问题描述:
网业被劫持为41995009,手工处理后,病毒众多被一一清除
但重新启动后问题如下:
1。rundll错误:
加载 C:\winnt\system32\kpfechc07.dll时作物,进程无法访问文件,因为另一程序正在使用。
2.程序错误:unknown产生错误,会被windows关闭,请重新启动程序.
确定后桌面无法显示,从任务管理器中启动explore后正常显示桌面,进程信息也正常,ie首页又重新被劫持为41995009
如上kpfechc07.dll文件用killbox2006在安全模式下也无法删除.
sreng扫描如下:
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><ctfmon.exe> [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SKYNET Personal FireWall><C:\PROGRA~1\SKYNET\FIREWALL\PFW.exe> [sky.net.cn]
<Synchronization Manager><mobsync.exe /logon> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Corporation]
<Userinit><C:\WINNT\SYSTEM32\Userinit.exe,> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{57B86673-276A-48B2-BAE7-C6DBB3020EB8}><D:\DOWNLOAD\Downloads\木马查杀-ewido\ewido_4.0.0.172c_3.3\ewido_4.0.0.172c_3.3\shellexecutehook.dll> [Anti-Malware Development a.s.]
<{1A404685-7563-4d02-B0F6-58B308A406A9}><c:\progra~1\eset\moswxnan.dll> []
驱动程序
[dmboot / dmboot]
<System32\drivers\dmboot.sys><VERITAS Software Corp.>
[Logical Disk Manager Driver / dmio]
<\SystemRoot\System32\drivers\dmio.sys><VERITAS Software Corp.>
[dmload / dmload]
<\SystemRoot\System32\drivers\dmload.sys><VERITAS Software Corp.>
[ewido anti-spyware 4.0 driver / ewido anti-spyware 4.0 driver]
<\??\D:\DOWNLOAD\Downloads\木马查杀-ewido\ewido_4.0.0.172c_3.3\ewido_4.0.0.172c_3.3\guard.sys><N/A>
[kpfehc0 / kpfehc07]
<\SystemRoot\System32\DRIVERS\kpfehc07.sys><N/A>
[npkcrypt / npkcrypt]
<\??\C:\Program Files\Tencent\QQ\npkcrypt.sys><INCA Internet Co., Ltd.>
[nv3 / nv3]
<System32\DRIVERS\nv3.sys><NVIDIA Corporation>
[Direct Parallel Link Driver / Ptilink]
<System32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Realtek RTL8139-based PCI Fast Ethernet Adapter NT Driver / rtl8139]
<System32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[SENSE3 / SENSE3]
<system32\drivers\sense3.sys><Beijing Senselock>
[SKNFW / SKNFW]
<\??\C:\WINNT\System32\Drivers\SKNFW.sys><N/A>
请达人帮助分析!!感激不尽
sorry
上述错误中,文件kpfechc07.dll应为kpfehc07.dll
问题解答:
今天参照了“还我蓝色天空bolg中一篇名为《深入剖析MY123前生今世以及手工清除方法》,确实有效 http://hi.baidu.com/nslog/blog/item/f6506ed0b1a9c18fa1ec9c46.html 只是手工处理比较要些技术基础
如果遇到相同问题的朋友可以参考一下
让流氓软件彻底失踪
使用到的程序有:
sreng
windows清理助手
lspfix
HijackThis.exe
买一本本期的大众软件(十二月上半月刊),里面有详细的浏览器劫持的处理方法。按照那上面写的操作应该能搞定了。DIY也能提高自己的水平,生命不息学习不止嘛。