![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
病毒与木马的清除
scz123
逐步向linux阵营靠拢
展开
-
Tojan.AdClicker Awtqnkh.dll 清除方法
NORTON发现Tojan.AdClicker,主要文件Awtqnkh.dll,但NORTON无法隔离或删除病毒。使用Process Explorer发现,Awtqnkh.dll被winlogon.exe加载。而且文件无法删除,连ICESOWRDS也无法将其删除,删除后又会恢复。如下图,估计文件会自动复制。 使用ICESOWRD卸载winlogon.exe加载的这个Awtqnkh.dll模原创 2006-10-17 11:56:00 · 2317 阅读 · 0 评论 -
清除木马(u盘病毒)后无法双击打开磁盘的修复
现在使用磁盘"自动运行"或"打开方式"进行运行的木马非常盛行,一般会被称为u盘病毒(因为会利用u盘传播)。前一种方式是采用autorun.inf,利用磁盘自动运行功能。此类可以通过组策略禁用,或者直接删除autorun.inf即可,清除和还原比较方便,一般安全工具都可以清除(如360safe、arswp等),清除后重启或注销一般可恢复。后一种方式是修改了注册表,在HKEY_CLASSES_ROOT原创 2007-11-16 21:34:00 · 4757 阅读 · 2 评论 -
“鸡毛信”简单处理方法
截止2006-08-26 ,“鸡毛信”还只是个BHO,最简单的处理方法是找到文件并将其重命名:cd /d %windir%/system32ren ejmx.dll ejmx.dl~原创 2006-08-26 11:17:00 · 1458 阅读 · 0 评论 -
桌面IE打开提示找不到"INTEXPLORE.com"
计算机中毒,被杀毒软件清除病毒后造成无法打开桌面上的IE图标,并同时出现exe文件不能打开的问题。1、exe文件关联,按http://blog.csdn.net/scz123/archive/2006/08/04/1018974.aspx处理后可以恢复。2、ie不能打开的问题,搜索注册表,查找iexplore.com,将注册表中的INTEXPLORE.COM修改为iexplore.exe即原创 2006-08-08 15:26:00 · 3884 阅读 · 2 评论 -
也谈EXE文件关联
EXE文件被关联的修复方法网上可以找出一大把,但绝大多数方法都只是修改HKEY_CLASSES_ROOT下的exe相关注册表,往往遗漏了一个非常重要的位置,当前用户下的HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/FileExts/.exe HKEY_CURRENT_USER/Software/M原创 2006-08-04 14:38:00 · 14402 阅读 · 25 评论 -
安全模式下的自动启动
我们经常使用安全模式来处理病毒、木马、流氓软件等,这是因为安全模式会忽略启动项。但是,并非所有的启动项都会被忽略,使得安全模式并不安全。 如注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon下面的shell和UserInit,这两个键值也是病毒、木马、流氓软件经常使用的注册表键,而且这两原创 2006-07-31 11:23:00 · 4400 阅读 · 0 评论 -
新MMSAssist清除办法
1、发现MMSAssist,固使用PROCESS EXPLORER,查找到加载MMS*.DLL的进程全部结束任务(选中列表中的进程,主程序菜单Process / Kill Process)2、反注册MMSASSIST下的所有DLL文件(regsvr32 -u mmsassist.dll)后,删除MMSASSIST目录,无异常提示,但并没有删除,怀疑已经被HOOK,可能存在驱动文件3、使用P原创 2006-07-26 16:29:00 · 21678 阅读 · 14 评论 -
批处理应用:恢复Mcafee重命名的可疑病毒文件扩展名
Mcafee识别到可疑病毒文件,但病毒库里没有病毒定义,就会把文件扩展名命名为vir或vxe,固建立此批处理文件,用已恢复被修改掉的exe文件MCAFEE更名原则: Original Renamed Description Not V?原创 2006-11-23 16:36:00 · 5206 阅读 · 4 评论 -
ADW_ROOGOO手动清除与WINSOCK恢复
ADW_ROOGOO会抓取网络数据包,并发送至roogoo.com,主要文件msplus.dll,如果缺少该文件,将导致系统WINSOCK功能损坏,将使系统不能访问网络。本文的修复方法,可使用于类似winsock损坏的修复。ADW_ROOGOO处理办法(处理前请退出或停止杀毒软件):1、将msplus.dll msplus1.dll msplus2.dll反注册 regsvr32 -原创 2006-07-07 13:48:00 · 6417 阅读 · 11 评论 -
批处理应用:使用FLASHGET检查Mcafee SuperDat更新
因做了一个脚本,使用Mcafee SuperDat进行查毒(http://blog.csdn.net/scz123/archive/2006/11/02/1362566.aspx),但病毒码更新时,都要到网站上去手动下载,固建此脚本,使用FLASHGET下载后的的病毒检查功能来运行,以达到让自动检查并下载Mcafee SuperDat更新的功能。@echo offecho.echo ===原创 2006-11-02 13:25:00 · 2263 阅读 · 0 评论 -
批处理应用:Mcafee手动杀毒脚本
此脚本使用McAfee的SupperDat,进行计算机上病毒的查杀。使用FLASHGET检查SupperDat更新,参考:http://blog.csdn.net/scz123/archive/2006/11/02/1362573.aspx20061215: 修改scan.exe运行参数,增加 /PROGRAM (扫描恶意软件)、/NORENAME (不更改文件名)。 MCAFEE命令行参原创 2006-11-02 13:19:00 · 3471 阅读 · 0 评论 -
批处理应用:logo1_.exe(VIKING)免疫
@echo offecho ==================================================================echo 使用该脚本前建议先进行杀毒,并在管理员权限下运行该脚本。echo 脚本将在WINDOWS目录下生成rundl132.exe、logo1_.exe、dll.dll隐藏文件echo 创建的文件大小为0,如果不是0,可能是木马。echo原创 2006-11-02 13:12:00 · 2349 阅读 · 0 评论 -
IE主页被修改为www.piaoxue.com的修复过程
一计算机,主页被修改成了www.piaoxue.com,无法恢复设置为空白页面,也无法通过修改注册表恢复,且使用NTregmon监视也不能得到是由什么程序在监控注册表,固怀疑有驱动存在。 仔细检查,发现一驱动gqwujawk.sys,标识为Micirosft,使我们难以正确判断,但它无法通过autoruns的签名验证。如下图: 不过使用autoruns删除这项注册表,一刷新就原创 2006-10-17 14:51:00 · 2822 阅读 · 0 评论 -
SVCHOST错误对话框(SVCHOST.exe 26777)
问题描述: 计算机病毒/木马清除后,计算机会出现svchost错误对话框,不定时弹出,不断增多。解决过程: 使用PROCESS EXPLORER的程序定位功能(工具栏上的圆圈find windows process按钮拖到对话框上),可以确定程序为svchost.exe,命令行:c:/windows/system32/svchost.exe 26777 ,以system用户身份运行。 运行原创 2008-03-24 15:23:00 · 3797 阅读 · 0 评论