一、软件清除
灰鸽子专杀v0.4下载:[下载地址1][下载地址2][本地下载]
灰鸽子专杀简介:本工具为纯绿色专杀,已经过严格测试可查杀所有版本的灰鸽子木马,备用本工具可以让您免受灰鸽子木马的困饶,请尽量在本站提供的地址下载
木马杀客是本站原创的反病毒工具,软件采用杀毒引擎辨别特征码和传统病毒库辨别。软件可查杀密码偷窃类木马、qq尾巴类木马、冰河类木马、网游盗号类木马、完全查杀灰鸽子类木马、及各种未知木马、病毒、蠕虫、后门、黑客程序等。木马内置内存监控及注册表监控功能,木马感染内存及修改注册表启动等都将被监控查杀。软件支持在线升级。
其他功能:网络连接状态、启动项目查看及管理、内存监控、软件卸载、注册表备份及修复、右键扫描、灰鸽子专杀。版本不断更新中......
如果还不行,可下载以下软件查杀之:木马杀客 v5.2 build 1225
安装版:
http://www.sf120.net/soft/setup.exe
http://dx.mmsk.cn/setup.exe
绿色版:
http://www.sf120.net/soft/setup.rar
http://dx.mmsk.cn/setup.rar
二、手动清除
本人一向注意保护系统安全,漏洞补丁,升级杀软,安装维护软件,一年来没有出现什么问题,可是近期却出现怪事一桩,每次开机,瑞星都会自动查到两个病毒,病毒名为trojan.psw.qqrobber.16.f 被感染文件为c:\windows\system32\ranx.dll和c:\windows\system32\god.sys ,并提示说删除成功后,我重新启动电脑,这种状况依然存在。这让我非常郁闷,不过凭着几年来的经验,我根本没有把这当回事,心想10分钟绝对搞定。但结果却不是这样。以下提供我的杀毒全过程:
1、升级杀毒软件,安全模式下杀毒,显示已经被清除。重新启动计算机,问题依旧。
2、拔掉网线,启动计算机,提示病毒已经被删除,接着进行全面扫描,没有发现病毒。重新启动计算机,问题依旧。虽然问题没有解决,但是可以肯定这是开机就加载运行的一个程序。
3、在“运行-msconfig-启动”中把关于瑞星的前边的勾全部去掉,重启机器到安全模式,扫描并杀毒两个,再重新启动计算机,但问题依旧。其实做这一步来自于对瑞星的过高期望,之前都是开机时瑞星自动检测到病毒并清除,我估计那只是做了简单的处理,也许使用“启动杀毒软件-杀毒”这样的方法会更加正式一些,得到的结果也会更加好一些,现在看起来当初的想法倒是真的很愚蠢,希望大家别见笑。
4、没有办法,换杀毒软件吧,我马上卸载了瑞星,换上江民,没有解决问题;卸载江民,安装金山,问题依旧。我不喜欢卡巴,所以没有用,但是估计一样也无能为力,希望大家也试试,有结果告知一下子。
5、下载专杀工具吧,我先后下载了有20个专杀工具(包括木马专杀),没有解决问题,倒是找到了机子上存在的其他木马(看来自信不是什么好事情)。
到了这一步,我想过重新做系统,但是想想代价太高,因为机器上文件太多,也有一些程序当初也没有备份安装文件,失去了就难以找回。
百度一下吧,上网看了看,中标的朋友们还真的不少,所以我更加坚定要解决问题。百度里的结果有三种。
一、只有提问,没有应答。
二、有提问,回答说解决不了。
三、瑞星专家要求大家用hijackthis扫瞄logfile,把内容贴上去分析,但是最终的处理办法我没有看到。
于是我决定细细观察一下windows下的所有文件,这个过程花费我3个小时不止,超过了重新做一个和以前一样系统的时间。
1、发现问题如下:windows文件下多一个文件bitcomet server1.2.exe;安全模式下删除。
2、在dos(开始-运行-cmd-回车)下运行开始以下命令:
dir c:\windows\*.exe
发现文件g_server2.0.exe,运行:del g_server2.0.exe删除之。
3、在注册表(开始-运行-regedit)中搜索god.sys和ranx.dll,发现以上含以上健值的子项,并在其左侧的相关路径中发现hkey_local_machine\system\currentcontrolset\services\vanti,直接删除vanti项目。
4、重新启动计算机,发现问题解决。
总结以上过程,并结合网友观点,概括trojan.psw.qqrobber.16.f病毒清除方法:
1、在注册表删除hkey_local_machine\system\currentcontrolset\services\vanti中的vanti项。
2、在hkey_local_machine\system\currentcontrolset\services分支下删除nserver分支和waierver分支。
3、到hkey_local_machine\software\microsoft\windows\currentversion\run,hkey_local_machine\software\microsoft\windows\currentversion\runservices,hkey_current_user\software\microsoft\windows\currentversion\run和hkey_local_machine\system\currentcontrolset\services中看看有没有关于god.sys和ranx.dll这样的值,有则删除。
4、关闭系统还原,重启进入安全模式,显示所以文件、显示隐藏文件和受保护的系统文件(工具,文件夹选项)。看看windows文件下是否多一个文件bitcomet server1.2.exe,在安全模式下删除。
5、在dos(开始-运行-cmd-回车)下运行开始以下命令:dir c:\windows\*.exe
如果发现文件syspare.exe、g_server.exe、g_server2.0.exe或者以svchost_开头的.exe文件,均运行del 文件名.exe删除。
6、查看c:\windows\system32和c:\windows\system下是否有god.sys和ranx.dll文件,有则删除;
7、c:\windows下是否有:nbaser.dat、nbaser.exe、wans.dat、wans.exe。
注:打开注册表、关闭系统还原、进入安全模式、显示文件等如果不会,可看这个帖子http://forum.ikaka.com/topic.asp?board=67&artid=6789825 |