fjOs0r.dll、OnlO0r.dll 木马群的清除方法

应该是有专门的生成器,遇到很多起了

  不写分析了。。

  解决方法:

  1、下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃)

  下载后直接放桌面。

  2、断开网络,关闭不需要的连接。

  3、打开冰刃,设置-禁止线程创建,确定。

  4、删除以下文件(如提示不存在文件不存在跳过即可):

Code:
 C:\Program Files\Common Files\fjOs0r.dll   31791 字节 
C:\Program Files\Internet Explorer\OnlO0r.bak    27183 字节

C:\Program Files\Internet Explorer\OnlO0r.dll   31791 字节

C:\Program Files\Internet Explorer\OnlO0r.obk   31791 字节

  这4个是主体,可能文件名不一样。。注意文件大小。

  还有这些木马:

Code:
C:\Windows\system32\dadoor0.dll
C:\Windows\system32\dhdoor0.dll
C:\Windows\system32\mhdoor0.dll
C:\Windows\system32\mydoor0.dll
C:\Windows\system32\qhdoor0.dll
C:\Windows\system32\qjdoor0.dll
C:\Windows\system32\rxdoor0.dll
C:\Windows\system32\tldoor0.dll
C:\Windows\system32\wddoor0.dll
C:\Windows\system32\wgdoor0.dll
C:\Windows\system32\wldoor0.dll
C:\Windows\system32\wodoor0.dll
C:\Windows\system32\ztfree0.dll
C:\Windows\system32\zxdoor0.dll

  并查找C—F盘下有没有autorun.inf和可疑的文件。如果有的话也删除了。

  5、设置冰刃,重启并监视。

  6、重启后,打开SREng,删除:

Code:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

<{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}><C:\Program Files\Internet Explorer\OnlO0r.dll>   [Microsoft Corporation]
     <{3422FB0F-95EB-458A-8B56-39552017A4EF}><C:\winnt\system32\mhdoor0.dll>   []
     <{5731EA1D-6AAF-4DE9-BDDA-7B390A75B286}><C:\winnt\system32\wodoor0.dll>   []
     <{E952B8F8-D91A-4EDD-851C-EE1A0F944469}><C:\winnt\system32\ztfree0.dll>   []
     <{E03C23BD-35B7-49C2-BBCA-6D8CEC2507E3}><C:\winnt\system32\wldoor0.dll>   []
     <{A3C95A74-638D-4C6B-A856-4B27664A7F47}><C:\winnt\system32\wgdoor0.dll>   []
     <{D8CC4845-441C-44F8-9053-28F2EF67655B}><C:\winnt\system32\dadoor0.dll>   []
     <{0DAEBA6A-86CA-4B96-AF96-0C8C2C358FBD}><C:\winnt\system32\dhdoor0.dll>   []
     <{6826A3DB-EA8E-4E67-880D-53D04C7C0BD8}><C:\winnt\system32\qjdoor0.dll>   []
     <{EDFF29C1-5A70-4460-AC1D-16DCB4B672F0}><C:\winnt\system32\rxdoor0.dll>   []
     <{68F7767A-090C-4BBF-A015-720ACC6706E2}><C:\winnt\system32\wddoor0.dll>   []
     <{08E909A4-B236-48DD-8BCC-90A604B93E68}><C:\winnt\system32\tldoor0.dll>   []
     <{781FBCC1-99C7-4AE0-95F7-66EA49E86DD7}><C:\winnt\system32\zxdoor0.dll>   []
     <{4E3FBFA4-F1CC-4B66-B333-B9F0FF4B4748}><C:\winnt\system32\mydoor0.dll>   []
     <{ABD0935D-B35A-47BD-BA9A-81678DDE74DD}><C:\winnt\system32\qhdoor0.dll>   []

  7、如果杀软无法打开,提示初始化错误的话,到杀软的目录夹下。

  打开那个“把要删除的拖给我.bat”,有看到Ws2_32.dll或MFC42.dll的文件夹拖给它。

  8、继续重启。。重启后修改QQ、网游等密码。。

(0)

相关推荐

  • fjOs0r.dll、OnlO0r.dll 木马群的清除方法

    应该是有专门的生成器,遇到很多起了 不写分析了.. 解决方法: 1.下载sreng2.zip和IceSword120_cn.zip(以下简称冰刃) 下载后直接放桌面. 2.断开网络,关闭不需要的连接. 3.打开冰刃,设置-禁止线程创建,确定. 4.删除以下文件(如提示不存在文件不存在跳过即可): Code:  C:\Program Files\Common Files\fjOs0r.dll   31791 字节  C:\Program Files\Internet Explorer\OnlO0r

  • roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案

    roirpy.exe,mrnds3oy.dll,qh55i.dll等木马群手工清除解决方案 用xdelbox删除下面文件(添加下面所有路径或在空白处点右键-从剪贴板导入,在已添加的文件路径上点击右键,选择立刻重启执行删除[有提示不存在该文件的就忽略,添加其它文件]): c:\windows\roirpy.exe c:\windows\uunjkd.exe c:\windows\49400l.exe c:\windows\49400m.exe c:\windows\fjrlwx.exe c:\wi

  • 常见木马的手工清除方法

    常见木马的手工清除方法 1. 冰河v1.1 v2.2 这是国产最好的木马 作者:黄鑫 清除木马v1.1 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 查找以下的两个路径,并删除 " C:windowssystem kernel32.exe" " C:windowssystem sysexplr.exe" 关闭Regedit 重新启动到MSDOS方式 删除

  • 用vbs实现7y7.us木马群的专杀工具 下载

    增加屏蔽:   16a.us     www.nice8.org     更新对新的木马的查杀,修改结束进程模块. 本来这个专杀只是玩VBS时做的一个拙品,但是看到有人还在提醒我木马群更新,专杀杀不干净的时候我就又再次更新了.需要的朋友就继续关注这里的更新吧.送佛送到西.... vbs文件 复制代码 代码如下: on error resume next msgbox "本专杀由[G-AVR]Gryesign提供,请关注BLOG及时更新专杀---http://hi.baidu.com/greysi

  • 104种木马手工清除方法

    1. 冰河v1.1 v2.2 冰河是国产最好的木马 清除木马v1.1 打开注册表Regedit 热点网络 点击目录至: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 查找以下的两个路径,并删除 " C:\windows\system\ kernel32.exe" " C:\windows\system\ sysexplr.exe" 关闭Regedit 重新启动到MSDOS方式 删除C

  • SysLoad3.exe木马病毒的分析及清除方法

    使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了. 特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!! [b]二:以下是分析和手动清除方法: 昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的进程有些可疑.然后看了看注

  • PHP基于php_imagick_st-Q8.dll实现JPG合成GIF图片的方法

    一.概述: 本文详解了PHP基于php_imagick_st-Q8.dll实现JPG合成GIF图片的方法. 首先要实现PHP使用php_imagick_st-Q8.dll类库,把JPG图片连接生成GIF动画图片,需要事先下载好php_imagick_st-Q8.dll动态链接库文件,并配置php.ini文件,启用php_imagick_st-Q8.dll. 二.配置方法如下: 1.将下载的php_imagick_st-Q8.dll文件放到PHP默认的扩展目录,也就是:php/ext/目录内: 2

  • c# 动态加载dll文件,并实现调用其中的方法(推荐)

    以下是测试代码: 新建一个classlibrary,包含两个类class1和class2,这两个类中分别有一个方法,都是返回一个字符串,代码如下: using System; using System.Collections.Generic; using System.Linq; using System.Text; namespace mydll { public class Class1 { public Class1() { } public string sayhello() { ret

  • C#中加载dll并调用其函数的实现方法

    C#中加载dll并调用其函数的实现方法

    C#编程中,调用封装dll中的函数是高频使用的.那么,如何在程序中加载dll并调用其中的函数呢?更进一步的,如何在主程序中对自己封装的dll中的函数进行调试呢? 加载dll-添加引用 添加引用的意思是让程序生成时根据配置的路径去加载相应的dll.其引用的步骤如下图所示: 解决方案->引用-> 添加引用-> 浏览-> 选择dll所在的路径->确定 导入命名空间.实例化对象.调用函数 只有导入该dll的命名空间,才能使用该空间下的类.因此,在引用了dll之后的第一步是导入命名空间

  • C#使用反射(Reflect)获取dll文件中的类型并调用方法

    C#使用反射(Reflect)获取dll文件中的类型并调用方法

    使用反射(Reflect)获取dll文件中的类型并调用方法,具体内容如下 需引用:System.Reflection; 1. 使用反射(Reflect)获取dll文件中的类型并调用方法(入门案例) static void Main(string[] args) { //dll文件路径 string path = @"D:\VS2015Project\001\Computer\bin\Debug\computer.dll"; //加载dll文件 Assembly asm = Assemb

随机推荐