怎样杀掉这些病毒svchost.exe、DLLCACHE、SYS.EXE

　　怎样杀掉这些病毒svchost.exe、DLLCACHE、SYS.EXE

　　

　　

　　中毒症状描述：

　　装着瑞星杀毒软件和瑞星防火墙，虽已及时升级，但还是没有能够阻挡它的入侵。在外用U盘时，用瑞星查杀未发现有病毒，可是在打开U 盘以后，它就从U 盘传到了电脑。它将U 盘上的每个文件夹都变成为可执行文件。虽然它没有完全入侵电脑，但还是将病毒传了进来，怎么也杀不掉。

　　每次开机瑞星卡卡便不断的出现“阻止、结束、允许、信任”的提示栏，一个停留15秒，没有办法改变。而用瑞星卡卡高级管理苦检查进程时，便可以看到20几个标志为红色的“危险”进程，一个一个的“中止并结可进程”后，再次重启，依然是老样子。杀又杀不掉，真的让人无奈。在这些危险进程中，有DLLCACHE、SYS.EXE等。

　　用优化大师看，在启动项里有这样一个文件夹SYS.XXX，停止后，再重启，依然存在。

　　听人说360卫士可以，但反复用了几次，同样的是无济于事，反而更加严重了，速度也变的慢了起来。而且每次开机又自动多打了一个“编辑器”，哎……

　　

　　上网上找了一些办法，看着都麻烦所以也没有试，但还是列出一个来：

　　

　　【中毒症状】

　　1. U盘文件夹“消失”，被同名的exe文件“替代”，

　　2. 无法切换中文输入法

　　3. 开机/关机的速度变得很慢（因为要加载病毒脚本）

　　4. 进程中有Global.exe和Fonts.exe，结束进程马上自动恢复

　　5. 各个硬盘分区根目录下多出来autorun.inf和MS-DOS.com，用WinRAR或者7-zip之类软件可以看到，普通方式查看不到。

　　6. 其他一些不明显的症状...

　　

　　【解决方法】

　　1. 用XDelBox删除以下文件（右键剪贴板导入不检查路径）：

　　C:\WINDOWS\pchealth\Global.exe

　　C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com

　　C:\WINDOWS\system\KEYBOARD.exe

　　C:\WINDOWS\Help\microsoft.hlp

　　C:\WINDOWS\system32\regedit.exe

　　C:\WINDOWS\system32\drivers\drivers.cab.exe

　　C:\WINDOWS\system32\dllcache\autorun.inf

　　C:\WINDOWS\system32\dllcache\Default.exe

　　C:\WINDOWS\system32\dllcache\svchost.exe

　　C:\WINDOWS\system32\dllcache\Global.exe

　　C:\WINDOWS\system32\dllcache\tskmgr.exe

　　C:\WINDOWS\system32\dllcache\explorer.exe

　　C:\WINDOWS\system32\dllcache\rndll32.exe

　　C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe

　　C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe

　　C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe

　　C:\WINDOWS\Fonts\tskmgr.exe

　　C:\WINDOWS\Fonts\Fonts.exe

　　C:\WINDOWS\Media\rndll32.pif

　　C:\WINDOWS\Cursors\Boom.vbs

　　以及各个硬盘分区下的

　　X:\Autorun.inf

　　X:\MS-DOS.com

　　

　　以上list导入完毕之后，右键选择立即重起删除，

　　之后的关机过程可能要等待好几分钟的时间，甚至出现死机，可以强行关机重起。

　　

　　重起删除后，残留的需要手动清除的病毒尸体还有：

　　文件夹C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}

　　还有病毒创建的一个可能文件名不确定的.tmp文件（整个Temp可以清空）

　　C:\Documents and Settings\当前用户名\Local Settings\Temp\~DF****.tmp

　　

　　2. 将以下分割线之间的内容复制到记事本，保存为扩展名为.reg的文件，

　　 然后运行“regedt32”

