怡觎现喾MpKsl病毒特点是:一旦连接网络就产生很多用户名为administrator的svchost.exe进程,被误认为是svchost病毒。svch泠贾高框ost.exe的文件位置正常,但是没有对应的服务,并且不断的产生新的svchost.exe,在后台访问网络,占用网速,cpu,内存。这个病毒一开机就载入系统,并隐藏磁盘文件和模块名,即使在文件夹选项设置查看隐藏的文件也无法显示。使杀毒软件无法查杀。本文介绍的是手动查杀方法,自动查杀可以使用急救U盘,杀毒光盘等。
工具/原料
有中毒症状的电脑
带PE系统的启动u盘或者光盘
1、先删注册表方法
1、打开注册表,搜索查找MpKsl(该病毒文竭惮蚕斗件为MpKslxxxxx.dll,xxxxx为随机字母,所以只查前面部器皆阄诟分)。找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\下有个MpKslxxxx的项(这是病毒的服务项,可以看到DisplayName的值为guarder1,ImagePath的值为System32\MpKslxxxxx.dll,start的值为0)如图删除整个项。继续搜索可以找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\services\等均有此项,同样删除。
2、如果无法删除,点击右键,权限,点everyone,完全控制打钩,再删除。如果依旧不能删除请看先删文件方法
3、重启电脑,打开我的电脑,工具,文件夹选项,查看,隐藏受保护的涠础险渥操作系统文件的钩去掉,并选择显示所有文件和文件夹。打开C:\WINDOWS\SYSTEM32搜索罄休卦咦MpKsl,找到MpKslxxxxx.dll文件删除即可。如果搜索不到请看先删文件方法。
2、先删文件方法
1、注册表无法删除时需要用带PE系统的u盘启动盘或者光盘启动。
2、设置启动顺序将带PE系统的U盘或者光盘插入电脑,重启电脑,按DEL键或者F2键进入BIOS设置U盘或者光盘为第一启动顺序,按F10保存。不同电脑操作不同,具体请百度。
3、删除病毒文件自动重启后进入PE系统,在C:\WINDOWS\System32\下查找MpKsl,找到MpKslxxxxx.dll文件并删除。重启电脑,拔出U盘或者光盘,正常启动电脑。
4、清理注册表按先删注册表方法,查找并删除MpKslxxxx注册表项。
阻止病毒产生svchost.exe的方法
1、在连接网络前用任务管理器结束explorer.exe进程,再新建explorer.exe可以使病毒无法创建svchost.exe。
2、在C:\Windows\System32\drivers\etc\hosts文件中藜局腑载添加以下字段,也可使病毒无法创建svchost.exe。127.0.0缕计瓤账.1 RL1.W7Q.NET127.0.0.1 RES.QHMSG.COM127.0.0.1 GOU.33YSW.COM
3、虽然阻止了svchost.exe的产生,但病毒还存在。