木马病毒,大家对之都是深恶痛绝的,我也是,所以平时只要遇到了就用360安全卫士进行查杀,一般都可以搞定了,如果不行就在安全模式下用360系统急救箱(原360木马专杀大全)也能清除掉,可是前天我遇到了一个死缠烂打的顽固分子,不仅360对它不起作用,而且其他的软件对它也是束手无策,在照着网上资料试了好多方法仍不奏效的情况,决定放手一搏,手工清除,最终除马成功,现在把整个除马经过写下来,以供大家参考:
前天,一个要好的同事打电话反映她的电脑不行了,本来还难得死一下,现在是老死机,一个上午死好几回,都没法工作,让我过去帮她看看,要说这个同事是我的小姐妹,小时候跟她在同一个院子里长大,到了高中时又在同一所学校念书,就业了我们又碰到一起在同一个公司(即我现在公司下的一个子公司)工作,我离开了那子公司,她还在那里做车间统计,所以关系跟我很要好,平时她电脑有问题一般不会来叫我,她那里有人会维护,是工程部的人,除非碰到重大问题,看来这回是那专员搞不定了,呵呵~于情于理我都要过去,那就过去看个究竟吧。
跑到她那里,正在重启电脑,系统运行,进入桌面,时隔不久,显示屏上出现svchost.exe应用程序错误:“0x005c003a”指令引用的“0x00000000”内存。该内存不能为“written”。无论确定还是取消都是在卡在那里,.逼着你只有重启了。在内网里出现这种现象我一般认为中毒的可能性比较大,所以通常我都是先开启360安全卫士进行体检,果然,不仅有恶意插件,还有高危木马,于是按常规来清理插件、杀木马,扫描结果有两个恶意插件:Orzhz广告程序和LinkMedia插件,点立即清理,可没等我看到清理结果,电脑已经迫不及待地自动重启了,嘿~不对劲哦,这木马在阻止我清除它。
不出所料,等重新进入桌面时再查,LinkMedia插件已清除,而Orzhz广告程序又出现在眼前,同时右下角360杀毒弹出红色的危险警报窗口:
对象:C:\windows\system32\pwfsh.dll
威胁:worm.Generic.233646
信息:访问被拒绝
看来它很顽固,清除它只有进入安全模式里操作了。
重启,按F8,安全模式,360安全卫士,清理插件,立即清理,又自动重启,看来不行,只有动用360系统急救箱,谁知屋漏偏逢连夜雨,打开后显现“功能模块加载失败,请关闭杀毒软件或在网络安全模式下查杀”,天哪,在安全模式下还加载失败?我没开杀毒软件那,要不连网一试?
这回是带网络连接的安全模式,打开360系统急救箱,显示“连接网络异常,可能被木马或其他程序阻止,是否将网络连接恢复到系统默认状态”,点否,急救箱被关闭,再打开点是,告诉我需要重启,得,又重启了,把它改名了还是运行不了,看来这玩意用不了,另想办法。
根据网上资料又下载了金山急救箱、完美卸载等,结果都一个样,不管在哪个模式下,只要是在清理、卸载时触动了它神经的,一律重启,没有商量余地,嘿~这穷凶极恶的歹徒,在已经被它侵占的领地公然跟杀毒软件叫嚣,哼~我必须消灭它,现在唯一能彻底解决它的办法就是重装系统,唉~看来只有重装了,由于已到下班时间,只有明天再来装了。
回来想想,难道真的是道高一尺,魔高一丈吗?我不甘心,继续在网上搜索资料,我在下载中心我看到了一个手工清除病毒的资料,下载看过觉得不错,提到的内容有些相似处,可以参照来试试。每回遇到木马杀不掉时,为了能快速修复电脑不影响他人工作总是以重装系统来了事,总觉得问题虽然是快速解决了,可这玉石俱焚的事,对我而言只是无奈之举而不是除马之道,所以每次这样重装让我心里特别不舒服。这次是小姐妹的电脑,这是个好机会,我想再尝试修复一下,呵呵~她不至于催着我说工作完不成啦,快点修好之类的话吧。
第二天,我把昨天查到的资料打印出来带到事发现场,先跟我那小姐妹商量,要她牺牲一点工作时间,我想尝试着给电脑动手术,如果手术失败,那就帮她料理后事(即备份好资料重装系统),嘿~这样给她发个病危通知书,我就没后顾之忧啦!呵呵~毕竟是要好的小姐妹,爽快答应,说反正也是要重装,好歹来试试,权当死马当活马医吧 。
