【回复“yongshang95”的帖子】
这日志————太NB了!!
如果会用IceSword,请先禁止进程创建,再按下列顺序操作。
如果不会用IceSword,就重启到安全模式下搞吧。但愿安全模式下能搞。阿门!
————————
1、需要结束的进程(被病毒模块插入的进程或病毒进程):
[PID: 788][C:\WINDOWS\Explorer.EXE]
[PID: 808][C:\WINDOWS\WINNRS.EXE] [N/A, ]
[PID: 1308][C:\Program Files\WinRAR\WinRAR.exe] [N/A, ]
[PID: 1332][C:\DOCUME~1\tcl\LOCALS~1\Temp\Rar$EX01.417\SREng.EXE]
2、需要删除的注册表项:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<sd9bc6hd><C:\DOCUME~1\tcl\LOCALS~1\Temp\Servere.exe> []
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<wm><C:\WINDOWS\Syswm2\svchost.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\DOCUME~1\tcl\LOCALS~1\Temp\zt.exe> [N/A]
<mppds><C:\WINDOWS\mppds.exe> []
<dcoh><C:\WINDOWS\dcoh.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<kernel32><C:\WINDOWS\Kernel32.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<{A6011F8F-A7F8-49AA-9ADA-49127D43138F}><C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.dll> [N/A]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys> []
<{C54C4AFB-8A2A-6C1E-BA41-C20F02940401}><C:\WINDOWS\system32\wl.dll> []
<{99F1D023-7CEB-4586-80F7-BB1A98DB7602}><C:\Program Files\Internet Explorer\IEXPLORE.Sys> []
<{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}><C:\Program Files\Internet Explorer\IEXPLORE.Dat> []
<{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}><C:\Program Files\Internet Explorer\IEXPLORE.win> []
<{F25FB2F3-3125-A348-2E33-F3475A34BDE3}><C:\WINDOWS\system32\skipri.dll> []
服务
[GrayPigeon_Hacker.com.cn / GrayPigeon_Hacker.com.cn][Stopped/Auto Start]
<C:\WINDOWS\Hacker.com.cn.exe><N/A>
驱动程序
[cdnprot / cdnprot][Stopped/Boot Start]
<\SystemRoot\system32\drivers\cdnprot.sys><N/A>
[gcgihjee / gcgihjee][Stopped/Boot Start]
<\SystemRoot\system32\drivers\gcgihjee.sys><N/A>
[New0 / New0][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\new.sys><N/A>
3、需要删除的病毒文件:
C:\DOCUME~1\tcl\LOCALS~1\Temp\Servere.exe
C:\WINDOWS\Syswm2\svchost.exe
C:\DOCUME~1\tcl\LOCALS~1\Temp\zt.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\dcoh.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\Kernel32.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.dll
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\WINDOWS\system32\wl.dll
C:\Program Files\Internet Explorer\IEXPLORE.Sys
C:\Program Files\Internet Explorer\IEXPLORE.Dat
C:\Program Files\Internet Explorer\IEXPLORE.win
C:\WINDOWS\system32\skipri.dll
C:\WINDOWS\Hacker.com.cn.exe
C:\WINDOWS\SystemRoot\system32\drivers\cdnprot.sys
C:\WINDOWS\SystemRoot\system32\drivers\gcgihjee.sys
C:\WINDOWS\system32\new.sys
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\DOCUME~1\tcl\LOCALS~1\Temp\E_4\dp1.fne
C:\DOCUME~1\tcl\LOCALS~1\Temp\E_4\shell.fne
C:\DOCUME~1\tcl\LOCALS~1\Temp\E_4\EThread.fne
4、文件关联可以用SRENG修复一下。
