棋牌

　　

(3)重新启动电脑到正常模式，用hijackthis 再次确认没有上述进程，OK

看完了一定要回帖啊，阔阔网络工作室欢迎您对我们的支持！

该木马添加代号为 "4E9CE6D6-6D73-490f-8D9C-5265A771CDF1"系统进程在注册表内(生成的进程我第一种毒时找到了,但第二次实验的时候并没有发现生成此类注册信息)

同时在Documents and SettingsAdministratorLocal SettingsTemp~BackupFiles 添加诸如177f8a3a2da7ebe555af02f6288dfa32.dll木马备份文件

以及[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCur rentVersionRun]

以及[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCur rentVersionRun]

(1)首先用hijackthis定位其系统服务未知（即"4E9CE6D6-6D73-490f-8D9C-5265A771CDF1"系统进程）

解决方法:. 使用工具：hijackthis(进程扫描工具), msconfig / regedit (XP系统自带工具)

内添加<rundll32.exe C:WINDOWSsystem32winhelp.dll autorun> 项目实现开机运行，

据说，白猫清理工软件可以清除，但要花银子，小气一下自己想办法！

(2)重新启动电脑，按F8直到出现启动菜单，选择安全模式，运行注册表编辑器regedit, 搜索winhelp.dll,将所有相关项目删除（应该有3处），然后搜索"4E9CE6D6-6D73-490f-8D9C- 5265A771CDF1"系统进程将其相关项目删除（应该有2处），到Documents and SettingsAdministratorLocal SettingsTemp~BackupFiles 将temp目录内的所有文件删除，到[system directory]system32 下删除winhelp.dll

2. 该木马原理：该木马在目标电脑运行后将winhelp.dll添加到[system directory]system32 下，同时在注册表[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun]

3.清除方法：

此木马特征:电脑运行后将winhelp.dll添加到[system directory]system32 下，同时在注册表[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurr entVersionRun]
大连娱网棋牌南通棋牌游戏下载和联众世界是大家非常喜爱的休闲娱乐网站，但前一阵安装后发现其游戏大厅经常莫名的无相应,系统资源占用100%.此时重新安装多次也不能解决.引起了我的怀疑.无意中我在启动信息中发现了winhelp.dll项目,电脑开机和打开IE慢如牛，更别提进追风互动社区www.zf99.cn了！出现winhelp.dll确实为安装其游戏大厅后产生的.而这个winhelp.dll确实为木马病毒.我用诺顿和360安全卫士都奈何不了它。

另外，我对该木马在temp目录内备份的文件用ULTRAEDIT进行了检查，同时在其目录下发现了server.ini文件其IP地址指向 210.1.14.102 (端口3000),该公司叫做logiware（上海的一家公司），而且，winhelp.dll实际封包内部名称为ADplus.dll（大名鼎鼎的木马，其研发公司为TODO），这群吃大便长大的无耻之徒，强烈鄙视兼QJ10000遍。

此外，该木马添加代号为 "4E9CE6D6-6D73-490f-8D9C-5265A771CDF1"系统进程在注册表内（可以用F3搜索，应该有两处，均在[HKEY_CLASSES_ROOT]内）



内添加<rundll32.exe C:WINDOWSsystem32winhelp.dll autorun> 项目实现开机运行，

同时在Documents and Settings用户名Local SettingsTemp~BackupFiles 添加诸如177f8a3a2da7ebe555af02f6288dfa32.dll木马备份文件. 星空棋牌富阳麻将