四川成都
网站地图新版推荐:新版推荐1 新版推荐2
论坛公告:
内容搜索
    打印

    atisrv 病毒汹涌来袭,附讲解及解决方法

    atisrv 病毒汹涌来袭,附讲解及解决方法

    atisrv 病毒其实是机器狗的最新变种,他的强大之处在于可以穿透还原精灵 自动从网上下载大量的病毒 自动生成 1.exe 2.exe ...... 36.exe 强行关闭防火墙和杀毒软件的文件监控功能 等。


    目前atisrv 病毒杀毒方法如下:


    鼠年“打狗棒”可免疫2.28最新机器狗。请百度搜查打狗棒。

    TOP

    清除atisrv 病毒的第二种方法

    第一步:终止病毒进程
    使用wsyscheck,点安全检查,在“常规检查”子菜单下,“禁用程序管理”栏内,点右键,“添加新的禁用程序”。把以下文件名分别填入:

    15.exe
    AtiSrv.exe
    16.exe

    第二步:删除病毒文件
    使用菜刀删除以下病毒文件,支持批量删除,把下面文件列表复制到删除框内,注意选上“抑制文件再生”,再删除。
    提示重启后删除的,会在重启后删除成功。
    C:\WINDOWS\system32\NVDispDrv.dll
    C:\WINDOWS\system32\DbgHlp32.dlL
    C:\WINDOWS\system32\MsIMMs32.dll
    C:\WINDOWS\system32\WSockDrv32.dll
    C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys
    C:\WINDOWS\system32\hfrdzx.dll
    C:\WINDOWS\system32\hhrdxd.dll
    C:\WINDOWS\system32\zjydcx.dll
    C:\WINDOWS\system32\upxdnd.dll
    C:\WINDOWS\system32\gkpuafjwow.dll
    C:\WINDOWS\system32\puyelquwm.dll
    C:\WINDOWS\system32\ycinvaezx.dll
    C:\WINDOWS\system32\15.exe
    C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\AtiSrv.exe
    C:\WINDOWS\system32\16.exe
    C:\WINDOWS\system32\taijoad.dll
    C:\WINDOWS\system32\tsqc.dll
    C:\WINDOWS\system32\pahzij.dll
    C:\WINDOWS\system32\hjiq.dll
    C:\WINDOWS\system32\kiluw.dll
    C:\WINDOWS\system32\oqnauhc.dll
    C:\WINDOWS\system32\xjxr.dll
    C:\WINDOWS\system32\gnolnait.dll
    C:\WINDOWS\system32\duygnef.dll
    C:\WINDOWS\system32\qlihzouhgnfe.dll
    C:\WINDOWS\system32\rzysdhbx.dll
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys
    C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys
    C:\WINDOWS\system32\drivers\msosfpids32.sys
    C:\WINDOWS\system32\drivers\mselk.sys
    C:\WINDOWS\system32\drivers\msyecp.sys

    第三步:重启。(如果开机自动打开那些和病毒文件同名的免疫文件夹,第五步做完重启就不会有了。)

    第四步:检查删除效果,如果有的文件没有成功删除,重试试第二步,或使用360filekill删除。

    第五步:确认全部删除了,再修复注册表。修复注册表
    用sreng-点启动项目-点服务-点驱动程序:把以下驱动删除:(如果删不掉,就设置类型为disabled!)
    [Sc Manager / Sc Manager][Running/Manual Start]
      <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys><N/A>
    [iCafe Manager / iCafe Manager][Running/Manual Start]
      <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys><N/A>
    [fpids32 / fpids32][Running/Auto Start]
      <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
    [msertk / msertk][Running/Auto Start]
      <system32\drivers\msyecp.sys><N/A>
    [msert / msert][Running/Auto Start]
      <system32\drivers\mselk.sys><N/A>

    用sreng-点启动项目-点注册表, 将以下项的启动删除:
       <igzwzslm><C:\WINDOWS\gwsmhxuq.exe>  []
        <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll>  []
        <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  []
        <{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll>  []
        <{D29DCEE0-457B-45A2-A92D-741B95B7723B}><C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys>  []

    启动文件夹, 将以下项的启动删除:
    [AtiSrv]
      <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\AtiSrv.exe -->  [N/A]><N>

    用sreng-点启动项目-点注册表,将以下项的启动中的红色字体内容删除:

    用sreng- 点系统修复-浏览器加载项-删除以下内容:
    []
      {D29DCEE0-457B-45A2-A92D-741B95B7723B} <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys, N/A>
    []
      {D29DCEE0-457B-45A2-A92D-741B95B7723B} <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys, N/A>


    第五步:重启,再次检查修复结果。

    TOP

    清除atisrv 病毒的第三种方法

    系统启动后,按F8进安全模式,然后在安全模式下还原C盘

    清除atisrv 病毒的第四种方法

    因为现在初步认定atisrv 病毒就是机器狗木马,故大家可以下载这几个工具查杀。


    首先要把电脑的病毒原体清理干净


    其次是打上所有windows漏洞补丁

    附专杀列表

    瑞星机器狗专杀下载
    江民机器狗免疫程序下载
    360机器狗专杀
    金山机器狗专杀
    超级巡警机器狗专杀

    TOP

    清除atisrv 病毒的第五种方法

    1、用XDELBOX删除下列启动项指向的程序以及C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\文件夹中的所有程序:


    启动项目
    注册表
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><msosmhfp00.dll> []

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgrefg.dll> []
    <{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll> []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll> []
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []
    <{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll> []
    <{e88e8138-6883-404b-b55c-afe1924d44f4}><C:\WINDOWS\system32\fTQQTQQ1004.dll> []
    <{521ad5c7-aa70-46f7-9bfb-8a2d67a3edfa}><C:\WINDOWS\system32\fSABSAB1014.dll> []
    <{7bc1b6b2-c9cf-419f-942b-37dd6d5cbdba}><C:\WINDOWS\system32\QABQAB1016.dll> []
    <{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jhrcar.dll> []
    启动文件夹
    [AtiSrv]
    <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\AtiSrv.exe --> [N/A]><N>

    驱动程序
    [Sc Manager / Sc Manager][Running/Manual Start]
    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys><N/A>
    [iCafe Manager / iCafe Manager][Running/Manual Start]
    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys><N/A>
    [mhfp / mhfp][Stopped/Auto Start]
    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp25.tmp><N/A>
    [fpids32 / fpids32][Stopped/Auto Start]
    <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>

    2、重启后,用SRENG删除上述注册表内容。

    TOP

    系统无法进入安全模式,最初以为是中AV,但发现程序中有个AtiSrv.exe.无法打开exe文件.

    TOP

    TOP

    学习拉,最近电脑上老是有很多病毒木马,也不知道搞 的

    TOP

    更多

    热门推荐

        
        Copyright © 2009-2010 爱成都(Www.Tg280.Com) 版权所有 All Rights Reserved.
        网站合作以及广告事宜请联系:13408615420 QQ:598639362 1104220665
          蜀ICP备09010587号