查杀变种7939方法
如果IE首页被改为www.7933.com,请参照下面的操作方法进行查杀。
电脑典型症状:explorer.exe注入winlogon.exe,winlogon.exe后会占用大量内存,直到死机。IE首页被锁定为www.7939.com不可修复。打开IE浏览器>IE属性>进行操作时,卡巴斯基的文件保护和主动防御会被停止,但可以手动恢复。
卡巴斯基本身可以阻止explorer.exe注入winlogon.exe,避免winlogon.exe占用大量内存,直到死机。
首先,可以使用卡巴斯基杀毒。
如果不能查杀,可以采用下面的方法。
替换已被感染病毒的系统文件(卡巴斯基目前无法查出):
\Program Files\Internet Explorer\iexplore.exe
\WINDOWS\system32\rundll32.exe(已确定感染)
\WINDOWS\system32\userinit.exe(已确定感染)
\WINDOWS\system32\winlogon.exe(已确定感染)
\WINDOWS\explorer.exe
\WINDOWS\system32\svchost.exe
\WINDOWS\system32\wauclt.exe
\WINDOWS\system32\wauclt1.exe
\WINDOWS\regedit.exe(已确定感染)刚发现,覆盖后故障消失。
请从安装盘提取以上文件,提取办法是用winrar打开安装盘,找到I386目录下的同名EX_文件,解压到一个文件夹中,即可得到exe 文件。设置属性为只读(一定要设只读,要不覆盖回去立马被感染,你可以试试,观察文件大小变化)。然后覆盖原来的系统文件即可。
注意:
覆盖前一定要先把原来的文件改名或做备份。
\WINDOWS\explorer.exe 覆盖后,如果版本不对,重起将不能显示桌面。
解决的办法是按Ctrl+Alt+Dll;打开任务管理器-程序-新任务-打开“\Program Files\Internet Explorer\iexplore.exe”;可暂时替代\WINDOWS\explorer.exe;点查看菜单-浏览器栏-文件夹,即可打开系统树形文件目录。把备份的explorer.exe恢复回去即可。
偶上传了从联想xp安装盘提取的文件(run.rar),如果版本不对,请从你原来的安装盘提取。(建议原盘提取;以防版本不对造成不必要的麻烦)
杀掉的7939病毒文件:
svchost.dll
services.dll
hccutils.dll(←不是病毒文件,误报,道歉,)
xbhlu.dll(7939关键病毒文件)
qefcp.sys(7939关键病毒文件)
ravsvc.exe(7939关键病毒文件)
删除的病毒目录:
\Documents and Settings\q\Application Data\Microsoft\pctools\
\Documents and Settings\q\Application Data\Microsoft\themes\
\WINDOWS\system32\{pchomes}
处理留下的后遗症:不能显示隐藏文件,修改后被改回。可以参照以下文章处理:
http://www.pchwz.cn/pc-ZhiShiJiQiao/J9098IC5C8_2.html
转截请注明:文章来自 pc捍卫者 http://www.pchwz.com
本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点
