遭遇www.investpoll.net病毒附手动删除方法_病毒查杀

中毒后释放下列文件到中招的电脑中:

  C:\WINDOWS\system32\candoall.exe
  C:\WINDOWS\system32\alldele.ini
  C:\WINDOWS\system32\allinstall.exe
  C:\WINDOWS\system32\allread.ini
  C:\WINDOWS\system32\hideme.sys
  C:\WINDOWS\system32\MASSLTUAS35.DLL
  C:\WINDOWS\system32\masxml32.dll
  C:\WINDOWS\system32\passsd.exe
  C:\WINDOWS\system32\低价充会员.url
  C:\WINDOWS\system32\低价充钻.url
  还有,IE临时文件夹中一堆乱七八糟的病毒相关文件。

  IceSword(可到down.45it.com下载)进程列表中可见红字显示的C:\WINDOWS\system32\candoall.exe进程(隐藏)以及iexplore.exe进程。
  candoall.exe通过80端口访问网络,反复打开http://www.investpoll.net/这个主页。

  这个病毒的C:\WINDOWS\system32\hideme.sys功能还行,XDELBOX通过剪贴板导入上述病毒文件时,均报告文件不存在。常用的方法(如:用WINRAR查看文件)也找不到这些病毒文件。

  中招后注册表改动内容如下:

HKEY_CLASSES_ROOT\AllDll.AllBHO
HKEY_CLASSES_ROOT\AllDll.AllBHO.1
HKEY_CLASSES_ROOT\CLSID\{0EE2B1C1-0357-4175-A2E1-8E8E1A033AE5}
HKEY_CLASSES_ROOT\CLSID\{1798BEA6-E891-46B7-A1F8-C15780D0A023}
HKEY_CLASSES_ROOT\CLSID\{6233543C-2323-456A-A169-2E9C5E6E977B}
HKEY_CLASSES_ROOT\Interface\{E44384ED-10F7-49FD-A210-41C9BD4A119C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
"AutoRun"="C:\\windows\\system32\\candoall.exe"
HKEY_CLASSES_ROOT\TypeLib\{04750F2D-DE63-4790-90F4-C5CE892E5AA4}\1.0\0\win32
@="C:\\windows\\system32\\masxml32.dll"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\R
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f7b74df2-e1a1-11db-8a2e-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\6\Shell
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0045D4BC-5189-4B67-969C-83BB1906C421}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00C6482D-C502-44C8-8409-FCE54AD9C208}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1798BEA6-E891-46B7-A1F8-C15780D0A023}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5CA3D70E-1895-11CF-8E15-001234567890}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{92780B25-18CC-41C8-B9BE-3C9C571A8263}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D1A4DEBD-C2EE-449F-B9FB-E8409F9A0BC5}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F040E541-A427-4CF7-85D8-75E3E0F476C5}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hideme
其中:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
"AutoRun"="C:\\windows\\system32\\candoall.exe"
这种加载方式还不多见。

  用IceSword()的手工杀毒流程:

  1、结束C:\WINDOWS\system32\candoall.exe以及iexplore.exe进程。
  2、删除下列文件(详细步骤:打开冰刃(IceSword)-文件-依次找到病毒文件删除即可):
  C:\WINDOWS\system32\candoall.exe
  C:\WINDOWS\system32\alldele.ini
  C:\WINDOWS\system32\allinstall.exe
  C:\WINDOWS\system32\allread.ini
  C:\WINDOWS\system32\hideme.sys
  C:\WINDOWS\system32\MASSLTUAS35.DLL
  C:\WINDOWS\system32\masxml32.dll
  C:\WINDOWS\system32\passsd.exe
  C:\WINDOWS\system32\低价充会员.url
  C:\WINDOWS\system32\低价充钻.url
  清空IE临时文件夹。

  3、删除病毒添加的上述注册表内容(见本文前部,(打开冰刃(IceSword)-注册表-依次找到病毒注册表选项删除即可))。

时间: 2024-08-22 15:02:03

遭遇www.investpoll.net病毒附手动删除方法_病毒查杀的相关文章

SysWin7z.Jmp SysWin7z.sys木马病毒的手动删除方法_病毒查杀

病毒名称:Trojan-PSW.Win32.QQPass.ajo(Kaspersky) 病毒别名:Worm.Win32.PaBug.cf(瑞星),Win32.Troj.QQPassT.ah.110771(毒霸) 病毒大小:32,948 字节 加壳方式:UPX 样本MD5:772f4dfc995f7c1ad6d1978691190CDe 样本SHA1:e9d2bcc5666a3433d5ef8cc836c4579f03f8b6cc 关联病毒: 传播方式:通过恶意网页传播.其它木马下载.优盘及移动硬

