不下载软件啊,也不是不可能。
这个毒我刚解决,思路很简单,如果你的电脑里有一个不停重新生成的病毒,不是说这个病毒有本事复活,而是你电脑里头有个你目前的杀毒软件和监控软件都无法识别的隐藏病毒,这个病毒本身什么都不干,唯一的作用是不断生成你之前删除的advport。
如果你现在拥有的监控工具能查出是哪个进程在创建advport,万事大吉,如果不能,你就不得不走两条路。
第一、下载某个可以汇报生成文件的‘制造线程’的软件,监视你的系统,找到不断生成advport的那个家伙,但是可以告诉你,你能找到的通常是个表面正常的程序,等你找到再说下一步。
第二、如果你无法确定是哪个程序生成的,那就只有一个一个查了,这个……比较痛苦,而且如果你不熟悉这方面的问题,要我解释也会很痛苦。
我下载的文件监视软件报告结果是,advport是由我系统里的svchost.exe中的一个生成的(不确定你的也是一样)。
确定是这个,我就用瑞星卡卡或任何一个可以打开线程所带模块的软件,把svchost.exe所有模块打开分析。
大部分模块都是正常的,你会可以看到注解,关于这些模块在windows里的作用。但是有些注解很模糊,甚至没有,而且名字也值得怀疑。这时候就上google去查,基本上都是dll文件,把名字复制下来去搜索。如果是正常的系统文件,网络上一定首先显示系统文件搜索结果。如果你发现网络上排第一的是‘疑似病毒’,那就先记下来,其实这还不是最严重的。如果网络上一口咬定这是个病毒,那么自然要干掉。但也有一种情况就是网络上搜不到任何信息,我几乎可以肯定,所有创造advport的那个dll搜索的时候都不会有结果,因为名字是随机的,就算我把我找到地告诉你也没用,你的不太可能和我一样。
这个寻找过程非常麻烦,所以我建议你最好先确定是哪个程序里头有问题,如果你把运行中的所有程序下的所有线程都查一遍……我怕你会发疯。
找到之后就简单了,估计一般方法删除不了,因为它是正在运行的模块。如果你有冰刀之类的就强制关闭模块,然后就可以删除。如果你连冰刀这类东西都没有也不愿下载,我能建议的就是……去学习dos删除吧,这个我就不给你解释了。
补充,别忘了之后清理注册表里关于你删除那个文件的全部痕迹哦。具体操作去网上搜索下吧。
这个不光是删除DLL就能解决的
advport.dll、CoolSign的简单分析与解决办法 释放文件及文件夹
%Program Files%\Coolsign
%Program Files%\Coolsign\uninst.exe
%Program Files%\coolsign\coolsign.dll
%Program Files%\Common Files\System\Update.exe
%Program Files%\Common Files\System\Update.dat
%Documents and Settings%\All Users\Templates\temp.exe
%Documents and Settings%\用户名\Favorites\多特软件站-最安全放心的软件站.url
%System%\oqybdb47.dll
%System%\wbem\sioqwu94.dll
%System%\wbem\ocmor.dll
%System%\rundllfromwin2000.exe
%System%\advport.dll
%System%\dirvers\paraudio.sys
添加注册表信息
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
[system] %Program Files%\Common Files\System\Update.exe
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
[COM+ Error Report / Patterns]
%system%\svchost.exe -k netsvcs-->%System%\oqybdb47.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
[Print Manager / NHLAP]
%System%\rundllfromwin2000.exe-->%System%\wbem\sioqwu94.dll,Export 1087
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
[paraudio] %System%\dirvers\paraudio.sys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
[Coolsign] %Program Files%\Coolsign\uninst.exe
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs]
"url5"="http://www.3839.com/index.html"
运行特点
1、建立不多见的服务方式
2、oqybdb47.dll、sioqwu94.dll为随机生成,规律为6位字母+2位数字.dll,字母数字均随机
解决过程
1、清除系统临时文件,可以使用CCleaner来进行
2、结束rundllfromwin2000.exe、Update.exe进程
3、使用冰刃IceSword删除paraudio.sys
4、使用冰刃IceSword删除其释放的所有文件
5、使用冰刃IceSword删除其修改或添加的所有注册表信息
6、修复该病毒可能修改的IE浏览器首页
advport.dll 文件位于%systemroot%\system32\ 不能彻底删除,重启后又出现,可见它不是恶意软件本身。
使用瑞星卡卡查看系统加载的驱动列表,有几个可疑的文件
1、00007425
2、jkztyi62
3、vqjrig16
4、oreans32
这些文件都位于%systemroot%\system32\ drivers目录下
我的做法是,用erd启动系统后,删除这些文件。再启动系统后,系统报找不到以上文件,不用管他
编辑注册表,在HKLM\system\controlset001\services和HKLM\system\controlset002\services下找到以上项目,删掉就可以了。
1 点开始-运行-输入msconfig-选择有选择的启动
2 找到文件夹里的dll文件,右键属性 常规最下边 把只读勾上,然后删出文件,重起
运行中输入gpedit.msc然后应该是系统,程式,禁止以下程式在系统中执行,然后把哪个文件的文件名和扩展名写上去,重启下应该就可以了,附近没有XP,不知道记得还对不,你先试下,
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024