怎么手动清除Vundo

GBUser

老板的机子又中毒了，叫俺去收拾，干死了一个木马后在冰剑里东看西看，看到一个BHO，指向一个ljjklji.dll。小红伞也跳出来报毒，但是删除不了。在进程里察看了一下发现它插入了winlogon和explorer，可以从explorer里卸除它，但是如果试图从winlogon里卸除它，就会蓝屏。Cureit报告该文件是Virtumondo，但删除不了。相关注册表项删除了之后会重新被改回来。我在机子上装了SSM，然后再删除相关注册表项，发现winlogon会试图把注册表项改回来。用SSM建立永久规则阻止winlogon修改，但重启后注册表项还是被改回去了。俺大汗。也没发现这个东东还有别的同伙，用Rootkit Unhooker看了一下也没有异常的hook。手头没有启动盘，安全状态下它照样启动。最后还是从网上下载了Vundofix，结果轻松搞定。
想请问一下如果没有启动盘，怎么手动清除这个东东？

wangjay1980

用SRE和冰刃

GBUser

这两个我都用过的，SRE日志没发现别的帮凶。
冰剑的结果就是蓝屏，上头说了。

GBUser

先大汗一下，白用SSM这么长时间……
加入病毒库文件的规则，设为阻止。以前一直没在意这个“新建规则”，总是等SSM来问我，看来这个提问-回答机制不够狠啊
谁中了Vundo的可以试验一下

GBUser

另一个东东是Pendmove，文件延迟删除工具，估计也会有效。但当时忘了它名字，忘了这个功能的名字，忘了相关键值的名字，所以就没用上……