{014A26F5-FBAD-4549-9CA1-C38210704BD1}
[AM] 37. c:\program files\common files\microsoft shared\msinfo\system16.ins
CODE,DATA,BSS,.idata,.edata,.reloc,.rsrc,
{559AFD5B-159F-ACD8-954C-ACD545FA6585}
[AM] 38. c:\windows\system32\jzepri.dll
CODE,DATA,BSS,.idata,.reloc,.rsrc,
{22311A42-AC1B-158F-FD32-5674345F23A2}
[AM] 39. c:\windows\system32\dhbpri.dll
CODE,DATA,BSS,.idata,.reloc,.rsrc,
{40117B96-998D-4D80-8F89-5E9DBD9F3460}
[AM] 40. c:\program files\internet explorer\plugins\syswin64.sys
CODE,DATA,BSS,.idata,.edata,.reloc,.rsrc,
+ 程序初始化和已知动态连接库
+ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs
[AM] 39. c:\windows\system32\dhbpri.dll
CODE,DATA,BSS,.idata,.reloc,.rsrc,
+ 其他自启动项目
+ e:\autorun.inf
open
[A ] 55. e:\autorun.exe
UPX0,UPX1,.rsrc,
shellexecute
[A ] 55. e:\autorun.exe
UPX0,UPX1,.rsrc,
shell\打开(&O)\command
[A ] 55. e:\autorun.exe
UPX0,UPX1,.rsrc,
003B0000[0000A000]
[AM] 38. c:\windows\system32\jzepri.dll
CODE,DATA,BSS,.idata,.reloc,.rsrc,
01B50000[0000A000]
[AM] 39. c:\windows\system32\dhbpri.dll
CODE,DATA,BSS,.idata,.reloc,.rsrc,
10000000[0000F000]
[ M] 58. c:\windows\system32\lymangr.dll
.Upack,.rsrc,
入口点在最后一个节;
10060000[00010000]
[ M] 60. c:\windows\system32\msdebug.dll
.text,.rsrc,.reloc,
02030000[00009000]
[ M] 64. c:\windows\system32\upxdnd.dll
.text,.rdata,.data,sdt,.reloc,
02050000[00009000]
[ M] 65. c:\windows\system32\timhost.dll
.text,.rdata,.data,sdata,.reloc,
+ 00000ca4(3236) spolive.exe
00400000[00038000]
[ M] 94. c:\documents and settings\tq\local settings\temp\spolive.exe
Microsoft Corporation
Windows Calculator application file
3izj0,3izj1,3izj2,.mackt,
10020000[00011000]
[ M] 61. c:\windows\system32\windhcp.ocx
.text,.rsrc,.reloc,
10070000[0000F000]
[ M] 62. c:\windows\system32\wmiapisrv.dll
.text,.rsrc,.reloc,
01E50000[00015000]
[ M] 95. c:\documents and settings\tq\local settings\temp\packet.dll
CACE Technologies
Packet
.text,.rdata,.data,.rsrc,.reloc,
01E70000[00010000]
[ M] 96. c:\documents and settings\tq\local settings\temp\wanpacket.dll
CACE Technologies
WanPacket
.text,.rdata,.data,.rsrc,.reloc,
5A740000[00011000]
[ M] 97. c:\documents and settings\tq\local settings\temp\npptools.dll
Microsoft Corporation
NPP Tools Helper DLL
.text,.data,FINDSHAR,.rsrc,.reloc,
+ 00000cc8(3272) conime.exe
10060000[00010000]
[ M] 60. c:\windows\system32\msdebug.dll
.text,.rsrc,.reloc,
10020000[00011000]
[ M] 61. c:\windows\system32\windhcp.ocx
.text,.rsrc,.reloc,
10070000[0000F000]
[ M] 62. c:\windows\system32\wmiapisrv.dll
.text,.rsrc,.reloc,
把这些文件都上报给瑞星:http://up.rising.com.cn/webmail/uploadnew.htm
因为楼主说瑞星杀毒时提示重启后删除,所以特别建议:1、请楼主在杀毒以前关闭系统还原(我的电脑——右键——属性——系统还原——在所有驱动器上关闭系统还原)。并最好是拔掉网线。
2、执行扫前,请执行(瑞星卡卡安全助手——隐私保护——操作系统(勾选Windows临时文件夹)——立即清理)。
等
瑞星确定这些文件是病毒,并且能查杀时可以使用卡卡助手禁止启动项。
参考帖子:
http://forum.ikaka.com/topic.asp?board=203&artid=8339804
把确定是病毒的前面的勾去掉.
以下这些是IE插件,所以需要这样清除:)瑞星卡卡安全助手——高级功能——系统启动项管理——IE浏览器插件(
找到这些名称的插件,并勾选卸载
{559AFD5B-159F-ACD8-954C-ACD545FA6585}
[AM] 38. c:\windows\system32\jzepri.dll
CODE,DATA,BSS,.idata,.reloc,.rsrc,
{22311A42-AC1B-158F-FD32-5674345F23A2}
[AM] 39. c:\windows\system32\dhbpri.dll
CODE,DATA,BSS,.idata,.reloc,.rsrc,
{40117B96-998D-4D80-8F89-5E9DBD9F3460}
[AM] 40. c:\program files\internet explorer\plugins\syswin64.sys
CODE,DATA,BSS,.idata,.edata,.reloc,.rsrc,
动态链接库清除办法:瑞星卡卡安全助手——高级功能——系统启动项管理——应用程序动态链接库——
找到这个动态链接项,并删除他。
+ 程序初始化和已知动态连接库
+ HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs
[AM] 39. c:\windows\system32\dhbpri.dll
CODE,DATA,BSS,.idata,.reloc,.rsrc,
其他的程序可以在登录项、服务项等找到,楼主可以一个一个地找。
也可把下方的滚动条拉到最右边,通过路径寻找病毒启动项,然后去掉勾,或者直接右键删除。
