Infostealer.lemir infostealer.gampass 清楚

Infostealer.lemir
infostealer.gampass
Trojan Horse
Hacktool.Rootkit
Downloader

2008-09-10刚开机,就发现赛门铁克提示有如上病毒,想想昨天没中毒啊,后来想起来了是因为俺家小妞昨天搜图片,中了毒。晕了。搞了一

上午(9:00-12:20)才搞定.
中毒症状是:
1.无法上网
2.360安全卫士不能启动。
3.网速很慢啊。超慢的。
4.任务管理器无法启动


后来去网络搜了下有两种方法,大体都一样。对付病毒都可以的。
方法一是你的任务管理器还可以启动。

工具:

1.SREng                      下载地址    http://www.kztechs.com/sreng/sreng2.zip

释放sreng2.zip 到一个目录,然后执行其中的 SREng.exe 。

 

2.费尔木马强力清除助手   下载地址    http://dl.filseclab.com/down/powerrmv.zip
释放 PowerRmv.zip 到一个目录,然后执行其中的 PowerRmv.exe 启动“费尔木马强力清除助手”。


清除之前做的准备:
1.更新杀毒软件的病毒库,建议使用的杀毒软件,有一个就可以。


2.断开网络连接。


3.运行杀毒软件,找到病毒,记录染毒文件的路径,但不执行任何操作。
例如 C:\DOCUME~1\邹庆\LOCALS~1\Temp\2.exe


4 打开任务管理器,点击进程标签,在菜单栏点击-查看-选择列-把PID(进程标识)打上勾,然后查看进程2.exe,记录其PID号码。

例如2.exe的pid号码为2112


5.运行 SREng,执行智能扫描,导出扫描报告保存为temp1.txt.

 

 

开始逐个彻底清除染毒文件:

(最好重起电脑,在安全模式下操作)
6.查看扫描报告
----ctrl + f 查找定位信息 pid:2112

----在pid:2112那一栏,会发现一系列文件,如上例,可以看到:
[PID: 2112][C:\DOCUME~1\邹庆\LOCALS~1\Temp\2.exe]  <N/A><N/A>
    [C:\WINDOWS\System32\wldll.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\Cnscheck001.dll]  <N/A><N/A>
    [C:\WINDOWS\System32\xydll.dll]  <N/A><N/A>
    [C:\Program Files\Internet Explorer\PLUGINS\system18.sys]  <N/A><N/A>
记录有关这一进程信息中的所有文件路径
C:\DOCUME~1\邹庆\LOCALS~1\Temp\2.exe
C:\WINDOWS\System32\wldll.dll
C:\WINDOWS\System32\Cnscheck001.dll
C:\WINDOWS\System32\xydll.dll
C:\Program Files\Internet Explorer\PLUGINS\system18.sys


7 打开软件-- 费尔木马强力清除助手,里面有一项"抑制文件再次生成"打上钩,然后定位到以上记录的5个有毒文件,分别删除,如果跳出发送病

毒报告的邮件提示 选择 否,然后确认删除文件.


8 重新回到扫描报告
---ctrl + f 搜索 刚才删除的几个文件文件名
找到注册表中对应的位置
例如:Cnscheck001.dll对应的为:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{6E44887F-5214-41F2-AB46-4728735C4CC6}><C:\Program Files\Internet Explorer\PLUGINS\system18.sys>  []
    <{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}><C:\WINDOWS\System32\Cnscheck001.dll>  []
打开注册表,定位到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除键值
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F621BA}


注意,注册表被修改地方的可能不止一个,所以每个染毒文件都请查找一次,删除对应的注册表键值,以防遗漏,找不到的就没有了.

 

9 重起电脑, 确认病毒是否被完全删除.


10 备份注册表(以后再有毒,按照以上方法操作,注册表键值删除可以通过恢复注册表而简化)

 

 

方法二是你的任务管理器无法启动。


至于方法二吗?就直接把病毒文件的路径输入到(费尔木马强力清除助手)之后就强制删除。

最后在扫描是否有残留的病毒。重启。

解释名词PID:

PID一列代表了各进程的进程ID,也就是说,PID就是各进程的身份标识。
任务管理器----进程----查看----选择列----PID
这时你就能看到进程中的PID值

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值