今日一同事言说笔记本有故障,特要求来处理以下. 杀软为瑞星,查到病毒,并说重启后删除,但总无法删除。从他的运行过程着手,来手工查杀。用到的工具,HijackThis 和Icesword.
运行后,只在C:\Documents and Settings\All Users\Application Data\Microsoft\userdata 。
UserData文件夹中只有一个文件IEHelper_5089.dll。
注册表改动:
1、在HKEY_CLASSES_ROOT\CLSID\分支添加:{16B770A0-0E87-4278-B748-2460D64A8386}(此键值须用IceSword才能删除)。
2、在HKEY_CLASSES_ROOT\添加:IEHelper.MyIEHelper和IEHelper.MyIEHelper.1。
3、在HKEY_CLASSES_ROOT\Interface\分支添加:{A4772988-4A85-4FA9-824E-B5CF5C16405A}
4、在HKEY_CLASSES_ROOT\TypeLib\分支添加:{2511DE40-34A3-4C6A-B1B2-C5C92A2F00BE}
5、在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects分支添加:{16B770A0-0E87-4278-B748-2460D64A8386}。(此键值须用IceSword才能删除)。
查杀流程:
1、用IceSwword删除上述注册表项。
2、用IceSwword删除C:\Documents and Settings\All Users\Application Data\Microsoft\Userdata文件夹。
怎么确定CLSID呢?
使用hijackthis扫描系统,找到类似于:
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} -X:Documents and Settings/All Users/Application Data/Microsoft/userdata/IEHelper_****.dll
其中,红色部分就是CLSID,蓝色部分是文件名,打开注册表编辑器,查找红色部分的内容,找到后记下位置,再查找蓝色部分,找到后记下位置,最后使用icesword全部删除,这样应该可以将注册表项清理完毕了.
评论