瑞星卡卡安全论坛
fangjuexiao - 2005-7-6 19:09:00
我是win2003用户,今天中午开始,出现这么一个问题,就是“资源管理器”不断重启,无休无止地刷新桌面。开始也没办法,后来凭手脚利索,把任务管理器打开一看,里面有个可疑进程,杀之可保5至10分钟不等,然后该进程又会更名出现在进程列表中,随后又是“资源管理器”无休止地重启。没办法我只好进安全模式,倒是没有这个现象了,当然只要一进系统又会出现这种情况。在安全模式中查看系统启动项,发现有两个意外的启动项目,删除后重启仍然无效,进安全模式启动项又自动加进去了,而且每次都是更改了名字,但该文件是处于system32目录下的。最后我把启动项目删除得连输入法都没了,网络实名也没有了,应该说run子键下已经没有任何启动项目了,只要一进普通模式,问题依旧。而且run子键也重新添加了那个exe文件。
到现在也没解决得了,我是实在是没有办法了,既然开机没有启动,它是怎么运行起来的呢?根据现象它应该是常驻内存了,但是系统中看不出来别的进程了。求各位高手帮忙啊。在线等着。。。。。
岳海旭 - 2005-7-6 19:10:00
安全模式下查杀
fangjuexiao - 2005-7-6 19:16:00
我用的是“卖咖啡”正版杀毒,这是单位指定的杀毒软件,版本更新到了7月5日17点,实在是查不出来该病毒,而且这个病毒也是我所没听说过的,我估计他的原理就是不断地杀“explorer”进程。请大家帮我分析一下到底是什么原理,以及该怎么搞,对应的ms的patch是什么。
fangjuexiao - 2005-7-6 19:20:00
各位,这里帖子实在刷新太快,我又得顶上去,不好意思了。请高手援手啊。
fangjuexiao - 2005-7-6 19:29:00
唉。。。真急了。半天没有人理。机器中毒本来也是常事,一般情况下我也无法指望杀毒软件能立即清楚掉,因此都是手工先处理,今天这个情况我是想破脑袋也拿不出办法来了。学识有限,只有靠各位高手不吝赐教了。
fangjuexiao - 2005-7-6 19:48:00
:(......
up!
fangjuexiao - 2005-7-6 20:17:00
大家倒是支个招啊,不会要我重装吧。。。
garnett21 - 2005-7-6 20:59:00
hijackthis扫描发上来试试
傲群孤鹰 - 2005-7-6 21:15:00
我有前不久~也中了一个和你差不多的病毒!(是我自己安的)嘿嘿~
是听他们说很厉害~ 我就试试~ 不过还别说` 我就真没解决 ~ 那个病毒现象和你这不类似,就是不断的重起。我的解决办法和你一样~还是不起作用~最后我还是妥协了~我来了~可不是打你积极性啊~。我也是想请教一下~有没有解决办法~ 谢谢~
fangjuexiao - 2005-7-6 21:18:00
这个就要等到明天了.因为如果在安全模式下运行就扫描不到进程,在普通模式下,你又没办法执行扫描器,试想桌面刚出来就马上被刷掉你还能做什么?好不容易才逮到机会把病毒进程杀掉的.
garnett21 - 2005-7-6 21:22:00
【回复“fangjuexiao”的帖子】不是你说的那样,安全模式能行的
fangjuexiao - 2005-7-6 21:30:00
加内特兄弟,我明白你的意思,在安全模式下应该可以扫描到进程的,这是没错.我在安全模式下查看进程列表是完全没有异常的,这点我可以打保票.在安全模式下,run以及runonce子键下的东西我都不晓得查过多少遍了,基本上是徒劳.不过明天我还是听你的用hijackthis去扫一下,看是不是还有遗漏.先谢谢了.
kaokaokaokao - 2005-7-6 22:09:00
任务管理器里面的异常进程有几个,要是没有双进程保护的话,基本上都可以手动直接杀
fangjuexiao - 2005-7-6 22:15:00
老大,异常进程我所知道的就是一个,进程名字不停变化(杀了以后再进来名字应该是随机变化),杀了不久又出来了,应该还有一个保护进程常驻内存里.
kaokaokaokao - 2005-7-6 22:26:00
这样啊,那是有点麻烦,我也碰到过,病毒名随机变化的,没规律,照你这样说的,应该还有个病毒的进程隐身了,建议去下个软件“IceSword”查看一下,给你个进程终极杀手指令ntsd
服了YOU - 2005-7-6 22:28:00
| 引用: |
【fangjuexiao的贴子】加内特兄弟,我明白你的意思,在安全模式下应该可以扫描到进程的,这是没错.我在安全模式下查看进程列表是完全没有异常的,这点我可以打保票.在安全模式下,run以及runonce子键下的东西我都不晓得查过多少遍了,基本上是徒劳.不过明天我还是听你的用hijackthis去扫一下,看是不是还有遗漏.先谢谢了.
