昨天帮一位MM处理病毒,也是那IFEO劫持病毒...
O4 - 启动项HKLM\\Run: [xywrebh] C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe
O4 - 启动项HKLM\\Run: [vbcyhid] C:\Program Files\Common Files\System\terebmi.exe
进程可以在任务管理器发现,可以正常打开注册表,但WRAR被禁止使用..直接删除IFEO劫持,依然无效....只能传EXE文件给MM,给了那新版冰刃,能发现
C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe
C:\Program Files\Common Files\System\terebmi.exe
进程...设置-->禁止进程创建--勾选-->确定
结束掉两个病毒进程,接着用KILLBOX直接删除该病毒文件,位于
C:\Program Files\Common Files\System\terebmi.exe
C:\Program Files\Common Files\Microsoft Shared\nuygtvw.exe
提示成功删除该病毒文件,于是想显示所有文件...
发现无法显示,于是导入如下代码.BAT文件
:xianshi
@ECHO Windows Registry Editor Version 5.00>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=->>SHOWALL.reg
@ECHO [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]>>SHOWALL.reg
@ECHO "CheckedValue"=dword:00000001>>SHOWALL.reg
@REGEDIT /S SHOWALL.reg
@DEL /F /Q SHOWALL.reg
@echo ***********************************************************
@echo # 显示所有文件完毕! #
@echo # #
@echo # 按任意键退出 #
@echo ***********************************************************
@pause>nul 2>nul
goto EXIT
还是无效,根本在所有盘中发现不了AOTURUN文件夹以及别的病毒...
由于认为那病毒主程序已经被删除,所以解除了对进程的限制...
刷新进程,没发现病毒进程....打开任务管理器...发现病毒正运行的欢......
为什么新冰刃无法发现?我于是用原版本冰刃,PJF大哥的那个,马上就显示了那两个病毒进程....
本人没啥水平,不知道如何办,还请各位帮助远程下那MM
MMQQ:371784986
今天遇到件郁闷的事情,没帮人解决病毒,反被人咬一口,说我放病毒在他机器上...详细来我博客看吧!~我狂郁闷...........
