查杀good.allxun.com的方法


查杀必备工具：1、360安全卫士 ： 清除其他流氓，生成扫描报告，找到病毒文件。
2、DOS启动盘 或 矮人DOS工具箱 或   unlocker1.8.5.exe 用于强行删除病毒文件。

首先感谢（shuangsq1106 coldstar 九命猫 yt177   henryxin1234   qingkongtc   等等弟兄们——这帮难兄难弟）在这两天的查杀中的积极配合和及时反馈查杀信息。到现在我都没有中good.allxun.com，所以没有你们的扫描报告和信息反馈，根本发现不了good.allxun.com的病毒文件的规律，这个猪和7255一样，随机生成病毒文件名，但比7255更无耻，居然加载到系统驱动中，雅虎助手等软件扫描不到。必须依靠360的扫描报告才可以直观看到。
在360的报告中发现病毒文件的办法：
告诉大家一个快捷的方法：以shuangsq1106兄弟的360的扫描报告为例：
请看：   http://btbaicai.com/read-htm-tid-623.html

041 - hbggpmyk - hbggpmyk - C:\WINDOWS\system32\drivers\hbggpmyk.sys

找到041开头的部分，这部分是扫描系统加载的驱动项的，再看蓝色的3处，是一模一样的字符，一看就知道不是微软的或其他正规硬件厂商的驱动。而且目录是固定的C:\WINDOWS\system32\drivers\。但这只能锁定可疑目标，你还要根据你电脑上安装的硬件去排除一些被冤枉的文件，比如摄像头，加密狗，USB其他设备等山寨小厂的驱动。还可以在百度搜索一下，应该搜索不到相关的文件，因为它是随机生成的。凡是百度搜不到的，都是病毒无疑。

清除办法（一定要先备份，要不就学了九命猫了，唉，起这么好的ID，没带来好运气 ）：

1、安装unlocker1.8.5.exe，右键点病毒文件，选unlocker，解锁后强制删除或移动。
具体查杀步骤：（截图见这里：http://btbaicai.com/read-htm-tid-687.html）

1.1、右键点病毒文件，点unlocker
1.2、选中文件关联的进程，点“全部解锁”。这是关键的一步。
1.3、下面的事就好办了，我再右键点病毒文件，删除或移动或粉碎文件或改名字，随你的便了，就把它删了。成功！
1.4、现在还不能修改主页，重起之后，一切OK！！

2、用矮人DOS工具箱，或DOS启动盘，重起电脑进入纯DOS（不依赖WINDOWS系统的DOS系统）删除病毒文件。
  建议用DOS启动光盘，这样不用安装任何文件，可以使用D版的WIN98安装盘即可启动进入纯DOS，一些品牌电脑的驱动安装盘（如联想）也可以启动电脑进入纯DOS。也可以用用shuangsq1106的“番茄酱”安装盘。

  进入纯DOS后，参考以下命令即可删除病毒文件：

把以下文字在DOS依次执行，或保存为一个111.bat文件在C盘根目录然后进入DOS，执行这个文件。如果没有提示出错信息，就可以了。XXXX.sys是病毒文件的名字,你需要改为你查到的病毒文件名。
以下批处理文件执行的内容：去掉文件的隐藏只读系统属性，备份为YYYY.SYS,然后删除XXXX.SYS,并在此处建立名为xxxx.sys的文件夹，防止xxxx.sys文件再次生成。
（WINDOWS\system32\drivers\是病毒文件夹）

c:
cd\
cd\WINDOWS\system32\drivers\
attrib XXXX.sys -h -r -s
copy XXXX.sys YYYY.sys
del XXXX.sys
md XXXX.sys

把以下文件保存为一个222.bat文件在C盘。如果万一出错，系统启动失败，进入DOS，到c:盘，执行一下这个文件，可以删除xxxx.sys目录，然后把删除的文件从备份文件恢复过来。

c:
cd\
cd\WINDOWS\system32\drivers\
rd XXXX.sys
copy YYYY.sys XXXX.sys


病毒文件可能不只一个，提醒大家注意。
还有删除文件后一定要记得恢复HOSTS文件。



刚刚知道这原来也是飘雪的一路货色。感染原理是一样的。用此办法也可杀掉(piaoxue.com),飞雪(feixue.com),(piaoxue.com),飞雪(feixue.com)识别病毒的方法参见：
http://hi.baidu.com/nslog/blog/item/1042e9dd5125acef76c638c8.html


基本写完……

天天来看楼主发新帖