Rpcs.exe,ijiq.dll等木马群手工清查解决方案

[ 作者：443989025 | 更新日期:2008-1-31 12:17:59 | 阅读次数： ]

Rpcs.exe,ijiq.dll等木马群手工清查解决方案

1.建议使用XDelBox或者 powerRMV等工具删除以下文件：
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择不检查路径从剪贴板导入，导入后点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\WINDOWS\system32\Rpcs.exe
c:\windows\system32\yld32.dll
c:\windows\fonts\avwgjmn.dll
c:\windows\fonts\hookhelp.dll
c:\windows\fonts\kvdxsoma.dll
c:\windows\system32\ydmhsfl.dll
c:\windows\fonts\avzxomn.dll
c:\windows\fonts\jsqxcyc.dll
c:\windows\fonts\kawdjzy.dll
c:\windows\fonts\kvdxmma.dll
c:\windows\fonts\rarjfpi.dll
c:\windows\system32\auhad.dll
c:\windows\system32\gnaixnauhuoyizqq.dll
c:\windows\system32\ijiq.dll
c:\windows\system32\ijougiemnaw.dll
c:\windows\system32\iqnauhc.dll
c:\windows\system32\naijihzeuyouhz.dll
c:\windows\system32\naixuhz.dll
c:\windows\system32\nauhgnem.dll
c:\windows\system32\niluw.dll
c:\windows\system32\uohsom.dll
c:\windows\system32\uyom.dll
c:\windows\system32\xhqq.dll
c:\windows\fonts\gjcsdyc.dll
c:\windows\fonts\avwlkmn.dll
c:\windows\fonts\kashmzy.dll
c:\windows\system32\syschk.exe
c:\windows\system32\drivers\255031.sys
c:\windows\system32\drivers\phy.sys
c:\windows\system32\fat32.sys
c:\windows\system32\drivers\msaclue.sys
c:\windows\system32\drivers\msacpe.sys
c:\windows\system32\drivers\irhgceye.sys
c:\program files\internet explorer\iexplore32.dat
c:\program files\internet explorer\iexplore32.sys
c:\program files\internet explorer\iexplore32.win

2.删除重启后使用SREng修复下面各项：

    启动项目－－注册表之如下项删除：
[{F859245F-345D-BC13-AC4F-145D47DA34FF}]    <C:\WINDOWS\Fonts\avzxomn.dll>
[{4FA10261-B890-F432-A453-69F1023513F4}]    <C:\WINDOWS\Fonts\gjcsdyc.dll>
[{B960356A-458E-DE24-BD50-268F589A56AB}]    <C:\WINDOWS\Fonts\avwlkmn.dll>
[{3D098345-9012-8750-8910-9128098134D3}]    <C:\WINDOWS\Fonts\jsqxcyc.dll>
[{6598FF45-DA60-F48A-BC43-10AC47853D56}]    <C:\WINDOWS\Fonts\rarjfpi.dll>
[{D9FA4178-7749-A8D9-F5C8-88645525769D}]    <C:\WINDOWS\Fonts\kashmzy.dll>
[{E159854F-6971-3456-6941-10235412974E}]    <C:\WINDOWS\Fonts\hookhelp.dll>
[{AA1247C1-53DA-FF43-ABD3-345F323A48DA}]    <C:\WINDOWS\Fonts\avwgjmn.dll>
[{FD561258-45F3-A451-F908-A258458226DF}]    <C:\WINDOWS\Fonts\kvdxsoma.dll>
[{A8907901-1416-3389-9981-37217856998A}]    <C:\WINDOWS\Fonts\kawdjzy.dll>
[{DC87A354-ABC3-DEDE-FF33-3213FD7447CD}]    <C:\WINDOWS\Fonts\kvdxmma.dll>
[SystemCheck]    <%SystemRoot%\system32\syschk.exe>

    启动项目－－服务－－驱动程序之如下项删除：
[255046 / 255046]    <\??\C:\WINDOWS\system32\Drivers\255031.sys>
[20859 / 20859]    <>
[20859 / 20859]    <>
[phy / phy]    <\??\C:\WINDOWS\system32\DRIVERS\phy.sys>
[PciHardDisk / PciHardDisk]    <\??\C:\WINDOWS\system32\fat32.sys>
[msskye / msskye]    <system32\DRIVERS\msaclue.sys>
[mseqsy / mseqsy]    <system32\DRIVERS\msacpe.sys>
[irhgceye / irhgceye]    <\SystemRoot\system32\drivers\irhgceye.sys>

    系统修复－－　浏览器加载项之如下项删除：
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Dat>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.Sys>
[]    <C:\Program Files\Internet Explorer\IEXPLORE32.win>

winsock--------重置

从dllcache文件夹复制一个explorer.exe放到windows下，如果提示已存在，是否覆盖，则选是！
升级升毒软件全盘扫描.

www.newjian.com