rpmsvc.exe,image11.zipMSN蠕虫病毒手动删除方法_病毒查杀

最近网站挂马比较验证,我的电脑的也超卡,建议大家下360safe,文件名称:image.JPG-www.photobucket.com 文件大小:10752 bytes  AV命名:(暂无,哈哈``因为全部过了``) 加壳方式:未知 编写语言:Delphi 病毒类型:IRCBot 文件MD5:0e404cb8b010273ef085afe9c90e8de1  行为: 1.释放病毒副本: %Systemroot%\system32\rpmsvc.exe    10752 字节 C:\Documen

winfoams.dll,auto.exe,450381EC.EXE病毒的手动清除方法_病毒查杀

解决参考: 进行如下操作前,请不要进行任何双击打开磁盘的操作.所有下载的工具都直接放桌面上. 思路 1.安全模式下操作 强制删除文件 可借助xdelbox, powerRMV等. 复制代码 代码如下: C:\Autorun.inf  C:\auto.exe  d:\Autorun.inf  d:\auto.exe  e:\Autorun.inf  e:\auto.exe  f:\Autorun.inf  f:\auto.exe  g:\Autorun.inf  g:\auto.exe  C:\W

解决无法删除病毒文件的处理方法_病毒查杀

随着不限时宽带的普及,为了方便BT下载,很多朋友都爱24小时挂机.全天候的在线,这给一些病毒.木马"入侵"系统带来了极大便利,他们可以在半夜入侵我们的电脑,肆意为非作歹.近日笔者在帮助一位朋友杀毒的时候,就遭遇一个"无法删除的病毒",下面将查杀经验与大家共享.  1.惊现病毒.朋友的电脑安装的是Windows XP专业版,近来常常彻夜开机用BT下载电影,没想到在一次开机的时候,Norton就报告在下发现病毒"exporer.exe",不过使用No

IRC后门病毒及手动清除方法_安全相关

   2004年年初,IRC后门病毒开始在全球网络大规模出现.一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失.  同时,由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现.还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难.本文先从技术角度介绍IRC后门病毒,然后介绍其手工清除方法.  一.技术报告  IRC病毒集黑客.蠕虫.后门功能于一体,通过局域网共享目录和系

巧妙从进程中判断出病毒和木马的方法_病毒查杀

任何病毒和木马存在于系统中,都无法彻底和进程脱离关系,即使采用了隐藏技术,也还是能够从进程中找到蛛丝马迹,因此,查看系统中活动的进程成为我们检测病毒木马最直接的方法.但是系统中同时运行的进程那么多,哪些是正常的系统进程,哪些是木马的进程,而经常被病毒木马假冒的系统进程在系统中又扮演着什么角色呢?请看本文.  病毒进程隐藏三法  当我们确认系统中存在病毒,但是通过"任务管理器"查看系统中的进程时又找不出异样的进程,这说明病毒采用了一些隐藏措施,总结出来有三法:  1.以假乱真  系统中的

smss.exe 病毒完全手动清除技巧_病毒查杀

(其实2000,xp都有smss.exe必须的进程,但是它的路径是c:\winnt\system32,看路径的工具可以用Process Explorer这个工具来看) 在D盘写一个autocommand.ini文件,可以删除,但是删除后又回自动生成. 一.恢复系统盘镜像后,进入系统.发现依然中毒 二查看注册表启动项目run有个加载项目tprogram=c:\windows\smss.exe,可以删除,启动后注册表又有这个! 二下载木马客星最新版本,安装完毕.木马克星不能启动.提示无法加载病毒库.

U.EXE病毒删除方法_病毒查杀

1,生成文件  %windows%\win32ssr.exe  2,添加注册表启动项  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Win32Sr"ImagePath" = "%windows%\win32ssr.exe"  3,其它  下载病毒%systemRoot%\DOCUME~1\ADMINI~1\LOCALS~1\Temporary Internet Files文件夹下,并拷贝到c:\U.exe

EXPLORER.EXE病毒手动解决方法_病毒查杀

行为: 1.释放文件: C:\WINDOWS\system\SERVICES.EXE  65536 字节 C:\WINDOWS\system\SYSANALYSIS.EXE  65536 字节 C:\WINDOWS\system\explorer.exe 976896 字节 2.删除备份文件: C:\WINDOWS\system32\dllcache\explorer.exe 3.覆盖系统文件:C:\WINDOWS\explorer.exe 系统启动时先执行病毒体,再执行C:\WINDOWS\s