navplay.exe木马的清除指南
经常在论坛上看到有网友问navplay.exeJ是什么进程,而且进程里会有10多个navplay.EXE,进程,随系统启动,会在注册表中多处注入文件,不得不说是一个恶意软件,还具有自我保护和恢复的相互作用!删除方法好如下:
使用unlocker把以下病毒驱动文件删除:
【使用unlocker删除文件后马上再生的、找不到病毒文件的、删除失败的可使用费尔强制删除工具,把以下文件路径复制到输入框,选上抑制文件再生后再删除。如果费尔删除工具还提示找不到病毒文件,就可以确定没有,接着删除下一个。】
也可以使用其它的强力删除工具:
\SystemRoot\System32\DRIVERS\irtejvjk.sys
3、使用费尔强制删除工具,选上抑制文件再生后再删除以下病毒启动文件:
C:\PROGRA~1\gentad\gentad.dll
C:\Program Files\iesnap\navoct.dll
c:\PROGRA~1\iesnap\navstub.dll
c:\PROGRA~1\iesnap\navpref.dll
c:\PROGRA~1\iesnap\navseg.dll
c:\PROGRA~1\iesnap\navneg.dll
删除E盘下的Autorun.inf,Iexplores.exe
4、删除后重启到安全模式。
【一次删不尽的重启再删。如果不重启到安全模式,可能自动打开建立的和病毒同名的免疫文件夹,或提示文件找不到或加载失败,后面步骤做完就不会再自动打开了。要直到病毒文件清除干净后再重启,开始清除注册表项。】
5、用sreng-点启动项目-点服务-点驱动程序:把以下驱动删除:(如果删不掉,就设置类型为disabled!)
[irtejvjk / irtejvjk][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\irtejvjk.sys><Yahoo! China Corporation>
6、用sreng-点启动项目-点服务-点win32服务应用程序:将以下项删除:
[Gentad / Gentad][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\PROGRA~1\gentad\gentad.dll>< >
[Navoct / Navoct][Running/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\Program Files\iesnap\navoct.dll>< >
9、用sreng- 点系统修复-浏览器加载项-删除以下内容:
[BandIE Class]
{77FEF28E-EB96-44FF-B511-3185DEA48697} <C:\PROGRA~1\baidu\bar\baidubar.dll, Baidu.com, Inc.>
如果以上提到的文件都已处理后,重起到正常模式看看。
在做完了上面这些步骤时,卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖。
费尔强制删除工具的使用说明:
对于删除后马上修复重建的病毒文件,可以选择抑制文件再生,这样就可以在删除病毒文件后马上建立一个和病毒文件同名的文件夹,根据操作系统的文件和文件夹命名规则,不允许在同一路径下创建同名的文件和文件夹,病毒文件就不能再创建出来了。
即使遇到,还有冰刃这个武器,点上“禁止进线程创建”,即可稳妥删除病毒文件,并能不急不慌滴建立一个免疫文件夹了。
