回复:查出两个木马就是杀不掉怎么办?
首先,不要期待任何单系统内运行的杀毒软件可以清除此病毒/木马,因为该木马是凌驾于个杀毒软件之前加载的,杀毒软件只能杀掉他派生出来的新毒,而无法根治(开机又再来),要用杀毒软件彻底清除此毒,需有另外完全隔离的操作系统(双系统的朋友可以试试),或者杀毒软件自带启动盘。
其次,杀毒过程相对冗长(花了我2+小时),大家衡量一下是杀毒快,还是重装系统快,然后再决定。
ok,如果你大致能看懂我上面所讲的病毒工作原理,并且决定靠你自己的双手来亲自干掉它,请继续往下看。(否则建议不要浪费时间--直接去重装系统)
0,请准备一个必要工具--rootkit unhooker
http://www.rku.xell.ru/?l=e&a=dl)
1,任务管理器结束explorer进程---这个比较猛吧?一般人没事干会终止explorer么?可是不终止不行,因为病毒的母体已经挂上explorer了。
2,然后将mspcidrv.sys所挂钩的服务移出(这步至关重要)
用任务管理器--添加新任务来打开,打开后把所有的程序都unhook掉(我是这么做的)
3,进注册表删除所有与internet.exe 、mspcidrv.sys、Ntdll32.dll及IEHELPER.DLL相关的所有项目。
4,重启机器后删除mspcidrv.sys,再进注册表删一遍,同时清除病毒残留internet.exe。
5,打开IE --tools --manage add-on,把IEhelper+ntdll32都卸载掉
6,这回能删IEhelper.dll了
7,同时注意msconfig里面不熟的程序全部disable
8,重起在删,直到注册表内彻底干净为止
9,还没完,因为ntdll32已经嵌入了winlogon,删不掉,怎么办?--进windows/system32把它名字改了
10,在重起--ntdll32就不加载了--删!
11,再用各种杀毒/木马软件清理一下残余
祝贺您!大功告成!!!!
