fjOs0r.dll、OnlO0r.dll 木马群的清除方法_病毒查杀

应该是有专门的生成器,遇到很多起了

  不写分析了。。

  解决方法:

  1、下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)

  下载后直接放桌面。

  2、断开网络,关闭不需要的连接。

  3、打开冰刃,设置-禁止线程创建,确定。

  4、删除以下文件(如提示不存在文件不存在跳过即可):

Code:
 C:\Program Files\Common Files\fjOs0r.dll   31791 字节 
C:\Program Files\Internet Explorer\OnlO0r.bak    27183 字节

C:\Program Files\Internet Explorer\OnlO0r.dll   31791 字节

C:\Program Files\Internet Explorer\OnlO0r.obk   31791 字节

 

  这4个是主体,可能文件名不一样。。注意文件大小。

  还有这些木马:

 
Code:
C:\Windows\system32\dadoor0.dll
C:\Windows\system32\dhdoor0.dll
C:\Windows\system32\mhdoor0.dll
C:\Windows\system32\mydoor0.dll
C:\Windows\system32\qhdoor0.dll
C:\Windows\system32\qjdoor0.dll
C:\Windows\system32\rxdoor0.dll
C:\Windows\system32\tldoor0.dll
C:\Windows\system32\wddoor0.dll
C:\Windows\system32\wgdoor0.dll
C:\Windows\system32\wldoor0.dll
C:\Windows\system32\wodoor0.dll
C:\Windows\system32\ztfree0.dll
C:\Windows\system32\zxdoor0.dll 

  并查找C—F盘下有没有autorun.inf和可疑的文件。如果有的话也删除了。

  5、设置冰刃,重启并监视。

  6、重启后,打开SREng,删除:

Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

<{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll>   [Microsoft Corporation]
     <{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\winnt\system32\mhdoor0.dll>   []
     <{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\winnt\system32\wodoor0.dll>   []
     <{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\winnt\system32\ztfree0.dll>   []
     <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\winnt\system32\wldoor0.dll>   []
     <{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\winnt\system32\wgdoor0.dll>   []
     <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\winnt\system32\dadoor0.dll>   []
     <{0DAEBA6A-86CA-4B96-AF96-0C8C2C358FBD}><C:\winnt\system32\dhdoor0.dll>   []
     <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\winnt\system32\qjdoor0.dll>   []
     <{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\winnt\system32\rxdoor0.dll>   []
     <{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\winnt\system32\wddoor0.dll>   []
     <{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\winnt\system32\tldoor0.dll>   []
     <{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\winnt\system32\zxdoor0.dll>   []
     <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\winnt\system32\mydoor0.dll>   []
     <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\winnt\system32\qhdoor0.dll>   []

  7、如果杀软无法打开,提示初始化错误的话,到杀软的目录夹下。

  打开那个“把要删除的拖给我.bat”,有看到Ws2_32.dll或MFC42.dll的文件夹拖给它。

  8、继续重启。。重启后修改QQ、网游等密码。。

时间: 2024-09-20 04:05:01

fjOs0r.dll、OnlO0r.dll 木马群的清除方法_病毒查杀的相关文章

roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案_病毒查杀

roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案  用xdelbox删除下面文件(添加下面所有路径或在空白处点右键-从剪贴板导入,在已添加的文件路径上点击右键,选择立刻重启执行删除[有提示不存在该文件的就忽略,添加其它文件]):   c:\windows\roirpy.exe   c:\windows\uunjkd.exe   c:\windows\49400l.exe   c:\windows\49400m.exe   c:\windows\fjrlw

桌面不显示图标的盗号木马清除方法_病毒查杀

上周,金山反病毒中心截获一个以盗取"魔域"."完美世界"和"浩方游戏平台"为目的的木马病毒,该病毒名为Win32.Troj.OnlineGames.ms.18432,自上周四出现以来已经衍生多个变种.金山客服中心接到大量用户投诉,反映系统重启无法显示桌面.金山毒霸(病毒库版本2007.04.07.16)已经可以查杀该病毒目前所有变种. 病毒分析报告: 这是一个盗取"魔域"."完美世界"和"浩方游戏

开机CPU就是100%cmd.exe病毒进程清除方法_病毒查杀

发布时间:2007-02-09  中毒症状:      开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU.关闭cmd.exe后,CPU实用率恢复正常.但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 1.装了ewido 查杀木马,查出了几个感染目标,已删除.但是今 天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 2.再装"木马清除专家2006",查杀,结果没有发现木马. 3.查system 3

木马程序Trojan-Spy.Win32.Agent.cfu清除方法_病毒查杀

木马程序Trojan-Spy.Win32.Agent.cfu 该样本程序是一个使用Delphi编写的程序,程序采用MEW 1.x加壳企图躲避特征码扫描,长度为67,908字节,图标为windows默认图标,病毒扩展名为exe,主要传播途径网页挂马.文件捆绑.黑客攻击. 病毒分析 该样本程序被激活后释放systen.dll文件到%systemroot%\system32目录下,释放451062.dll文件(该文件名为6位或7位随机数字)到%systemroot%目录下,运行批处理删除自身: 添加注

SysLoad3.exe木马病毒的分析及清除方法_病毒查杀

使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了.        特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!!  [b]二:以下是分析和手动清除方法:      昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的

autorun.inf+无法显示隐藏文件+病毒的清除方法_病毒查杀

情况 所有盘符右键都有运行,各个盘下都会出现随机的8位的XXXXXXXX.exe和autorun.inf文件 上网搜索病毒.木马等都会被病毒关掉,无法打开nod32等杀毒 软件 无法查看隐藏文件,解决方法: 方法一:修改注册表文件(将下面的文件保存位ok.reg)运行即可 复制代码 代码如下: Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex

Hidden object的清除方法_病毒查杀

一.提问 C:\WINDOWS\system32\LgSym.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.fq  C:\WINDOWS\system32\Qqzos.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.kr  我按照您空间里一些帖子的方法进行了处理,虽然卡巴不出现上述提示了但是却有了新的麻烦,每次打开电脑卡巴首先会提示我:  C:\WINDOWS\system32\winrpcs.exe: 检测到新变种 

各分区根目录释放shell.exe,autorun.inf 的病毒清除方法_病毒查杀

病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星  文件变化:  释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic 各分区根目录释放 shell.exe autorun.inf autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\com

Ntdll32.dll病毒清除方法_病毒查杀

准备工作: 下载Rootkit Unhooker 这个软件,需要利用其独特的Unhooker功能.清除步骤: 1.安装Rootkit Unhooker,并记住其安装目录.  2.打开任务管理器,结束进程explorer.exe 3.点任务管理器"文件"--"新建任务"--通过"浏览"打开Rootkit Unhooker: 4.点"SSDT Hooks Detector/Restorer"--找到"mspcidrv.s