........................... |
晕,它是让你在安全模式下杀毒,清理,或手动删毒,多弄几遍
服了YOU - 2005-7-6 22:29:00
楼主可以去服务里看看,,是不是病毒以服务的形式运行了?如是那样,你单结束启动项是不够的
查看下服务
fangjuexiao - 2005-7-6 22:42:00
服了you兄,服务的方式我确实没有想到.我会去查的,至于在安全模式下查毒是查过了,查不出来.手动去删毒?不大可行,因为天知道它是个什么文件名呢?在run键值上显示的是c;\windows\system32\*******.exe是没错,关键是它的文件名一直是变动的,我倒没去system32下去查那些*******.exe,现在想起来,岂不是有一堆这样的文件?于此道不精,真是惭愧!
今天晚上就权且收集各位的高论,明天逐一试.
Remember23 - 2005-7-6 22:45:00
?
kaokaokaokao - 2005-7-6 22:56:00
要是真不行,明天把病毒传上去,我来做试验好了,反正我的机器中了一个月的毒,有点不行了
北京的红枫 - 2005-7-6 22:57:00
来看看,帮不上忙,就帮你顶顶吧
fangjuexiao - 2005-7-6 23:11:00
说几句题外话吧.整个一下午就干了这件事还没搞定,那办公室空调正对着我吹,天气太热也没在意,现在发作起来头痛欲裂,我也只能去休息了.承蒙各位仗义援手感激不尽.
搞技术的都是这毛病想把问题彻底弄清楚才罢手,遇到类似这样的问题我一般是不会去轻易重装的,如果有高手还请继续指点,可能问题也比较简单只是我愚昧罢了.如果跟我一样想不通的,还麻烦象"北京的红枫"一样顶一顶不至于帖子被淹没.
再谢!
开始学 - 2005-7-6 23:17:00
大家好!
我也中了这个病毒 我用的是17.34.02 版本 而病毒是17.34.20的 我没办法杀掉 知道这个病毒还是在网上在线杀毒杀找到的 现在病毒隐藏在D:盘的很深处 我打开( 我的电脑)在文件夹里也找不到大家帮我想想办法~~!!!
kaokaokaokao - 2005-7-6 23:28:00
楼上的,传个毒上去,我来做个试验看,反正我的机器也出了点问题,可能要重装了
baohe - 2005-7-7 22:05:00
| 引用: |
【fangjuexiao的贴子】我是win2003用户,今天中午开始,出现这么一个问题,就是“资源管理器”不断重启,无休无止地刷新桌面。开始也没办法,后来凭手脚利索,把任务管理器打开一看,里面有个可疑进程,杀之可保5至10分钟不等,然后该进程又会更名出现在进程列表中,随后又是“资源管理器”无休止地重启。没办法我只好进安全模式,倒是没有这个现象了,当然只要一进系统又会出现这种情况。在安全模式中查看系统启动项,发现有两个意外的启动项目,删除后重启仍然无效,进安全模式启动项又自动加进去了,而且每次都是更改了名字,但该文件是处于system32目录下的。最后我把启动项目删除得连输入法都没了,网络实名也没有了,应该说run子键下已经没有任何启动项目了,只要一进普通模式,问题依旧。而且run子键也重新添加了那个exe文件。
到现在也没解决得了,我是实在是没有办法了,既然开机没有启动,它是怎么运行起来的呢?根据现象它应该是常驻内存了,但是系统中看不出来别的进程了。求各位高手帮忙啊。在线等着。。。。。
........................... |
请用HIjackThis1.99.1扫日志贴上来看看。HijackThis下载: http://forum.ikaka.com/download.asp?id=5895386
心言 - 2005-7-7 22:35:00
以下是我乱说的,你试试行不。
1.不清楚"卖咖啡"这个杀软,我都没听过(呵呵,长见识了),所以不便评论,你可以去瑞星,江民等"名声"大点杀软的主页在线查毒看看,记录病毒名称,路径等...方便大家参考和你之后的清除.
2.请下个hijacthis.exe(1.99.1)扫个日志帖出来.链接地址很多,楼上斑竹也提供了一个. IceSword的功能强大,包括进程查看管理等你也可以用它辅助你一二.
3.升级你的"卖咖啡"杀软到最新,在安全模式下全盘扫一遍,,(或制个DOS杀毒盘到DOS下).
浪漫の都 - 2005-7-7 23:39:00
在安全模式 注册表 里的 RUN 下,看看可疑进程的路径,然后顺着路径再删掉病毒。
1
© 2000 - 2026 Rising Corp. Ltd.