最近发现很多人中了这个 my123的病毒
我也以身试法 亲自在自己主机上测试了一下 果然很厉害 这里介绍一下我的查杀方法
1.找出驱动
下载auturuns
地址 http://down1.tech.sina.com.cn/download/downContent/2004-09-13/11464.shtml
运行autoruns之后,在它的“Options(选项)”菜单中有两项“Verifiy Code Signatures(验证代码签名)“Hide Signed Microsoft Entries(隐藏已签名的微软项)“,把这两项都选中了。
然后点击 Drivers选项卡 按F5键刷新
关于my123的驱动是一个伪造的微软驱动
注意病毒名是随机的 规律是一般是8个随机数字或字母组成 最后两个一般是数字 记下这个驱动的文件名 我这里是pxvxou38.sys (图1)
也可以用360安全卫士出的专杀找出病毒驱动
http://dl.360safe.com/MY123Killer2.rar
再使用手工和专杀 综合起来查杀2.下载Process Explorer
地址 http://www.onlinedown.net/soft/31805.htm
打开Process Explorer
菜单栏 点击查找-句柄或Dll
在搜索框中输入那个驱动的名称 我这里是pxvxou38.sys
搜索出来了 (图2)
单击那个搜索结果 软件会自动定位到那个 驱动的位置(图3)
然后在那个上面点右键——关闭句柄 (图4)
然后同理 查找与那个启动同名的dll文件 我这里便是pxvxou38.dll
在搜索框中输入那个dll文件的名称
此时会出现两个结果 一个是system 一个是explorer.exe (这个可能会有不同 有的是rundll32加载) (图5)
单击那个搜索结果中的system 软件会自动定位到那个 dll的位置
然后在那个上面点右键——关闭句柄 (图6)
3.打开任务管理器 结束刚才那个dll加载的另外一个进程 我这里是explorer.exe
然后 依次点击 文件-新建任务 浏览 在浏览对话框中找到 那两个文件 一般sys在C:\windows\system32\drivers下
dll在C:\windows\system32 右键删除掉他们 (图7)
4.开始 运行 输入regedit
依次展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00X\Services (X代表任意 比如1,2,3,4...)
查找与那两个 文件同名的文件夹 我这里便是pxvxou38
右键删除掉整个文件夹 (图8)
5.但是测试过程中发现我的方法有时候重启后又出现了 所以再加一步
http://dl.360safe.com/MY123Killer2.rar
和http://www.arswp.com/ 下载这两个工具
重启计算机
重启后用这两个工具杀一遍
6.右键单击 IE浏览器 属性 Intenet文件 删除文件 在删除所有脱机内容上挑构 确定
然后 把主页修改过来
7.此时这个病毒应该被完全干掉了 并且不会出现 加载dll错误的情况
对变种后,使用专杀后无法解决的朋友可以使用此方法,建议使用SReng及奇虎360扫描日志上来让我们分析,
BY:秋日里的蓝天
