atisrv 病毒其实是机器狗的最新变种,他的强大之处在于可以穿透还原精灵 自动从网上下载大量的病毒 自动生成 1.exe 2.exe ...... 36.exe 强行关闭防火墙和杀毒软件的文件监控功能 等。目前还没有专杀工具,处理方法为:
第一法,傻瓜方法
第二法,通用方法
1:打开任务管理器, 结束atisrv.exe进程。
2:打开运行,输入msconfig,把启动项里的atisrv相关项去掉。
3:下载360最新版,升级到最新,修复工具,多杀几次。
4:这个时候就能启动杀毒软件了。
5:用杀毒软件全盘查杀。
重启后就应该就可以了。
第三法,高级方法
第一步:终止病毒进程
使用wsyscheck,点安全检查,在“常规检查”子菜单下,“禁用程序管理”栏内,点右键,“添加新的禁用程序”。把以下文件名分别填入:
15.exe
AtiSrv.exe
16.exe
第二步:删除病毒文件
使用菜刀删除以下病毒文件,支持批量删除,把下面文件列表复制到删除框内,注意选上“抑制文件再生”,再删除。
提示重启后删除的,会在重启后删除成功。
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\DbgHlp32.dlL
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\WSockDrv32.dll
C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys
C:\WINDOWS\system32\hfrdzx.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\zjydcx.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\gkpuafjwow.dll
C:\WINDOWS\system32\puyelquwm.dll
C:\WINDOWS\system32\ycinvaezx.dll
C:\WINDOWS\system32\15.exe
C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\AtiSrv.exe
C:\WINDOWS\system32\16.exe
C:\WINDOWS\system32\taijoad.dll
C:\WINDOWS\system32\tsqc.dll
C:\WINDOWS\system32\pahzij.dll
C:\WINDOWS\system32\hjiq.dll
C:\WINDOWS\system32\kiluw.dll
C:\WINDOWS\system32\oqnauhc.dll
C:\WINDOWS\system32\xjxr.dll
C:\WINDOWS\system32\gnolnait.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\qlihzouhgnfe.dll
C:\WINDOWS\system32\rzysdhbx.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys
C:\WINDOWS\system32\drivers\msosfpids32.sys
C:\WINDOWS\system32\drivers\mselk.sys
C:\WINDOWS\system32\drivers\msyecp.sys
第三步:重启。(如果开机自动打开那些和病毒文件同名的免疫文件夹,第五步做完重启就不会有了。)
第四步:检查删除效果,如果有的文件没有成功删除,重试试第二步,或使用360filekill删除。
第五步:确认全部删除了,再修复注册表。修复注册表
用sreng-点启动项目-点服务-点驱动程序:把以下驱动删除:(如果删不掉,就设置类型为disabled!)
[Sc Manager / Sc Manager][Running/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys><N/A>
[iCafe Manager / iCafe Manager][Running/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys><N/A>
[fpids32 / fpids32][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[msertk / msertk][Running/Auto Start]
<system32\drivers\msyecp.sys><N/A>
[msert / msert][Running/Auto Start]
<system32\drivers\mselk.sys><N/A>
用sreng-点启动项目-点注册表, 将以下项的启动删除:
<igzwzslm><C:\WINDOWS\gwsmhxuq.exe> []
<{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll> []
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []
<{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll> []
<{D29DCEE0-457B-45A2-A92D-741B95B7723B}><C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys> []
启动文件夹, 将以下项的启动删除:
[AtiSrv]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\AtiSrv.exe --> [N/A]><N>
用sreng-点启动项目-点注册表,将以下项的启动中的红色字体内容删除:
用sreng- 点系统修复-浏览器加载项-删除以下内容:
[]
{D29DCEE0-457B-45A2-A92D-741B95B7723B} <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys, N/A>
[]
{D29DCEE0-457B-45A2-A92D-741B95B7723B} <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys, N/A>
第五步:重启,再次检查修复结果。
使用wsyscheck,点安全检查,在“常规检查”子菜单下,“禁用程序管理”栏内,点右键,“添加新的禁用程序”。把以下文件名分别填入:
15.exe
AtiSrv.exe
16.exe
第二步:删除病毒文件
使用菜刀删除以下病毒文件,支持批量删除,把下面文件列表复制到删除框内,注意选上“抑制文件再生”,再删除。
提示重启后删除的,会在重启后删除成功。
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\DbgHlp32.dlL
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\WSockDrv32.dll
C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys
C:\WINDOWS\system32\hfrdzx.dll
C:\WINDOWS\system32\hhrdxd.dll
C:\WINDOWS\system32\zjydcx.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\gkpuafjwow.dll
C:\WINDOWS\system32\puyelquwm.dll
C:\WINDOWS\system32\ycinvaezx.dll
C:\WINDOWS\system32\15.exe
C:\DOCUME~1\ALLUSE~1\「开始~1\程序\启动\AtiSrv.exe
C:\WINDOWS\system32\16.exe
C:\WINDOWS\system32\taijoad.dll
C:\WINDOWS\system32\tsqc.dll
C:\WINDOWS\system32\pahzij.dll
C:\WINDOWS\system32\hjiq.dll
C:\WINDOWS\system32\kiluw.dll
C:\WINDOWS\system32\oqnauhc.dll
C:\WINDOWS\system32\xjxr.dll
C:\WINDOWS\system32\gnolnait.dll
C:\WINDOWS\system32\duygnef.dll
C:\WINDOWS\system32\qlihzouhgnfe.dll
C:\WINDOWS\system32\rzysdhbx.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys
C:\WINDOWS\system32\drivers\msosfpids32.sys
C:\WINDOWS\system32\drivers\mselk.sys
C:\WINDOWS\system32\drivers\msyecp.sys
第三步:重启。(如果开机自动打开那些和病毒文件同名的免疫文件夹,第五步做完重启就不会有了。)
第四步:检查删除效果,如果有的文件没有成功删除,重试试第二步,或使用360filekill删除。
第五步:确认全部删除了,再修复注册表。修复注册表
用sreng-点启动项目-点服务-点驱动程序:把以下驱动删除:(如果删不掉,就设置类型为disabled!)
