原帖由 gerald 于 2006-10-24 21:43 发表
由于我搜索注册表时使用了“完全匹配”,导致我未发现
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_xxxxxx
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_xxxxxx
HKEY_LOCAL_ ...  跟你一样,用了IceSword,呵呵,解决时候参考了网上的一篇文章,感谢该文章的作者~贴上,呵呵
最近才出现的木马Trojan-Downloader.Win32.QQHelper.mo,其隐藏性极强,是黑管程序Rootkit系列病毒,好多杀毒软件都不能查杀,就连世界顶尖的卡巴斯基也只能查出而不能杀掉,致使卡巴斯基不停的尖叫报警,使你无法正常工作。该病毒危害系统,自动连接下载盗窃用户键盘输入的各类账号和密码的木马安装在用户机子里,有了他你机子里的盗号木马随时都可产生,对计算机用户的威胁极大!最近中国反病毒协会已高度注视,现已采集到病毒样本,正在研究。该病毒寄生在系统目录的Dll文件里,路径:C:\windows\system32\nvtfpv20.dll 也可能是其他的dll文件.卡巴斯基可查不可杀,在安全模式下也不能杀掉,并且在安全模式下禁止卡巴斯基扫描.每次开机启动,病毒就自动运行.十分难对付!本人用了几天的时间苦心研究试验,找到了查杀该病毒的方法。
清理方法:
首先选用两个查杀工具:一是Unlocker解套软件;二是IceSword冰刃专杀软件(主要用于清理注册表)。找不到这两个软件或不会使用的朋友请与我联系,我的QQ:46328489
1、安装并运行Unlocker解套软件。这个软件是右键扩充工具,安装后,它便能整合于鼠标右键的操作当中,当使用者发现有某个文件或目录无法删除时,只要按下鼠标右键中的“Unlocker”,那么程序马上就会显示出是哪一些程序占用了该目录或文件,接着只要按下弹出的窗口中的Unlock”就能够为你的文件解套。(因为病毒文件是寄生在其他系统文件里的,所以要把病毒解套出来才能看到它的真实面目,才便于杀掉它). Unlocker 不同于其它解锁软件的部分在于它并非强制关闭那些占用文件的程序,而是以解除文件与程序关连性的方式来解锁,因此不会像其它解锁程序一样因为强制关闭程序而造成使用者可能的数据遗失。 安装运行Unlocker后,在 C:\WINDOWS\system32 下找到病毒文件(是一个DLL文件,由字母和数字组成的,卡巴斯基能查到这个病毒但删不了,可以用卡巴斯基找到这个病毒文件名),找到带病毒的文件后,右击这个文件,在下拉菜单中选择unlocker进行解锁(安装完软件后会在右键菜单上生成一个unlocker的菜单项)。解锁后可用手动删除.也可用卡巴斯基删除.
删除system32里带病毒的dll文件后,再进入C:\WINDOWS\system32\drivers 里找到×.sys文件(×跟之前那个dll文件同名,只是扩展名不一样)用同样的方法先解锁后用手动删除。删除后记到清空回收站。然后再运行regedit打开注册表编辑器,分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset003(或002)\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项)至此,可恨的Trojan-Downloader.Win32.QQHelper.mo被杀掉了,重启计算机,卡巴斯基就不再报警尖叫了.
但是该病毒还没彻底删除干净,还有抓子(钩子)与外界相连,一但时机成熟又从病毒网站下载该病毒运行。所以要把抓子一起干掉,这个抓子在注册表:
HKEY-LOCA-MACHINE/sysTEM/controlset001/Enum/Root/LEGACY_NUTFPV20 里(也许你机子里的病毒文件名不是这个nutfpv20,但都在Root项下),这个抓子在常规下是删除不了的,必须要借助于以下工具。
2、运行IceSword冰刃专杀软件(此软件是免安装的)。打开后点“注册表”,按照地址HKEY-LOCA-MACHINE/sysTEM/controlset001/Enum/Root/LEGACY_NUTFPV20找到NUTFPV20(NUTFPV20是病毒文件名,也许你的不是这个文件名,但性质是一样的),删除右边栏里NUTFPV20的所有键值。至此大功告成!你的心情和爱机顿感亮丽愉悦! |
