今日一同事言说笔记本有故障,特要求来处理以下. 杀软为瑞星，查到病毒，并说重启后删除，但总无法删除。从他的运行过程着手，来手工查杀。用到的工具，HijackThis 和Icesword.

运行后，只在C:\Documents and Settings\All Users\Application Data\Microsoft\userdata 。

UserData文件夹中只有一个文件IEHelper_5089.dll。

注册表改动：
1、在HKEY_CLASSES_ROOT\CLSID\分支添加：{16B770A0-0E87-4278-B748-2460D64A8386}（此键值须用IceSword才能删除）。
2、在HKEY_CLASSES_ROOT\添加：IEHelper.MyIEHelper和IEHelper.MyIEHelper.1。
3、在HKEY_CLASSES_ROOT\Interface\分支添加：{A4772988-4A85-4FA9-824E-B5CF5C16405A}
4、在HKEY_CLASSES_ROOT\TypeLib\分支添加：{2511DE40-34A3-4C6A-B1B2-C5C92A2F00BE}
5、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects分支添加：{16B770A0-0E87-4278-B748-2460D64A8386}。（此键值须用IceSword才能删除）。


查杀流程：

1、用IceSwword删除上述注册表项。
2、用IceSwword删除C:\Documents and Settings\All Users\Application Data\Microsoft\Userdata文件夹。

怎么确定CLSID呢?

使用hijackthis扫描系统,找到类似于:
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} -X:Documents and Settings/All Users/Application Data/Microsoft/userdata/IEHelper_****.dll
其中,红色部分就是CLSID,蓝色部分是文件名,打开注册表编辑器,查找红色部分的内容,找到后记下位置,再查找蓝色部分,找到后记下位置,最后使用icesword全部删除,这样应该可以将注册表项清理完毕了.

评论