有壹個程序“logogo.exe”壹直試圖訪問我的電腦!
1、下載xdelbox1.3,可以刪除病毒生成的文件,找到c:\system\目錄下的SYSTEM32.vxd 、logogo.exe 、inudhya.dll 刪除掉,在其他分區還有下面三個文件的也用xdelbox壹起刪除掉,setup.exe 、autorun.inf 、pagefile 。並且在xdelbox裏選中抑制再生欄,然後按軟件操作方法重啟電腦。
2、下載sreng,打開sreng,看看什麽可疑的註冊表文件,刪除掉或重新編輯。當然也可以到註冊表手動刪除或更改。
3、病毒可能禁用顯示隱藏文件功能,可按以下方法恢復,把下列文本復制到記事本,保存為.regw格式文件。
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
00
"HelpID"="shell.hlp#51131"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
4、病毒可能還有***pri.dll文件,類似的DLL如下:
C:\WINDOWS\system32\wdbpri.dll
C:\WINDOWS\system32\qhbpri.dll
C:\WINDOWS\system32\ztipri.dll
C:\WINDOWS\system32\dhbpri.dll
C:\WINDOWS\system32\zxepri.dll
C:\WINDOWS\system32\xyepri.dll
C:\WINDOWS\system32\wgcpri.dll
可在regedit.exe中刪除已知木馬創建的註冊表鍵值(可以用搜索關鍵字"pri.dll"),將木馬修改的註冊表鍵值清空.可以在網上搜索壹下怎樣解決。
5、註冊表裏頑固的文件也可以拖到xdelbox裏刪除,好像AppInit_DLLs置空類。
最後,把凡是帶有1_.ll的可執行文件刪除掉,(不要覺得可惜,反正已經被病毒修改了)應該就可以了。不過每個分區多了幾個文件夾,隱藏壹下就可以啦,千萬不要刪除。
還有壹種最幹凈利落的方法,把整個硬盤格式化,重裝系統。
參考資料: