atisrv 病毒其实是机器狗的最新变种，他的强大之处在于可以穿透还原精灵 自动从网上下载大量的病毒 自动生成 1.exe 2.exe ...... 36.exe 强行关闭防火墙和杀毒软件的文件监控功能 等。


目前atisrv 病毒杀毒方法如下：


鼠年“打狗棒”可免疫2.28最新机器狗。请百度搜查打狗棒。

第一步：终止病毒进程
使用wsyscheck，点安全检查，在“常规检查”子菜单下，“禁用程序管理”栏内，点右键，“添加新的禁用程序”。把以下文件名分别填入：

15.exe
AtiSrv.exe
16.exe

第二步：删除病毒文件
使用菜刀删除以下病毒文件，支持批量删除，把下面文件列表复制到删除框内，注意选上“抑制文件再生”，再删除。
提示重启后删除的，会在重启后删除成功。
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\DbgHlp32.dlL
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\WSockDrv32.dll
C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys
C:\WINDOWS\system32\hfrdzx.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\zjydcx.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\gkpuafjwow.dll
C:\WINDOWS\system32\puyelquwm.dll
C:\WINDOWS\system32\ycinvaezx.dll
C:\WINDOWS\system32\15.exe
C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\AtiSrv.exe
C:\WINDOWS\system32\16.exe
C:\WINDOWS\system32\taijoad.dll
C:\WINDOWS\system32\tsqc.dll
C:\WINDOWS\system32\pahzij.dll
C:\WINDOWS\system32\hjiq.dll
C:\WINDOWS\system32\kiluw.dll
C:\WINDOWS\system32\oqnauhc.dll
C:\WINDOWS\system32\xjxr.dll
C:\WINDOWS\system32\gnolnait.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\qlihzouhgnfe.dll
C:\WINDOWS\system32\rzysdhbx.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys
C:\WINDOWS\system32\drivers\msosfpids32.sys
C:\WINDOWS\system32\drivers\mselk.sys
C:\WINDOWS\system32\drivers\msyecp.sys

第三步：重启。（如果开机自动打开那些和病毒文件同名的免疫文件夹，第五步做完重启就不会有了。）

第四步：检查删除效果，如果有的文件没有成功删除，重试试第二步，或使用360filekill删除。

第五步：确认全部删除了，再修复注册表。修复注册表
用sreng-点启动项目－点服务－点驱动程序：把以下驱动删除：(如果删不掉，就设置类型为disabled!)
[Sc Manager / Sc Manager][Running/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys><N/A>
[iCafe Manager / iCafe Manager][Running/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys><N/A>
[fpids32 / fpids32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[msertk / msertk][Running/Auto Start]
  <system32\drivers\msyecp.sys><N/A>
[msert / msert][Running/Auto Start]
  <system32\drivers\mselk.sys><N/A>

用sreng-点启动项目－点注册表， 将以下项的启动删除：
   <igzwzslm><C:\WINDOWS\gwsmhxuq.exe>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll>  []
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  []
    <{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll>  []
    <{D29DCEE0-457B-45A2-A92D-741B95B7723B}><C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys>  []

启动文件夹， 将以下项的启动删除：
[AtiSrv]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\AtiSrv.exe -->  [N/A]><N>

用sreng-点启动项目－点注册表，将以下项的启动中的红色字体内容删除：

用sreng- 点系统修复－浏览器加载项-删除以下内容：
[]
  {D29DCEE0-457B-45A2-A92D-741B95B7723B} <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys, N/A>
[]
  {D29DCEE0-457B-45A2-A92D-741B95B7723B} <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys, N/A>


第五步：重启，再次检查修复结果。

系统启动后，按F8进安全模式，然后在安全模式下还原C盘

因为现在初步认定atisrv 病毒就是机器狗木马，故大家可以下载这几个工具查杀。


首先要把电脑的病毒原体清理干净


其次是打上所有windows漏洞补丁

附专杀列表

瑞星机器狗专杀下载
江民机器狗免疫程序下载
360机器狗专杀
金山机器狗专杀
超级巡警机器狗专杀

1、用XDELBOX删除下列启动项指向的程序以及C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\文件夹中的所有程序：


启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><msosmhfp00.dll> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgrefg.dll> []
<{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll> []
<{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll> []
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []
<{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll> []
<{e88e8138-6883-404b-b55c-afe1924d44f4}><C:\WINDOWS\system32\fTQQTQQ1004.dll> []
<{521ad5c7-aa70-46f7-9bfb-8a2d67a3edfa}><C:\WINDOWS\system32\fSABSAB1014.dll> []
<{7bc1b6b2-c9cf-419f-942b-37dd6d5cbdba}><C:\WINDOWS\system32\QABQAB1016.dll> []
<{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jhrcar.dll> []
启动文件夹
[AtiSrv]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\AtiSrv.exe --> [N/A]><N>

驱动程序
[Sc Manager / Sc Manager][Running/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys><N/A>
[iCafe Manager / iCafe Manager][Running/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys><N/A>
[mhfp / mhfp][Stopped/Auto Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp25.tmp><N/A>
[fpids32 / fpids32][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>

2、重启后，用SRENG删除上述注册表内容。

系统无法进入安全模式,最初以为是中AV,但发现程序中有个AtiSrv.exe.无法打开exe文件.

学习拉，最近电脑上老是有很多病毒木马，也不知道搞 的