关于找不到sysup32.dll进不了桌面解决方法:
(病毒相关资料请参照怎个毒字了得(sysup32.dll,Local.dll,pingso))
前几天的一篇文章中有讲到该病毒,可是我发文的时候杀毒厂商已经能查杀该毒了,以为他们应该会出解决方案(我中毒时是手工清除的,explorer.exe出问题了,只好到其他机子去下个新的来修复)就没详细说明具体怎么杀毒,可是有朋友反应说进不了桌面。。。。。今天鄙人的方法分享一下,不足之处还情高手指教。
不能正常进入桌面解决方法:
同事按下Ctrl+Alt+Delete调出任务管理器→文件→新建任务(运行...)→浏览→找到IEXPLORE.EXE(默认是C:Program FilesInternet ExplorerIEXPLORE.EXE)→确定(弹出的筐不管他,确定就行了)→在URL栏里输入“c:”回车→就可以打开我的电脑,按“向上”按钮就可以找到桌面了,可以正常使用,可以按Alt+Tab切换页面,然后按以下方法做:
1、结束几个主要进程(如果已查完毒请直接看下一第2点):
复制一下内容到记事本,备用
taskkill /f /im explorer.exe
taskkill /f /im tempaq
taskkill /f /im rundllforour.exe
taskkill /f /im bind_50438.exe
del /f /q "C:WINDOWSsystem32sysup32.dll"
del /f /q "C:WINDOWSsystem32microserv.exe"
del /f /q "C:WINDOWSsystem32rundllforour.exe"
del /f /q "C:WINDOWStemptempaq"
del /f /q "C:WINDOWSsystem32pingso_1113_20070608.exe"
del /f /q "C:WINDOWSsystem32bind_50438.exe"
del /f /q "C:WINDOWSsystem32pingso_1114.exe"
del /f /q "C:WINDOWSsystem32SysDiff.exe"
del /f /q "C:WINDOWSsystem32MessageServices.exe"
del /f /q "C:WINDOWSsystem32PingBar.dll"
del /f /q "C:Documents and SettingsLocalServiceLocal SettingsApplication DataMicrosoftWindowsLocal.dll"
2、替换新的explorer.exe
由于sysup32.dll受explorer.exe进程保护,而且中毒后explorer.exe本身也被感染,故须更换新的explorer.exe(在次过程中桌面可能会消失,纯属正常):
假设健康的explorer.exe文件在c:rep文件夹下,则:
taskkill /f /im explorer.exe
del /f /q %SystemRoot%explorer.exe
del /f /q %SystemRoot%system32explorer.exe
del /f /q %SystemRoot%explorer.exe
copy "c:repexplorer.exe" "%SystemRoot%explorer.exe"
%SystemRoot%explorer.exe
(添加)复制以上内容到记事本,另并保存为kill.bat文件(文件名可任意),后运行既可
3、清理注册表项
打开记事本→编辑如下内容并(另)保存为.reg结尾的文件,运行既可清除注册表的如上项:
========
Windows Registry Editor Version 5.00
[-HKEY_CLASSES_ROOTCLSID{669695BC-A811-4A9D-8CDF-BA8C795F261C}]
[-HKEY_CLASSES_ROOTKBBar.KBBarBand]
[-HKEY_CLASSES_ROOTKBBar.KBBarBand.1]
[HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesLocalServicesParameters]
"ServiceDll"=-
[HKEY_LOCAL_MACHINESYSTEMControlSet002ServicesLocalServicesParameters]
"ServiceDll"=-
[HKEY_LOCAL_MACHINESYSTEMControlSet003ServicesLocalServicesParameters]
"ServiceDll"=-
========
注:复制“========”中间内容既可,当然你也可以打开注册表手工删除。
4、清除启动项和服务
手工清除,开始→运行→msconfig→确定→启动选项卡→清除tempaq、rundllforour.exe、bind_50438.exe等相关项;
开始→运行→msconfig→确定→服务→把以下几项前的钩去掉(如果有)
nt data provider
asp.net framework service
distributed console manager
如果有用到以上服务请重新装该服务。
5、清除sysetm.ini、win.ini文件中添加项:
文件在%SystemRoot%下,打开手工清除以下内容既可
sysetm.ini文件中添加了:
[SYSINFO]
VS=s_hh2
VH=s_hh2
VC=00020232
BBT=0
SERDLL=C:Documents and SettingsLocalServiceLocal SettingsApplication DataMicrosoftWindowsLocal.dll
BD=1
BeginHour=0
EndHour=24
LD=10
LM=48
LH=3
LMON=6
LID=9
LIM=0
LIH=12
LIMON=6
BFI=1
CNT=0
LADTT=9
LoadDay=10
LVerH=12
LVerD=9
VB=00000001
[Pingso_1113_20070608]
SUC=1
[bind_50438]
SUC=1
win.ini文件中添加了:
[pingso]
AdID=0608
batnewnum=101101110
到此,清除完毕
最后建议用360修复、清理一下恶意软件其他残体