手术开始:
1. 重启电脑,进入安全模式,拉出360安全卫士扫描出那个恶意插件——Orzhz广告程序,暂时不清理它,同时点击开始-运行,输入“cmd”,打开命令输入窗口,准备待命。
2. 右击任务栏,打开Windows任务管理器,点击“映像名称”进行排序,看到有5个Svchost.exe,选中右击,选择“结束进程”,进行关闭,(注意一个也别拉下)在关到最后第二个时,系统会出现一个类似中了冲击波病毒的对话窗口,并倒计时关机,这是由于该Svchost.exe进程引导RPC服务,终止该进程则导致RPC服务中断,系统会重新启动,这时动作要快,切换到命令输入窗口,输入“shutdown -a”(不包括引号)敲回车确定,这是解除自动重启命令。
3. 回过来切换到360安全卫士,点击“立即清理”按钮,Orzhz广告程序顺利被清除,只是到此阶段木马还没有被完全清除,真正的“毒根”还留在电脑内,需要清理干净,否则它随时还会出现。
4. 打开金山急救箱,深入扫描,有4个异常项:
a. (异常项)存在异常的浏览器快捷方式;
b. (异常项)组策略设置存在异常;
c. (异常项)MP3播放漏洞,
d. (启动项)PowerFlash Class
由于在前面已经使用过金山急救箱,并没有修复成功,所以这次只对前3个异常项点击进行修复,对第4个我决定不修复,而打开详细查看所在位置再进入注册表进行删除。详细如下:
描述:系统启动项发现异常
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsocft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC888631-57F5-4AF4-86B3-BDE5F854DCBF}
文件:C:\\windows\system32\pwfsh.dll
5. 点击开始-运行,输入“regedit”,打开注册表,搜索所有与“pwfsh.dll”相关的项或数据,找到下面两处存在pwfsh.dll:
a. HKEY_CLASSES_ROOT\TypeLib\{C3F4AE31-32C0-4D31-A90C-7B774CA8683D}\1.0(这里只有一个数值数据pwfsh.dll)
b. HKEY_CURRENT _USER\SOFTWARE\Microsocft\Internet Explorer\Explorer Bars\{C4EF31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU(在此文件夹下有4个数值分别为000、001、002、003,相对应的数值数据分别为pwfsh.dll、pwrep.chi、fsrip.exe、fsrep.exe)
6. 把以上的数值全部删除,(注意:第一次操作注册表的,请在删除之前先导出注册表备份到其它盘内,以便在误删时有个补救余地)我想想还是不放心,打开360杀毒进行全盘扫描,又扫描出3个病毒:
C:\Recycled\qkf.dat 蠕虫病毒(Worm.Genoric.233646)
C:\Recycled\lip.dat 可疑木马(Trojan.Generic.3598164)
C:\Eindows\system32\niprp.dll 可疑木马(Trojan.Generic.3598164)
扫描到一半意外中止,看来清除的还不够干净,再次进入注册表,查找niprp.dll,找到下面该处
HKEY_CURRENT _USER\SOFTWARE\Microsocft\Internet Explorer\Explorer Bars\{C4EF31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU(在此文件夹下有3个数值分别为000、001、002,相对应的数值数据分别为niprp.dll、pwrfshdll、ntdact.log)
