最新更新主题

U盘病毒GHO.exe(rav*mon.exe,rav*mon.dat)木马的清除方法

字体: | 打印 发表于: 2008-2-13 16:16    作者: admin    来源: 资讯天下

手动清除办法:

  1.首先把系统时间改回来

  下载SREng2这个软件

  下载:http://www.motoyi.com/Down/Noted/200705/Down_28.shtml



  重启计算机进入安全模式(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)



  打开sreng

  启动项目 注册表 删除如下项目

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]

<CRSSS><C:\WINDOWS\SYSTEM32\CRSSS.EXE> []

<RAVMHMON><C:\PROGRAM Files\NetMeeting\ravmhmon.exe> []

<RAVZTMON><C:\PROGRAM Files\NetMeeting\ravztmon.exe> []

<RAVQJMON><C:\PROGRAM Files\NetMeeting\ravqjmon.exe> []

<RAVZXMON><C:\PROGRAM Files\NetMeeting\ravzxmon.exe> []

<RAVMSMON><C:\PROGRAM Files\NetMeeting\ravmsmon.exe> []

<RAVMYMON><C:\PROGRAM Files\NetMeeting\ravmymon.exe> []

<RAVFYMON><C:\PROGRAM Files\NetMeeting\ravfymon.exe> []

<RAVWDMON><C:\PROGRAM Files\NetMeeting\ravwdmon.exe> []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

<{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\PROGRAM Explorer\PLUGINS\WinSys64.Sys Files\Internet> []

<{DD7D4640-4464-48C0-82FD-21338366D2D2}><C:\PROGRAM Files\Internet Explorer\InfoMs.tdm> []

  系统修复-Windows shell/IE 选中

  设置主页为"about:blank"和允许Internet Explorer选项窗口和选项窗口的所有内容

然后点击下面的修复

  2.把下面的代码拷入记事本中然后另存为1.reg文件









Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

  双击1.reg把这个注册表项导入

  3.双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提

  示确定更改时,单击“是” 然后确定,点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)









从左边的资源管理器 进入C盘







  

删除如下文件:

  C:\WINDOWS\system32\crsss.exe

  C:\Program Files\Internet Explorer\PLUGINS\SysWin64.Jmp

  C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys

  C:\Program Files\Internet Explorer\InfoMs.tdm

  C:\Program Files\NetMeeting\rav*mon.cfg

  C:\Program Files\NetMeeting\rav*mon.dat

  C:\Program Files\NetMeeting\rav*mon.exe(*代表两个随机字母)

  C:\gho.exe

  C:\autorun.inf

  点击 菜单栏下方的 文件夹按钮(搜索右边的按钮)

  从左边的资源管理器 进入其他盘

  删除gho.exe autorun.inf

  以及E盘的Autorun.exe

  4.重启计算机

  删除C:\WINDOWS\system32\mssock.sys

  C:\WINDOWS\system32\mssql.dll

  5.使用iframekill.rar工具清理被感染的htm等文件

  下载地址:http://www.motoyi.com/Down/Noted/200710/Down_83.shtml</C:\PROGRAM></C:\PROGRAM></C:\PROGRAM></C:\PROGRAM></C:\PROGRAM></C:\PROGRAM></C:\PROGRAM></C:\PROGRAM></C:\PROGRAM></C:\PROGRAM></C:\WINDOWS\SYSTEM32\CRSSS.EXE>