:00
打开SREng-在"启动项目->注册表->删除以下启动项目
[WinlogonNotify: DfLogon] <LogonDll.dll>
打开SREng-在"启动项目->服务->驱动程序"选中"隐藏已认证的微软服务" 然后将下面名称的服务删除(选中有问题的服务后,点“删除服务”,点“设置”按钮即可。 注意弹出的窗口中要点 “NO 否”才是确认删除服务)(不能删除的就禁用:启动类型(下拉选项)改为disabled,点中“修改启动类型”,点设置):
[ATI2HDDSRV / ATI2HDDSRV] <\??\C:\WINDOWS\system32\drivers\ati32srv.sys>
[Apaidi / Apaidi] <\??\C:\WINDOWS\system32\drivers\Apaidi.sys>
重启电脑,删除以下文件:
c:\windows\system32\hddguard.dll
c:\windows\system32\logondll.dll
c:\windows\system32\drivers\ati32srv.sys
c:\windows\system32\drivers\apaidi.sys
到反毒版置顶贴http://forum.ikaka.com/topic.asp?board=28&artid=8417665下载一楼附件,结束病毒进程:
[PID: 1324 / 太慈][C:\WINDOWS\system32\userinit.exe] [N/A, ]
[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
[PID: 1340 / 太慈][C:\windows\explorer.exe] [N/A, ]
[C:\WINDOWS\system32\HDDGuard.dll] [N/A, ]
将附件中的Explorer.exe复制到c:\windows\目录,将附件中的userinit.exe复制到C:\WINDOWS\system32\目录以及C:\WINDOWS\system32\dllcache\目录。
完成后重扫日志上传。
© 2000 - 2026 Rising Corp. Ltd.