清除方法:
首先把C:\WINDOWS\system32\dhapri.dll重命名为其他名称(随便什么)
然后重启进入安全模式下
打开sreng
SREng软件下载:http://www.motoyi.com/Down/Noted/200705/Down_28.shtml
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<upxdnd><C:\WINDOWS\upxdnd.exe> []
<Kvsc3><C:\WINDOWS\Kvsc3.exe> []
<TIMHost><C:\WINDOWS\TIMHost.exe> []
<MsIMMs32><C:\WINDOWS\MsIMMs32.exe> []
<AVPSrv><C:\WINDOWS\AVPSrv.exe> []
<Microsoft Autorun4><C:\WINDOWS\system32\nwizwmgjs.exe> []
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
<C:\WINDOWS\system32\ntsokele.exe><N/A>
[Networ VSA / Visual VSA WEB][Stopped/Auto Start]
<C:\WINDOWS\system32\wniapsvr.exe -Run><Microsoft Corporation>
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定.
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入C盘
删除如下文件(如遇提示无法删除文件,下载费尔木马强制删除器工具http://www.motoyi.com/Down/Noted/200706/Down_68.shtml强制删除)
C:\hide.exe
C:\autorun.inf
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\dhapri.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\netsrvcs.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\ntsokele.exe
C:\WINDOWS\system32\nwizwmgjs.exe
C:\WINDOWS\system32\perefic.ini
C:\WINDOWS\system32\RemoteDbg.dll
C:\WINDOWS\system32\TIMHost.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\windhcp.ocx
C:\WINDOWS\system32\wniapsvr.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\upxdnd.exe
C:\Program Files\Internet Explorer\PLUGINS\System64.Jmp
C:\Program Files\Internet Explorer\PLUGINS\System64.Sys
C:\WINDOWS\system32\dhapri.dll(重命名的那个文件)
点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)
从左边的资源管理器 进入其他分区
删除(如遇提示无法删除文件,下载费尔木马强制删除器工具http://www.motoyi.com/Down/Noted/200706/Down_68.shtml强制删除)
autorun.inf
hide.exe
sysauto.exe
使用iframekill工具清理被感染的htm等文件
Iframekill下载:/AntiVirus/UploadFiles_3082/200707/20070719183827117.rar |
您现在的位置: 