灰鸽子引起的多个IEXPL0RE.EXE的清除方法
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。
关闭QQ等应用程序。进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。
2.用强制删除工具 PowerRMV
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【有找不到提示的请忽略错误继续】
C:\WINNT\system32\ShellExt\smss.exe
C:\WINNT\system32\ime\123
C:\WINNT\G_Server1.23.exe
C:\WINNT\G_Server1.23.dll
C:\WINNT\G_Server1.23_hook.dll
C:\WINNT\G_Server1.23key.dll
C:\WINNT\Server.txt
C:\WINNT\svchost.exe
重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
如下项目 SRENG,点击编辑:
Code:
启动项目---注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINNT\system32\userinit.exe,C:\WINNT\system32\ShellExt\smss.exe,> [N/A]
编辑为
<Userinit><C:\WINNT\system32\userinit.exe,>
如下项目用SRENG删除
【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。】
另外:请特别注意上文链接中所说的某些项目是编辑,不能删除。
==================================
Code:
启动项目 -->服务-->Win32服务应用程序 的如下项删除
[ALookupSvc / Aplication Experience][Stopped/Auto Start]
<C:\WINNT\system32\ime\123><N/A>
[Gray_Pigeon_Server1.23 / GrayPigeonServer1.23][Stopped/Auto Start]
<C:\WINNT\G_Server1.23.exe><N/A>
[Serve / Server][Running/Auto Start]
<C:\WINNT\Server.txt><N/A>
[Network Provisioning Service / xmlprov][Stopped/Auto Start]
<C:\WINNT\svchost.exe><N/A>
SREng 修复 位置:系统修复--->Windows Shell/IE 点全选,点“修复”
SREng 位置:系统修复-->HOSTS文件 点红色的“重置”。
最后用灰鸽子专杀复查一下其他文件,注意修改QQ,网络游戏等帐号密码,切记。
相关推荐
-
灰鸽子引起的多个IEXPL0RE.EXE的清除方法
1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可. 清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除. 关闭QQ等应用程序.进行如下操作前,请不要进行任何双击打开磁盘的操作.所有下载的工具都直接放桌面上. 2.用强制删除工具 PowerRMV 分别填入下面的文件(包括完整的路径) ,勾选"
-
windhcp.ocx和iexpl0re.exe的清除
解决方法: 1 杀毒前关闭系统还原: 右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可. 清除IE的临时文件: 打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除. 重启计算机 然后再进入安全模式执行如下的操作 -------------------------------------------------------------- 以下的操作都要求安全模式下进行. [进
-
关于rundl132.exe vidll.dll LOGO1.exe 的清除方法
最近有朋友问我关于这几个病毒的清理方法.口头上说的不是很详细,现在贴一个详细的分析和对策吧. 1.打开系统的"显示隐藏文件"并下载相应的杀毒软件和 维金EXE修复工具 (重要) 2.查看你的系统进程 结束可疑的病毒木马程序(用户名为你的当前用户) 如:rundl132.exe svchost32.exe logo1_.exe 可能还有SERVICES.EXE SMSS.EXE 等伪装的系统木马.可以用tskill 来结束这些进程. 3.找到木马所在的路径并删除,然后新建一个同名文件,并
-
wincfgs.exe病毒清除方法
病毒文件:wincfgs.exe (c:\windows\system32\wincfgs.exe) 病毒名称:Trojanspy.USBpy.a 介绍:该病毒主要通过U盘传播,带毒的U盘中存在一个autorun.inf自动安装文件和一个回收站类似的文件夹,里面有一个 autorun.exe主文件和一个回收站图标,都是加了一些属性的,并且autorun.exe在windows下是无法显示的,你可以在DOS中用 dir /a命令来看到. 中毒机器上,会在windows目录下产生一个记事本图标的K
-
winsys16_070307.dll,WindowsUpdate.exe的清除方法
一.提问: IE有被劫持,Userinit.exe被改了(日志略) 二.分析 1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可. 清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除. 关闭QQ等应用程序.进行如下操作前,请不要进行任何双击打开磁盘的操作.所有下载的工具都直接放桌面上. 2.用强制删
-
命令行下用暴力法杀、删除灰鸽子dllhost.exe
今天逛WZ,看到这个,比较有意思的是那两个久违的DOS批处理命令. 今天通过远程连接帮一个不太懂电脑的朋友清病毒.看到一堆runauto..目录,再看进程中有c:\windows\dllhost.exe,确定是灰鸽子07. 查到的手动清除方法很多要求安装iceswords或者到安全模式.但远程控制下做这些都很不方便(网络也比较慢).先尝试了在命令行把taskkill和delete写在一行的方式杀掉dllhost进程并删除文件,结果发现dllhost很快就重建进程并锁定dllhost.exe,造成
-
关于近来网上大量泛滥的灰鸽子病毒(Huigezi、Gpigeon)介绍和查杀大全附专杀工具
转自原论坛 jakee 的帖子: 近来很多网友反映他们的机器中了一种叫做灰鸽子的木马病毒,这种病毒很是顽劣,在不同杀软上有不同名称比如:Gpigeon.Huigezi.Feutel,在计算机中清除它很是费事,特别是其刚刚开发出的2005,通过截取windows系统的API实现了程序文件隐藏.进程隐藏,服务隐藏三个隐藏,一般杀软在正常模式下根本就找不到其病毒文件,更别提查杀了的事情了,连杀软都很难对付,对用户而言更是头痛了,本文简单介绍了灰鸽子病毒的运行原理,手工检测方法.手工清除方法.防止感染的
-
“灰鸽子”网页木马从原理、制作到防范(图)
事物都有两面性.本文介绍的网页木马制作技巧,意在加强大家的防范意识,而不是想"荼毒生灵".希望能给大家带来一些帮助,营造一个安全的上网环境. 如果你访问××网站(国内某门户网站),你就会中灰鸽子木马.这是我一黑客朋友给我说的一句说.打开该网站的首页,经检查,我确实中了灰鸽子.怎么实现的呢?他说,他侵入了该网站的服务器并在网站主页上挂了网页木马:一些安全专家常说,不要打开陌生人发来的网址,为什么?因为该网址很有可能就是一些不怀好意者精心制作的网页木马. 以上只是网页木马的两种形式,实际上
-
灰鸽子服务端卸载程序即灰鸽子官方专杀工具 下载
灰鸽子是一款远程控制软件,如果你的电脑在未经你允许的情况下被别人安装了灰鸽子服务端程序,请下载该软件进行检测卸载! 灰鸽子服务端卸载程序适用灰鸽子VIP2005/2006/2007及其它版本的服务端程序的检测和卸载! 灰鸽子工作室谴责那些非法利用远程控制技术,实现非法目的的行为,对于此类行为,灰鸽子工作室一如既往的给予打击和帮助广大网民予以应对! 电信下载 网通下载
-
U盘病毒vistaAA.exe的手动查杀方法
Modified: 2008年5月8日, 18:52:32 MD5: 7009AC302C6D2C6AADEDE0D490D5D843 SHA1: 0E10DA72367B8F03A4F16D875FEA251D47908E1E CRC32: DCE5AE5A 病毒运行后: 1.释放一个sbl.sys到%system32%\drivers下面,并拷贝一份覆盖beep.sys,之后加载该驱动,恢复SSDT钩子,导致某些杀毒软件的主动防御功能失效. 2.结束很多杀毒软件和安全工具的进程 诸如: Qu