7. 同样对上述数值进行删除,让电脑重新启动后仍进入安全模式,用360安全卫士再一次进行扫描,这回恶意插件不再出现,重启进入正常桌面,至此电脑里的木马病毒已被连根拔除。
OK,手术成功。
前天,一个要好的同事打电话反映她的电脑不行了,本来还难得死一下,现在是老死机,一个上午死好几回,都没法工作,让我过去帮她看看,要说这个同事是我的小姐妹,小时候跟她在同一个院子里长大,到了高中时又在同一所学校念书,就业了我们又碰到一起在同一个公司(即我现在公司下的一个子公司)工作,我离开了那子公司,她还在那里做车间统计,所以关系跟我很要好,平时她电脑有问题一般不会来叫我,她那里有人会维护,是工程部的人,除非碰到重大问题,看来这回是那专员搞不定了,呵呵~于情于理我都要过去,那就过去看个究竟吧。
跑到她那里,正在重启电脑,系统运行,进入桌面,时隔不久,显示屏上出现svchost.exe应用程序错误:“0x005c003a”指令引用的“0x00000000”内存。该内存不能为“written”。无论确定还是取消都是在卡在那里,.逼着你只有重启了。在内网里出现这种现象我一般认为中毒的可能性比较大,所以通常我都是先开启360安全卫士进行体检,果然,不仅有恶意插件,还有高危木马,于是按常规来清理插件、杀木马,扫描结果有两个恶意插件:Orzhz广告程序和LinkMedia插件,点立即清理,可没等我看到清理结果,电脑已经迫不及待地自动重启了,嘿~不对劲哦,这木马在阻止我清除它。
不出所料,等重新进入桌面时再查,LinkMedia插件已清除,而Orzhz广告程序又出现在眼前,同时右下角360杀毒弹出红色的危险警报窗口:
对象:C:\windows\system32\pwfsh.dll
威胁:worm.Generic.233646
信息:访问被拒绝
看来它很顽固,清除它只有进入安全模式里操作了。
重启,按F8,安全模式,360安全卫士,清理插件,立即清理,又自动重启,看来不行,只有动用360系统急救箱,谁知屋漏偏逢连夜雨,打开后显现“功能模块加载失败,请关闭杀毒软件或在网络安全模式下查杀”,天哪,在安全模式下还加载失败?我没开杀毒软件那,要不连网一试?
这回是带网络连接的安全模式,打开360系统急救箱,显示“连接网络异常,可能被木马或其他程序阻止,是否将网络连接恢复到系统默认状态”,点否,急救箱被关闭,再打开点是,告诉我需要重启,得,又重启了,把它改名了还是运行不了,看来这玩意用不了,另想办法。
根据网上资料又下载了金山急救箱、完美卸载等,结果都一个样,不管在哪个模式下,只要是在清理、卸载时触动了它神经的,一律重启,没有商量余地,嘿~这穷凶极恶的歹徒,在已经被它侵占的领地公然跟杀毒软件叫嚣,哼~我必须消灭它,现在唯一能彻底解决它的办法就是重装系统,唉~看来只有重装了,由于已到下班时间,只有明天再来装了。
回来想想,难道真的是道高一尺,魔高一丈吗?我不甘心,继续在网上搜索资料,我在下载中心我看到了一个手工清除病毒的资料,下载看过觉得不错,提到的内容有些相似处,可以参照来试试。每回遇到木马杀不掉时,为了能快速修复电脑不影响他人工作总是以重装系统来了事,总觉得问题虽然是快速解决了,可这玉石俱焚的事,对我而言只是无奈之举而不是除马之道,所以每次这样重装让我心里特别不舒服。这次是小姐妹的电脑,这是个好机会,我想再尝试修复一下,呵呵~她不至于催着我说工作完不成啦,快点修好之类的话吧。
第二天,我把昨天查到的资料打印出来带到事发现场,先跟我那小姐妹商量,要她牺牲一点工作时间,我想尝试着给电脑动手术,如果手术失败,那就帮她料理后事(即备份好资料重装系统),嘿~这样给她发个病危通知书,我就没后顾之忧啦!呵呵~毕竟是要好的小姐妹,爽快答应,说反正也是要重装,好歹来试试,权当死马当活马医吧 。
手术开始:
1. 重启电脑,进入安全模式,拉出360安全卫士扫描出那个恶意插件——Orzhz广告程序,暂时不清理它,同时点击开始-运行,输入“cmd”,打开命令输入窗口,准备待命。