　　 选择文件--导入，导入刚刚保存的.reg文件。

　　

　　=============== .reg开始的分割线 ===============

　　

　　Windows Registry Editor Version 5.00

　　

　　; 以分号开头的行为注释的废话

　　

　　; 清除病毒屏保

　　[HKEY_CURRENT_USER\Control Panel\Desktop]

　　"ScreenSaveTimeOut"="600"

　　"SCRNSAVE.EXE"=-

　　"AutoEndTasks"="0"

　　

　　; 修复文件关联

　　[HKEY_CLASSES_ROOT\MSCFile\Shell\Open\Command]

　　@="%SystemRoot%\system32\mmc.exe \"%1\" %*"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\MSCFile\Shell\Open\Command]

　　@="%SystemRoot%\system32\mmc.exe \"%1\" %*"

　　[HKEY_CLASSES_ROOT\regedit\shell\open\command]

　　@="regedit %1"

　　[HKEY_CLASSES_ROOT\regfile\shell\open\command]

　　@="regedit \"%1\""

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regedit\shell\open\command]

　　@="regedit %1"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]

　　@="regedit \"%1\""

　　

　　; 删除开关机脚本

　　[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts]

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts]

　　

　　; 恢复显示com和exe的扩展名

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile]

　　"NeverShowExt"=-

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]

　　"NeverShowExt"=-

　　

　　; 清除启动项

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

　　@=-

　　"C:\WINDOWS\system\KEYBOARD.exe"=-

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

　　@=-

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

　　"sys"=-

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]

　　@=-

　　

　　; 清除映像劫持

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]

　　

　　; 恢复显示系统文件选项相关

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]

　　"ShowSuperHidden"=dword:00000000

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]

　　"ValueName"="ShowSuperHidden"

　　

　　; MUICache有什么用不大清楚，这一堆似乎不重要

　　[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]

　　"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe"=-

　　"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\svchost.exe"=-

　　"C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe"=-

　　"C:\WINDOWS\system32\dllcache\Default.exe"=-"C:\WINDOWS\Fonts\Fonts.exe"=-

　　

　　; 不知道Global在干什么

　　[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components#CONTENT#]

　　@=""

　　"Source"=-

　　"SubscribedURL"=-

　　"FriendlyName"=-

　　"Flags"=-

　　"Position"=-

　　"CurrentState"=-

　　"OriginalStateInfo"=-

　　"RestoredStateInfo"=-

　　[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components]

　　"DeskHtmlVersion"=-

　　"Settings"=-

　　"GeneralFlags"=-

　　

　　; 还是不知道在干什么

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

　　"DisableStatusMessages"=-

　　

　　; 清除残留信息

　　[-HKEY_CURRENT_USER\Software\VB and VBA Program Settings]

　　[-HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows]

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

　　[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]

　　

　　=============== .reg 完毕的分割线 ===============

　　

　　4. 建议运行“sigverif”检查文件的数字签名，如果有未经签名验证的文件，

　　 从别人的机器上拷一个过来覆盖原文件。

　　  附我用的有点麻烦的方法：

　　 我发现我的explorer.exe被替换，

　　 于是我打开任务管理器，结束explorer.exe的进程，

　　 然后任务管理器--文件--新建任务--浏览，

　　 找到C:\WINDOW\explorer.exe删除，

　　 再找到从别人那里拷过来的正确的explorer.exe

　　 将它复制到C:\WINDOWS下面，选中打开--确定。

　　

　　5. 防毒从养成良好的U盘使用习惯开始，推荐阅读《U盘使用Tips总结》

　　

　　6. 对于U盘里面“消失不见”的文件夹，可以运行（其中X为U盘盘符）：

　　 attrib -s -h -r X:\* /s /d

　　………………………………………………

　　

　　

　　最后我的解决办法是：

　　重装系统，迫不得己的选择。

　　

　　不知那位大虾有更好的办法，望不吝赐教。

链接：    思海常啸       做而论道