Dec
opengl.sys 这个就是最近
1.
在所有驱动器关闭自动播放功能.
最简单用组策略方法进行关闭,这个网上有很多资料了,大家可以找找.这个是防止用户不小心双击驱动器把病毒重新注入.
2.
把explorer.exe 改名
比如改成ex.exe,并在注册表的Shell改成调用ex.exe 一项,这样能简单破掉启动两个explorer.exe 的操作.你可以到系统完全正常后,再把ex.exe 改为成explorer.exe,(这一步是否必须?大家看具体情况而定)
3.
重启进入安全模式
运行IceSword,Gmer和打开一个c:\windows\system32窗口,
4.
在Gmer.exe 进入扫描(Scan)
这时被修改的SSDT HOOK和隐藏的
5.
删除隐藏服务
对于隐藏服务Kernel OpenGL service 可以用Delete 来直接清除注册表和opengl.sys文件本身.如果删除opengl.sys文件失败,可以用IceSWord 文件功能,强行删除c:\windows\system32\opengl.sys,(这个一定是能删除的)为了防止opengl.sys被保护线程重 写,可在system32建一个非空的目录,取名为opengl.sys,这样整个病毒核心文件的被完全破坏.下一步重启后即可一一删除其它文件.
6.
重启进入命令行安全模式
在命令行窗口,手工运行Gmer.exe 和IceSword
用IceSword 删除如下文件
各盘符根目录的 autorun.exe,autorun.inf,nerocheck.exe 文件
Windows\system32\下的 smartdrv.exe ,nerochek.exe
Programe files/internet explore/iexplore.exe
为了保险了,你可以在每个盘符的根目录,都创建一个名为autorun.inf 的非空目录,防止autorun.inf 被重建
7.
卸载一些异常的程度并重装
象我的tor,FlashGet,MSSQLServer都提示不同错误,为了保险,也在安全模式一并删除重装.IE也从网上下一个IE7重新安装正常
8.
打开GMER,点击Gmer Saft Mode 按钮,然后重启
这样在下一次启动将进行Gmer安全模式,它类似命令行安全模式,把驱动加载到最少,也不加载explorer.exe ,这会将环境减少到最小程度,也可以防止explorer.exe 被
9.
启动时,按F8选择进行安全模式.进入时,会自动调用Gmer.exe
整个系统只有少数程序在运行.用Gmer的Files 功能检查删除的病毒文件是否被重新建立起来,如果有则再删除一次.检查服务是否被重新装入.
10.进入正常模式来看用ProcessMonitor 来检查
是否有线程在偷偷写Autorun.exe ,opengl.sys 被重新加载等等.如果都没有这个现象,基本可以判断这个病毒已经被清除