转贴
今天很倒霉,女同事中了这BTBT的木马下载器logogogo.exe,很恐怖的,一时间她进程多得犹如淘淘江水,连绵不绝.没法,只能找个人来帮忙杀毒.很不幸的是,偶就是那个倒霉蛋...
起初我拿些工具来干掉,但是很明显~效果很不好,因为带EXE的工具我查看进程模块一看...才带过去就被劫持了...很好~很强大..- -#~~各个杀毒软件才想动它,就被它给干掉了...很好,暂时没辙.先不管吧,进安全模式先.
把感染的东西先卸了吧,看着心烦.WINRAR于是很伟大地消失了...准备好工具:sreng(把EXE改成com的),一样能用.好吧,兄弟们,考杀毒软件是不行的了,还是靠自己吧:
在启动项目里的注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<logogogo><%systemroot%\system\logogogo.exe>
然后把所有红色的IFEO项目删除掉,得有点耐性,尽管是上百个被劫持了...我删,我删,我删删删...
苦力做完,然后修复-系统修复-重置winsock
做完这部,然后去system32下把当天生成的(基本是同段时间了~没说的~干!)病毒文件删除掉,能删除的都先删除掉,还删除不了的先留着,一会慢慢料理.如果我估计没算错~还删除不了的文件大概就这些:
rsmyhpm.dll
KVBatch01.dll
kapjezy.dll
avwgemn.dll
avzxfmn.dll
avwldmn.dll
rarjepi.dll
ratbjpi.dll
kawdczy.dll
kvdxsima.dll
raqjdpi.dll
kaqhizy.dll
sidjczy.dll
kvmxhma.dll
swjqbzc.dll
qdshm.dll
%Program Files%\Internet Explorer\PLUGINS\Wn_Sys8x.Sys(将PLUGUNS的都清空了吧)
再次回到sreng修复相关注册表项(已经变成OKB的可以干掉了)
把现在还不能删除掉的文件都搜索出来,然后改名!(对照你SER扫出来的注册表项对应文件的实际情况,把这些文件都搜索出来!)为什么呢!?
因为后面要修复AppInit_DLLs,但上面一堆文件就是被改的AppInit_DLLs的随机生成的数值,如果不删除掉相关注册表,根本无法修复.所以要先干掉这些文件先!按照偶的兴致是,我把这些干不掉的文件从A1直接命名到A16...哈哈~无它,因为好找.(记得设置了显示隐藏系统文件,部分关键文件都是隐藏的)
重启电脑,进入系统.
把改了名字的文件都删除掉吧(一定要记得!这里面本身就有AUTO的,如果运行了病毒本身,那你做的之前的工夫都白费了!,所以点进我的电脑,点文件夹,然后在资源管理器里进入把相关文件干掉吧)
然后再进入system里把本天生成的三个文件删除掉:
logogogo.exe
20.exe
(还有一个忘了..)
好了,文件删除了,紧记得在SER里把相关的注册表也记得删除了,好了,现在你可以修复AppInit_DLLs了,双击把里面的数据值去掉,OK.
接着,把每个盘的XP.EXE跟autorun.inf都干掉,舒服撒...哈~
本来以为已经完了,接上网,想测试一下好了没(我真傻啊!忘了先检查IE加载项跟装个杀毒软件先!555555~~太兴奋了!犯大错误!).后果!?...病毒上演了一出王者归来....5555~~又得化一个小时重新干!功亏一篑啊!!!
最后搞定,为安全起见,拿了N个软件检查,学习神墓瘪子龙说的..一百遍啊~~一百遍...再安装个杀毒软件,完美完成任务...
