快捷導(dǎo)航

遭遇www.investpoll.net病毒附手動刪除方法

更新時(shí)間：2007年10月28日 16:47:54 作者：

中毒后釋放下列文件到中招的電腦中：

　　C:\WINDOWS\system32\candoall.exe
　　C:\WINDOWS\system32\alldele.ini
　　C:\WINDOWS\system32\allinstall.exe
　　C:\WINDOWS\system32\allread.ini
　　C:\WINDOWS\system32\hideme.sys
　　C:\WINDOWS\system32\MASSLTUAS35.DLL
　　C:\WINDOWS\system32\masxml32.dll
　　C:\WINDOWS\system32\passsd.exe
　　C:\WINDOWS\system32\低價(jià)充會員.url
　　C:\WINDOWS\system32\低價(jià)充鉆.url
　　還有，IE臨時(shí)文件夾中一堆亂七八糟的病毒相關(guān)文件。

　　IceSword(可到down.45it.com下載)進(jìn)程列表中可見紅字顯示的C:\WINDOWS\system32\candoall.exe進(jìn)程（隱藏）以及iexplore.exe進(jìn)程。
　　candoall.exe通過80端口訪問網(wǎng)絡(luò)，反復(fù)打開http://www.investpoll.net/這個(gè)主頁。

　　這個(gè)病毒的C:\WINDOWS\system32\hideme.sys功能還行，XDELBOX通過剪貼板導(dǎo)入上述病毒文件時(shí)，均報(bào)告文件不存在。常用的方法（如：用WINRAR查看文件）也找不到這些病毒文件。

　　中招后注冊表改動內(nèi)容如下：

HKEY_CLASSES_ROOT\AllDll.AllBHO
HKEY_CLASSES_ROOT\AllDll.AllBHO.1
HKEY_CLASSES_ROOT\CLSID\{0EE2B1C1-0357-4175-A2E1-8E8E1A033AE5}
HKEY_CLASSES_ROOT\CLSID\{1798BEA6-E891-46B7-A1F8-C15780D0A023}
HKEY_CLASSES_ROOT\CLSID\{6233543C-2323-456A-A169-2E9C5E6E977B}
HKEY_CLASSES_ROOT\Interface\{E44384ED-10F7-49FD-A210-41C9BD4A119C}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
"AutoRun"="C:\\windows\\system32\\candoall.exe"
HKEY_CLASSES_ROOT\TypeLib\{04750F2D-DE63-4790-90F4-C5CE892E5AA4}\1.0\0\win32
@="C:\\windows\\system32\\masxml32.dll"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\R
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f7b74df2-e1a1-11db-8a2e-806d6172696f}
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\6\Shell
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0045D4BC-5189-4B67-969C-83BB1906C421}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00C6482D-C502-44C8-8409-FCE54AD9C208}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08B0E5C0-4FCB-11CF-AAA5-00401C608501}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1798BEA6-E891-46B7-A1F8-C15780D0A023}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5CA3D70E-1895-11CF-8E15-001234567890}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{92780B25-18CC-41C8-B9BE-3C9C571A8263}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D1A4DEBD-C2EE-449F-B9FB-E8409F9A0BC5}
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F040E541-A427-4CF7-85D8-75E3E0F476C5}
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hideme
其中：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
"AutoRun"="C:\\windows\\system32\\candoall.exe"
這種加載方式還不多見。

　　用IceSword()的手工殺毒流程：

　　1、結(jié)束C:\WINDOWS\system32\candoall.exe以及iexplore.exe進(jìn)程。
　　2、刪除下列文件(詳細(xì)步驟：打開冰刃(IceSword)－文件－依次找到病毒文件刪除即可)：
　　C:\WINDOWS\system32\candoall.exe
　　C:\WINDOWS\system32\alldele.ini
　　C:\WINDOWS\system32\allinstall.exe
　　C:\WINDOWS\system32\allread.ini
　　C:\WINDOWS\system32\hideme.sys
　　C:\WINDOWS\system32\MASSLTUAS35.DLL
　　C:\WINDOWS\system32\masxml32.dll
　　C:\WINDOWS\system32\passsd.exe
　　C:\WINDOWS\system32\低價(jià)充會員.url
　　C:\WINDOWS\system32\低價(jià)充鉆.url
　　清空IE臨時(shí)文件夾。

　　3、刪除病毒添加的上述注冊表內(nèi)容（見本文前部,（打開冰刃(IceSword)－注冊表－依次找到病毒注冊表選項(xiàng)刪除即可））。