诸葛·小亮 - 2007-7-26 18:00:00
一朋友的机器,在办理了征途游戏提供的账号绑定机器服务后。发现中了这种病毒,但最新版瑞星无法查杀。病毒症状为IE报错,其它程序相继不能使用。2次格式化全部硬盘重装系统,都在登陆征途游戏后不到半小时时间内再次发现中毒。其间没有打开过网页和其它程序。第一次全格重装中毒后还有时间变为2088年1月1日和2099年1月1日的现象。用江民的落雪专杀可以杀出东西,但根本无法根除,最多1分钟后重生。
很是头疼,而且病毒的来历实在是想不明白。用启动盘重分区格式化重装,打满所有Windows补丁,一连接网络,除征途外没打开任何程序怎么就能进来病毒。
相关病毒文件名为:
autorun.inf
IO
mppds.exe
RAV008C.exe
RAV008C.dat
svchost.exe
TIMHost.exe
Result.txt
桃子CiCi - 2007-7-26 18:09:00
这个现在比较常见
使用SREng扫描工具点这里下载http://www.kztechs.com/sreng/sreng2.zip
1 解压缩sreng2.zip (关闭一切不必要的应用软件如QQ等,有必要的话可打开一个网页)
2 运行SREngPS.exe
3 按智能扫描,然后勾选检查进程模块的签名,然后再按扫描,最后保存结果
4 把结果SREngLOG.log里面的内容一字不漏的发上来
先扫个日志上来,了解一下你的系统的情况.
开始的距离 - 2007-7-27 22:14:00
把U盘接到电脑上出现
autorun.inf
printer.exe
内容如下:
注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current
Version\Run
mswindws mssql.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current
Version\Run
mswindws mssql.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
shell Explorer.exe work.exe
释放文件
%systemroot%\system32\cftmons.exe
%systemroot%\system32\work.exe
%systemroot%\system32\mssql.exe
其中CFTMONS.EXE有时为系统隐藏进程,注意和正常的系统进程CFTMON.EXE区别。
有时CFTMONS.EXE会将自己注入到EXPLORER.exe中,此时的EXPLORER.exe在ICESWORD进程中也为红色,必需关闭一次才可以正常杀毒。
先用利用ICESWORD关闭隐藏进程CFTMONS.EXE,然后修复注册表相关键值即可。
解释很明晰,其中关键步骤就是使用冰刃IceSword 软件关闭隐藏进程cftmons.exe,这样才可以顺利删除system32文件夹下的cftmons.exe文件,还有mssql.exe work.exe,然后搜索清理注册表相关项,重启电脑,彻底杜绝病毒的死灰复燃。
thomas2004 - 2007-7-27 22:20:00
【回复“诸葛·小亮”的帖子】
把他们打包发给我看看吧..
hsxhyl1@126.com
© 2000 - 2026 Rising Corp. Ltd.