2. 右击任务栏,打开Windows任务管理器,点击“映像名称”进行排序,看到有5个Svchost.exe,选中右击,选择“结束进程”,进行关闭,(注意一个也别拉下)在关到最后第二个时,系统会出现一个类似中了冲击波病毒的对话窗口,并倒计时关机,这是由于该Svchost.exe进程引导RPC服务,终止该进程则导致RPC服务中断,系统会重新启动,这时动作要快,切换到命令输入窗口,输入“shutdown -a”(不包括引号)敲回车确定,这是解除自动重启命令。
3. 回过来切换到360安全卫士,点击“立即清理”按钮,Orzhz广告程序顺利被清除,只是到此阶段木马还没有被完全清除,真正的“毒根”还留在电脑内,需要清理干净,否则它随时还会出现。
4. 打开金山急救箱,深入扫描,有4个异常项:
a. (异常项)存在异常的浏览器快捷方式;
b. (异常项)组策略设置存在异常;
c. (异常项)MP3播放漏洞,
d. (启动项)PowerFlash Class
由于在前面已经使用过金山急救箱,并没有修复成功,所以这次只对前3个异常项点击进行修复,对第4个我决定不修复,而打开详细查看所在位置再进入注册表进行删除。详细如下:
描述:系统启动项发现异常
位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsocft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DC888631-57F5-4AF4-86B3-BDE5F854DCBF}
文件:C:\\windows\system32\pwfsh.dll
5. 点击开始-运行,输入“regedit”,打开注册表,搜索所有与“pwfsh.dll”相关的项或数据,找到下面两处存在pwfsh.dll:
a. HKEY_CLASSES_ROOT\TypeLib\{C3F4AE31-32C0-4D31-A90C-7B774CA8683D}\1.0(这里只有一个数值数据pwfsh.dll)
b. HKEY_CURRENT _USER\SOFTWARE\Microsocft\Internet Explorer\Explorer Bars\{C4EF31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU(在此文件夹下有4个数值分别为000、001、002、003,相对应的数值数据分别为pwfsh.dll、pwrep.chi、fsrip.exe、fsrep.exe)
6. 把以上的数值全部删除,(注意:第一次操作注册表的,请在删除之前先导出注册表备份到其它盘内,以便在误删时有个补救余地)我想想还是不放心,打开360杀毒进行全盘扫描,又扫描出3个病毒:
C:\Recycled\qkf.dat 蠕虫病毒(Worm.Genoric.233646)
C:\Recycled\lip.dat 可疑木马(Trojan.Generic.3598164)
C:\Eindows\system32\niprp.dll 可疑木马(Trojan.Generic.3598164)
扫描到一半意外中止,看来清除的还不够干净,再次进入注册表,查找niprp.dll,找到下面该处
HKEY_CURRENT _USER\SOFTWARE\Microsocft\Internet Explorer\Explorer Bars\{C4EF31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU(在此文件夹下有3个数值分别为000、001、002,相对应的数值数据分别为niprp.dll、pwrfshdll、ntdact.log)
7. 同样对上述数值进行删除,让电脑重新启动后仍进入安全模式,用360安全卫士再一次进行扫描,这回恶意插件不再出现,重启进入正常桌面,至此电脑里的木马病毒已被连根拔除。
OK,手术成功。
本文转自 彐火王木木 51CTO博客,原文链接:http://blog.51cto.com/linger/318959
