atisrv 病毒汹涌来袭，附讲解及解决方法

阿喀琉斯

乞丐

积分: -32
威望: -32
金币: 0 块

1^# 大中小发表于 2008-2-29 12:47 只看该作者

atisrv 病毒汹涌来袭，附讲解及解决方法

atisrv 病毒其实是机器狗的最新变种，他的强大之处在于可以穿透还原精灵自动从网上下载大量的病毒自动生成 1.exe 2.exe ...... 36.exe 强行关闭防火墙和杀毒软件的文件监控功能等。

目前atisrv 病毒杀毒方法如下：

鼠年“打狗棒”可免疫2.28最新机器狗。请百度搜查打狗棒。

搜索更多相关主题的帖子: atisrv 病毒杀毒木马

TOP

阿喀琉斯

乞丐

积分: -32
威望: -32
金币: 0 块

2^# 大中小发表于 2008-2-29 12:49 只看该作者

清除atisrv 病毒的第二种方法

第一步：终止病毒进程
使用wsyscheck，点安全检查，在“常规检查”子菜单下，“禁用程序管理”栏内，点右键，“添加新的禁用程序”。把以下文件名分别填入：

15.exe
AtiSrv.exe
16.exe

第二步：删除病毒文件
使用菜刀删除以下病毒文件，支持批量删除，把下面文件列表复制到删除框内，注意选上“抑制文件再生”，再删除。
提示重启后删除的，会在重启后删除成功。
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\DbgHlp32.dlL
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\WSockDrv32.dll
C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys
C:\WINDOWS\system32\hfrdzx.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\zjydcx.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\gkpuafjwow.dll
C:\WINDOWS\system32\puyelquwm.dll
C:\WINDOWS\system32\ycinvaezx.dll
C:\WINDOWS\system32\15.exe
C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\AtiSrv.exe
C:\WINDOWS\system32\16.exe
C:\WINDOWS\system32\taijoad.dll
C:\WINDOWS\system32\tsqc.dll
C:\WINDOWS\system32\pahzij.dll
C:\WINDOWS\system32\hjiq.dll
C:\WINDOWS\system32\kiluw.dll
C:\WINDOWS\system32\oqnauhc.dll
C:\WINDOWS\system32\xjxr.dll
C:\WINDOWS\system32\gnolnait.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\qlihzouhgnfe.dll
C:\WINDOWS\system32\rzysdhbx.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys
C:\WINDOWS\system32\drivers\msosfpids32.sys
C:\WINDOWS\system32\drivers\mselk.sys
C:\WINDOWS\system32\drivers\msyecp.sys

第三步：重启。（如果开机自动打开那些和病毒文件同名的免疫文件夹，第五步做完重启就不会有了。）

第四步：检查删除效果，如果有的文件没有成功删除，重试试第二步，或使用360filekill删除。

第五步：确认全部删除了，再修复注册表。修复注册表
用sreng-点启动项目－点服务－点驱动程序：把以下驱动删除：(如果删不掉，就设置类型为disabled!)
[Sc Manager / Sc Manager][Running/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys><N/A>
[iCafe Manager / iCafe Manager][Running/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys><N/A>
[fpids32 / fpids32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[msertk / msertk][Running/Auto Start]
  <system32\drivers\msyecp.sys><N/A>
[msert / msert][Running/Auto Start]
  <system32\drivers\mselk.sys><N/A>

用sreng-点启动项目－点注册表，将以下项的启动删除：
<igzwzslm><C:\WINDOWS\gwsmhxuq.exe>  []
<{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll>  []
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  []
<{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll>  []
<{D29DCEE0-457B-45A2-A92D-741B95B7723B}><C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys>  []

启动文件夹，将以下项的启动删除：
[AtiSrv]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\AtiSrv.exe -->  [N/A]><N>

用sreng-点启动项目－点注册表，将以下项的启动中的红色字体内容删除：

用sreng- 点系统修复－浏览器加载项-删除以下内容：
[]
  {D29DCEE0-457B-45A2-A92D-741B95B7723B} <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys, N/A>
[]
  {D29DCEE0-457B-45A2-A92D-741B95B7723B} <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys, N/A>

第五步：重启，再次检查修复结果。

TOP

阿喀琉斯

乞丐

积分: -32
威望: -32
金币: 0 块

3^# 大中小发表于 2008-2-29 12:52 只看该作者

清除atisrv 病毒的第三种方法

系统启动后，按F8进安全模式，然后在安全模式下还原C盘

TOP

阿喀琉斯

乞丐

积分: -32
威望: -32
金币: 0 块

4^# 大中小发表于 2008-2-29 12:58 只看该作者

清除atisrv 病毒的第四种方法

因为现在初步认定atisrv 病毒就是机器狗木马，故大家可以下载这几个工具查杀。

首先要把电脑的病毒原体清理干净

其次是打上所有windows漏洞补丁

附专杀列表

瑞星机器狗专杀下载
江民机器狗免疫程序下载
360机器狗专杀
金山机器狗专杀
超级巡警机器狗专杀

TOP

阿喀琉斯

乞丐

积分: -32
威望: -32
金币: 0 块

5^# 大中小发表于 2008-2-29 13:02 只看该作者

清除atisrv 病毒的第五种方法

1、用XDELBOX删除下列启动项指向的程序以及C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\文件夹中的所有程序：

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><msosmhfp00.dll> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgrefg.dll> []
<{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll> []
<{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll> []
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []
<{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll> []
<{e88e8138-6883-404b-b55c-afe1924d44f4}><C:\WINDOWS\system32\fTQQTQQ1004.dll> []
<{521ad5c7-aa70-46f7-9bfb-8a2d67a3edfa}><C:\WINDOWS\system32\fSABSAB1014.dll> []
<{7bc1b6b2-c9cf-419f-942b-37dd6d5cbdba}><C:\WINDOWS\system32\QABQAB1016.dll> []
<{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jhrcar.dll> []
启动文件夹
[AtiSrv]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\AtiSrv.exe --> [N/A]><N>

驱动程序
[Sc Manager / Sc Manager][Running/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys><N/A>
[iCafe Manager / iCafe Manager][Running/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys><N/A>
[mhfp / mhfp][Stopped/Auto Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp25.tmp><N/A>
[fpids32 / fpids32][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>

2、重启后，用SRENG删除上述注册表内容。