| 引用: |
【baohe的贴子】【回复“厕所点灯”的帖子】
服务
[Network Security / NtStub][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\System32\iyhqr.dll><Microsoft Corporation>
驱动程序
[cbgjfadf / cbgjfadf][Stopped/Boot Start]
<\SystemRoot\system32\drivers\cbgjfadf.sys><N/A>
[dfgegecd / dfgegecd][Stopped/Boot Start]
<\SystemRoot\system32\drivers\dfgegecd.sys><N/A>
[dump_wmimmc / dump_wmimmc][Stopped/Manual Start]
<\??\C:\WINDOWS\System32\drivers\dump_wmimmc.sys><N/A>
[msprotect / msprotect][Running/System Start]
<system32\DRIVERS\msprotect.sys><N/A>
[New0 / New0][Stopped/Auto Start]
<\??\C:\WINDOWS\System32\new.sys><N/A>
[oreans32 / oreans32][Stopped/System Start]
<\??\C:\WINDOWS\system32\drivers\oreans32.sys><N/A>
[zhqaue4 / zhqaue48][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\zhqaue48.sys><N/A>
1、用IceSword强制卸除下列模块:
(1)插入C:\WINDOWS\System32\svchost.exe进程的c:\windows\system32\iyhqr.dll(注:那个svchost的进程号是PID: 848)。
(2)插入explorer.exe进程的C:\WINDOWS\System32\ltnwardl.dll(explorer.exe的进程号为:PID:1584)。
2、用SREng删除上述服务、驱动项。
3、重启系统。显示隐藏文件。
4、删除下列文件:
C:\WINDOWS\System32\iyhqr.dll
C:\WINDOWS\system32\drivers\cbgjfadf.sys
C:\WINDOWS\system32\drivers\dfgegecd.sys
C:\WINDOWS\System32\drivers\dump_wmimmc.sys
C:\WINDOWS\System32\DRIVERS\msprotect.sys
C:\WINDOWS\System32\new.sys
C:\WINDOWS\system32\drivers\oreans32.sys
C:\WINDOWS\System32\DRIVERS\zhqaue48.sys
C:\WINDOWS\System32\ltnwardl.dll
——————
不认识下面两个驱动。怎么处置——自己决定。
[TrojanFindDriverNT / TrojanFindDriverNT][Stopped/Manual Start]
<\??\C:\WINDOWS\System32\NtDriver.sys><N/A>
[WINIO / WINIO][Stopped/Manual Start]
<\??\F:\拒捕宝贝\winio.sys><N/A>
……………… |
1、用IceSword强制卸除下列模块?这个怎么用啊?ICESWORD在哪里?
