[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{E418E9ED-9221-4661-B1F3-4AA35BD83832}> []
<{2960356A-458E-DE24-BD50-268F589A56A2}> []
==================================
服务
[Telephots google / Windowsms][Stopped/Auto Start]
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
[]
==================================
正在运行的进程
[PID: 3084][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\avwlbmn.dll] [N/A, ]
[C:\WINDOWS\system32\LYMANGR.DLL] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\thjphl.dll] [N/A, ]
[C:\WINDOWS\system32\bxtmaz.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\tojdcs.dll] [N/A, ]
[C:\Program Files\Internet Explorer\PLUGINS\WinSys88.Sys] [N/A, ]
==================================
Winsock 提供者
MSAPI Tcpip [TCP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
MSAPI Tcpip [UDP/IP]
C:\WINDOWS\system32\qdshm.dll(, N/A)
...
手动清除办法:
一、清除病毒主程序
down.45it.com下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)
打开sreng
“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
Telephots google / Windowsms
重启计算机
使用冰刃删除如下文件
%system32%\servver.exe
以及各个分区下的autorun.inf和servver.exe
二、清除木马
以前写的好多了,这里不再赘述。
具体方法参考之前的auto.exe的木马群的查杀
以及随机7位字母的dll木马群的查杀方法
三、下载威金专杀修复受感染的exe文件
四、下载iframekill.rar修复受感染的htm文件
