将近中午,单位一同事找,说屋里机器不行了,杀软也没了,安全模式进不去----过去一看,安全模式直接蓝屏,嘿嘿,原来是AV终结者,马上让隔壁一小伙下载一金山毒霸的专杀-----真好用啊,简单搞定了。
之前装的卡巴6,卸载掉换上mcafee8.5i;先用hijackthis扫日志,发现些问题直接修复了,不过有个020项AppInit_DLLs:xycpri.dll,修复不了,接下来就开始了麻烦的删除过程:(我看着都有点乱)
1、运行regedit打开注册表,查找xycpri.dll,大概有两个项目,但删除项目后,会自动恢复;查找AppInit_DLLs,删除其xycpri.dll值后也是又生成;直接删除AppInit_DLLs项也是自动恢复;
2、又用SREng,提示AppInit_DLLs值有问题,用SREng的编辑、删除也不成功,而且还发现了一个zxcpri.dll,这样一共三个注册表启动项目了,但都直接删除不了;
3、在硬盘上搜索这两个dll文件,都可以在windows/system32下找到,文件日期好象是200408(没记清楚),当然直接删除是不行的,用mcafee杀,竟然什么也没发现;打开Icesword,找这两个文件却找不到,倒是发现了一批AV终结者的残留文件,直接删了;
4、用SREng扫日志(附后),看到了一些乱七八糟的东东,一一删除,包括一些服务和驱动;然后发现这两个dll都注入了一些重要进程,怪不得删不了;期间百度了下,但都没有解决方法;
5、安全模式下用SREng删除了xycpri.dll的启动项;但zxcpri.dll的两个项目,还是不能删除,用Icesword的进程查看模块,没有找到zxcpri.dll注入,安全模式下的SRE日志也显示没有注入。
6、(也是在安全模式下)一时间有点上火,又想到了unlocker,安装运行,找到zxcpri.dll右键使用unlocker,显示explorer.exe、unlocker.exe和taskmgr.exe都被注入了,选择全部解锁,出现explorer.exe出错提示,点确定后等桌面恢复,再对zxcpri.dll进行unlocker,发现这次只注入了explorer.exe、unlocker.exe两个进程,选择了unlocker的“移动”,移动到哪自己随便定,然后全部解锁,又出现explorer.exe出错提示,这次不管它,就让这个提示这么呆着,继续自己的操作,定位到移动后zxcpri.dll,直接删除;再进SREng的启动项目处,直接删除AppInit_DLLs和另一项,没事了