[Sc Manager / Sc Manager][Running/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys><N/A>
[iCafe Manager / iCafe Manager][Running/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys><N/A>
[fpids32 / fpids32][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
[msertk / msertk][Running/Auto Start]
<system32\drivers\msyecp.sys><N/A>
[msert / msert][Running/Auto Start]
<system32\drivers\mselk.sys><N/A>
用sreng-点启动项目-点注册表, 将以下项的启动删除:
<igzwzslm><C:\WINDOWS\gwsmhxuq.exe> []
<{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll> []
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []
<{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll> []
<{D29DCEE0-457B-45A2-A92D-741B95B7723B}><C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys> []
启动文件夹, 将以下项的启动删除:
[AtiSrv]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\AtiSrv.exe --> [N/A]><N>
用sreng-点启动项目-点注册表,将以下项的启动中的红色字体内容删除:
用sreng- 点系统修复-浏览器加载项-删除以下内容:
[]
{D29DCEE0-457B-45A2-A92D-741B95B7723B} <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys, N/A>
[]
{D29DCEE0-457B-45A2-A92D-741B95B7723B} <C:\Program Files\Internet Explorer\PLUGINS\Ns_Sys55.Sys, N/A>
第五步:重启,再次检查修复结果。
第四法:傻瓜2
第六法:另类方法(比较复杂吧)
1、用XDELBOX删除下列启动项指向的程序以及C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\文件夹中的所有程序:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><msosmhfp00.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgrefg.dll> []
<{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll> []
<{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll> []
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []
<{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll> []
<{e88e8138-6883-404b-b55c-afe1924d44f4}><C:\WINDOWS\system32\fTQQTQQ1004.dll> []
<{521ad5c7-aa70-46f7-9bfb-8a2d67a3edfa}><C:\WINDOWS\system32\fSABSAB1014.dll> []
<{7bc1b6b2-c9cf-419f-942b-37dd6d5cbdba}><C:\WINDOWS\system32\QABQAB1016.dll> []
<{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jhrcar.dll> []
启动文件夹
[AtiSrv]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\AtiSrv.exe --> [N/A]><N>
驱动程序
[Sc Manager / Sc Manager][Running/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys><N/A>
[iCafe Manager / iCafe Manager][Running/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys><N/A>
[mhfp / mhfp][Stopped/Auto Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp25.tmp><N/A>
[fpids32 / fpids32][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
2、重启后,用SRENG删除上述注册表内容。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><msosmhfp00.dll> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgrefg.dll> []
<{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll> []
<{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll> []
<{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll> []
<{1DB3C525-5271-46F7-887A-D4E1ADAA7632}><C:\WINDOWS\system32\hfrdzx.dll> []
<{e88e8138-6883-404b-b55c-afe1924d44f4}><C:\WINDOWS\system32\fTQQTQQ1004.dll> []
<{521ad5c7-aa70-46f7-9bfb-8a2d67a3edfa}><C:\WINDOWS\system32\fSABSAB1014.dll> []
<{7bc1b6b2-c9cf-419f-942b-37dd6d5cbdba}><C:\WINDOWS\system32\QABQAB1016.dll> []
<{CAED0F3B-DF8B-4DBF-BB20-8DFBC3199068}><C:\WINDOWS\system32\jhrcar.dll> []
启动文件夹
[AtiSrv]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\AtiSrv.exe --> [N/A]><N>
驱动程序
[Sc Manager / Sc Manager][Running/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbcams3.sys><N/A>
[iCafe Manager / iCafe Manager][Running/Manual Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\usbhcid.sys><N/A>
[mhfp / mhfp][Stopped/Auto Start]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp25.tmp><N/A>
[fpids32 / fpids32][Stopped/Auto Start]
<\??\C:\WINDOWS\system32\drivers\msosfpids32.sys><N/A>
2、重启后,用SRENG删除上述注册表内容。