金山提示为病毒启动项:Win32 OR Troj OR HidProc,金山扫隐蔽文件:Autorun.inf每次删了还在,该怎么办?
因为病毒监控了他的启动项目,一旦删除立即恢复,对付此类病毒的解决方法是重命名文件法
此病毒一般的表现为
在system32下面生成 很多6个字母的dll 且名称为xxxpri.dll(xxx代表随机)
且所有的dll插入explorer等进程 动态守护 动态监控注册表
注册表启动方式一般如下
一部分通过 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows下的AppInit_DLLs加载 保证他能在安全模式下运行
其他一部分通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面创建自己的键 来加载 且只要有一个加载成功 病毒就不会被彻底干掉 所以对付这类病毒必须一网打尽
下面举一例说明如何查杀该类病毒
一.手动查杀
扫描的病机sreng日志如下 (sreng下载地址http://download.kztechs.com/files/sreng2.zip)
启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
<AppInit_DLLs><ztipri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2F12545B-1212-1314-5679-4512ACEF8902}><C:\WINDOWS\system32\wdbpri.dll> []
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll> []
<{91351752-5628-1547-FFAB-BADC13512AF9}><C:\WINDOWS\system32\ztipri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll> [N/A]
<{5A65498A-7653-9801-1647-987114AB7F45}><C:\WINDOWS\system32\zxepri.dll> []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:\WINDOWS\system32\xyepri.dll> [N/A]
...
操作步骤:
1.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
打开C:\windows\system32文件夹 单击上面的搜索按钮
全部或部分文件名中 输入*pri.dll
更多高级选项 钩选 搜索隐藏的文件和文件夹
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
所有文件必须都要重命名
不能落掉一个 否则会功亏一篑
2.重启计算机
此时可能会报加载 某某dll错误 不要管他 出现这个错误其实是你成功的标志!
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
你刚刚重命名的那些文件
打开sreng
启动项目 注册表 删除如下项目
双击AppInit_DLLs 把其键值改为空
删除 <{2F12545B-1212-1314-5679-4512ACEF8902}><C:\WINDOWS\system32\wdbpri.dll> []
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll> []
<{91351752-5628-1547-FFAB-BADC13512AF9}><C:\WINDOWS\system32\ztipri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll> [N/A]
<{5A65498A-7653-9801-1647-987114AB7F45}><C:\WINDOWS\system32\zxepri.dll> []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:\WINDOWS\system32\xyepri.dll> [N/A]
即可
二.专杀查杀
8.9更新 360发布该病毒专杀 下载地址 http://dl.360safe.com/killer_qhbpri.exe
由于此病毒一般为木马下载器所下 所以如果发现了此病毒 肯定机器还有其他病毒或者木马 需要用杀毒软件配合手动 清除掉所有残余的病毒和木马!
此病毒一般的表现为
在system32下面生成 很多6个字母的dll 且名称为xxxpri.dll(xxx代表随机)
且所有的dll插入explorer等进程 动态守护 动态监控注册表
注册表启动方式一般如下
一部分通过 HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows下的AppInit_DLLs加载 保证他能在安全模式下运行
其他一部分通过HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks下面创建自己的键 来加载 且只要有一个加载成功 病毒就不会被彻底干掉 所以对付这类病毒必须一网打尽
下面举一例说明如何查杀该类病毒
一.手动查杀
扫描的病机sreng日志如下 (sreng下载地址http://download.kztechs.com/files/sreng2.zip)
启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Windows]
<AppInit_DLLs><ztipri.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2F12545B-1212-1314-5679-4512ACEF8902}><C:\WINDOWS\system32\wdbpri.dll> []
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll> []
<{91351752-5628-1547-FFAB-BADC13512AF9}><C:\WINDOWS\system32\ztipri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll> [N/A]
<{5A65498A-7653-9801-1647-987114AB7F45}><C:\WINDOWS\system32\zxepri.dll> []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:\WINDOWS\system32\xyepri.dll> [N/A]
...
操作步骤:
1.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
打开C:\windows\system32文件夹 单击上面的搜索按钮
全部或部分文件名中 输入*pri.dll
更多高级选项 钩选 搜索隐藏的文件和文件夹
右键分别把 这些文件重命名 命名的名字自己要记住 最好有规律
所有文件必须都要重命名
不能落掉一个 否则会功亏一篑
2.重启计算机
此时可能会报加载 某某dll错误 不要管他 出现这个错误其实是你成功的标志!
双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
删除C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
你刚刚重命名的那些文件
打开sreng
启动项目 注册表 删除如下项目
双击AppInit_DLLs 把其键值改为空
删除 <{2F12545B-1212-1314-5679-4512ACEF8902}><C:\WINDOWS\system32\wdbpri.dll> []
<{26368135-64FA-BC34-DA32-DCF4FD431C92}><C:\WINDOWS\system32\qhbpri.dll> []
<{91351752-5628-1547-FFAB-BADC13512AF9}><C:\WINDOWS\system32\ztipri.dll> []
<{22311A42-AC1B-158F-FD32-5674345F23A2}><C:\WINDOWS\system32\dhbpri.dll> [N/A]
<{5A65498A-7653-9801-1647-987114AB7F45}><C:\WINDOWS\system32\zxepri.dll> []
<{613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}><C:\WINDOWS\system32\xyepri.dll> [N/A]
即可
二.专杀查杀
8.9更新 360发布该病毒专杀 下载地址 http://dl.360safe.com/killer_qhbpri.exe
由于此病毒一般为木马下载器所下 所以如果发现了此病毒 肯定机器还有其他病毒或者木马 需要用杀毒软件配合手动 清除掉所有残余的病毒和木马!
