RSS
Jul
10
病毒清理-iflvsnh.exe pkyykil.exe teoyfgx.exe
Filed Under 技术
病毒特征:
名称:AV终结者
根据我处理过的两台感染此病毒的电脑,总结出以下特征:
1、对几乎所有杀毒软件、安全工具进行应用程序劫持,并强行关闭所有杀毒软件、安全软件。
2、破坏安全模式,无法在安全模式下杀毒。
3、两个进程互相保护,结束其中一个另外一个立即将其打开。
4、所有硬盘、U盘写入autorun.inf,和teoyfgx.exe。
5、关闭自动更新,关闭Windows防火墙,修改注册表无法显示隐藏文件。
………………
分析:
又是一没啥创意的病毒,处理起来比较麻烦而已,机器上本来装有SAV和卡卡,结果都无法使用了。
处理办法:
既然是两个进程互相保护,那么把它们同时结束不就可以了?
这里要用到tasklist和taskkill命令了,两个很有用的命令。
1、开始-运行,输入CMD,进入命令提示符。
2、先运行tasklist命令(tasklist 回车),这时会得到当前计算机所有进程的PID。
3、找到iflvsnh.exe pkyykil.exe这两个进程的PID,比如1234和5678。
4、输入taskkill /PID 1234 /PID 5678 /T /F (/F的作用是强行终止,/T的作用是结束所有子进程)。
5、OK,现在这两个进程都被结束了,不会再产生新的病毒进程了,此时注意,所有的杀毒软件包括卡卡都被劫持了,运行它们相当于运行了病毒,也不要在我的电脑中打开任何硬盘和U盘,否则又会感染。
6、清理各个盘的病毒。以D盘为例,在刚才的命令提示符下输入d:,会进入D盘,然后运行attrib *.* -s -h,把所有的文件去除隐藏和系统属性,再运行del autorun.inf和del teoyfgx.exe命令就可以了,对所有盘都进行如此处理。
7、在命令提示符下,用CD命令进入瑞星卡卡的安装目录,比如安装在D:\Rising\AntiSpyware\,就在d:\下输入CD Rising然后CD Antispyware就可以了,用ren ras.exe aaa.exe把卡卡的可执行程序重命名成aaa.exe。
8、在命令提示符下输入aaa.exe,运行卡卡,进入“系统启动项管理”-“应用程序劫持项”,点右键,隐藏所有微软和瑞星已签名的项,然后把里面的所有项目删除,在卡卡“IE及系统修复”里面修复所有有问题的项(主要是修复“禁止显示所有文件和文件夹”),新版的卡卡的“系统启动项管理”和“IE及系统修复”在“高级功能”里面。
9、剩下最后一步,该删除两个病毒文件了。删除C:\Program Files\Common Files\Microsoft Shared\iflvsnh.exe 和C:\Program Files\Common Files\System\pkyykil.exe这两个病毒文件是隐藏文件,需要先在文件夹选项中选择显示所有文件和文件夹才能看到,如果在命令提示符下删除,可以用attrib -s -h命令去除隐藏和系统属性,再删除。
10、运行msconfig,在“启动”里面把两个病毒文件前面的钩去掉。
11、重启,看看杀毒软件是否能正常运行,若可以,马上更新,对系统做全面扫描。
PS 据说毒霸推出了专杀工具,我没试过 http://zhuansha.duba.net/259.shtml
Tags: 技术 , 病毒.
Comments
One Response to “病毒清理-iflvsnh.exe pkyykil.exe teoyfgx.exe”
Leave a Reply
饭否
感谢提供解决方法,刚好最近遇到此类问题
[回复]