温馨提示:答案为网友推荐,仅供参考
第1个回答 2007-09-22
解决方法:
1、重装系统,
2、重装完之后,请不要双击打开除系统盘外的任何硬盘(这个关键,如果你不注意的话,系统就白装了)。
3、重装好进入windows后,点击“开始菜单”——“运行”。然后输入“D:\autorun.inf”运行,然后弹出一个“自动运行配置文件”窗口,里面的东西就是病毒自动运行文本。你把里面的文本删除,只保留第一行,保存,关闭。然后再打开“开始菜单”——“运行”,然后输入“E:\autorun.inf”。按照这个方法依次把你所在硬盘上的“autorun.inf”内容都删了,只保留第一行(如果要杀U盘上的毒也同理)。删除的时候要小心,千万不要双击打开病毒(.exe程序),否则前功尽弃!
4、删完这个之后,病毒就不会自动运行了。这样就可以开始删除病毒了。打开“文件夹选项”,把里面“显示系统文件夹内容”和“显示所有文件和文件夹”的勾打上,把“隐藏受保护的操作系统文件”的勾去掉。然后“确定”。
5、依次打开每个硬盘,一打开就可以看到“autorun.inf”和“.exe后缀”的文件,把这些文件用“shift + Del”彻底删除(系统盘刚刚装完,没有这两个文件)。所有硬盘分区都依次删除这两个文件后,安全了。 马上安装杀毒软件、升级
1、重装系统,
2、重装完之后,请不要双击打开除系统盘外的任何硬盘(这个关键,如果你不注意的话,系统就白装了)。
3、重装好进入windows后,点击“开始菜单”——“运行”。然后输入“D:\autorun.inf”运行,然后弹出一个“自动运行配置文件”窗口,里面的东西就是病毒自动运行文本。你把里面的文本删除,只保留第一行,保存,关闭。然后再打开“开始菜单”——“运行”,然后输入“E:\autorun.inf”。按照这个方法依次把你所在硬盘上的“autorun.inf”内容都删了,只保留第一行(如果要杀U盘上的毒也同理)。删除的时候要小心,千万不要双击打开病毒(.exe程序),否则前功尽弃!
4、删完这个之后,病毒就不会自动运行了。这样就可以开始删除病毒了。打开“文件夹选项”,把里面“显示系统文件夹内容”和“显示所有文件和文件夹”的勾打上,把“隐藏受保护的操作系统文件”的勾去掉。然后“确定”。
5、依次打开每个硬盘,一打开就可以看到“autorun.inf”和“.exe后缀”的文件,把这些文件用“shift + Del”彻底删除(系统盘刚刚装完,没有这两个文件)。所有硬盘分区都依次删除这两个文件后,安全了。 马上安装杀毒软件、升级
第2个回答 2007-09-12
因为楼主再把它删除后,病毒发现被删了,于是又从新新建了一个
就是说楼主并没有将此病毒清除
给楼主编了一段代码,可以彻底免疫这种AUTORUN病毒的。。呵呵厉害把~
就是说删除后就再也不会新生成了
请将以下代码保存成BAT文件运行
具体步骤:
1.桌面新建文本文档,将下边横线内的代码复制进去,保存
2.将文本文档后缀.TXT更改为.BAT,然后运行此文件
--------------------------------------------------
@echo off
TITLE AUTORUN免疫 By:魂缉拿ГоТ
echo 本程序将自动免疫AUTORUN.INF免疫并从起计算机.
pause
for %%i in (c: d: e: f: g: h: i: j: k:) do if exist %%i\ del /a:- %%i\autorun.inf & md %%i\autorun.inf\
shutdown /r /t 30 /c "AUTORUN已经免疫完毕,现在将从新启动计算机。"
------------------------------------------------------
运行了会自动清除病毒,=开机后Autorun就彻底没了
PS。。如果楼主有什么问题的话请随时找我,留言,消息都可以~
就是说楼主并没有将此病毒清除
给楼主编了一段代码,可以彻底免疫这种AUTORUN病毒的。。呵呵厉害把~
就是说删除后就再也不会新生成了
请将以下代码保存成BAT文件运行
具体步骤:
1.桌面新建文本文档,将下边横线内的代码复制进去,保存
2.将文本文档后缀.TXT更改为.BAT,然后运行此文件
--------------------------------------------------
@echo off
TITLE AUTORUN免疫 By:魂缉拿ГоТ
echo 本程序将自动免疫AUTORUN.INF免疫并从起计算机.
pause
for %%i in (c: d: e: f: g: h: i: j: k:) do if exist %%i\ del /a:- %%i\autorun.inf & md %%i\autorun.inf\
shutdown /r /t 30 /c "AUTORUN已经免疫完毕,现在将从新启动计算机。"
------------------------------------------------------
运行了会自动清除病毒,=开机后Autorun就彻底没了
PS。。如果楼主有什么问题的话请随时找我,留言,消息都可以~
第3个回答 2007-09-12
可能感染u盘病毒,可以下载u盘病毒专杀工具杀一下,
第4个回答 2007-09-12
换个杀毒软件 卡巴斯基 试试本回答被提问者采纳
