瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 系统时间改为2004-09-18,启动中有3.pif(补充)
半桶水2007 - 2008-9-26 15:26:00
嗯,很久没上网,发现已经跟了几个贴子,很感谢大家。问题我好像没讲明白。补充一下:

我现在也不知道这个毒是什么,我已经把系统再格了一次,然后用冰点保护起来。启动项里的3.pif文件可以改名,但是不能删除,就算你到了DOS下,也不行。到安全模式下也不行,我用深山红叶进系统也删除不了。我把文件名改成12313.pfi然后再删除,结果一个样,不能删除。同时启动项里也自己更新为12313.pif,太牛了这毒。我C盘用的是XP,NTFS格式。然后我试了去除掉系统的虚拟内存和预读功能,再去删除,也还是无法删除。
网上讲很多3.pif毒的性质,基本上跟它们的一样。我师姐的电脑还会攻击别人的电脑,我师弟有ARP防火墙,说一直工PING他电脑。
我用冰剑查,也查不到3.pif这个进程或是模块。不知道这个毒攻击原理是什么,太牛了。
我用记事本打开3.pif文件,看到是一页的乱码!还有我用360查,查出来说是一个什么毒,然后进360网站查,又查到到时相关的信息。太奇怪了。我开始怀疑是不是360的高手写的。
下次再去修电脑,我把病毒的几个文件,打包起来,传上来。如果高手们谁想试试的话,自己开起来看。太牛了这毒!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)
xiaoyao2008 - 2008-9-26 15:29:00
在可疑文件板块中,发上来。让瑞星工程师给分析分析。
最硬的石头 - 2008-9-26 18:24:00
进入DOS和PE都没删除的话,是因为你没有删除真正的病毒,而是仅仅删除*.pif
半桶水2007 - 2008-9-26 23:51:00
3.pif不能删除,提示说什么受保护或是什么来着的。就是不让删除,在dos删除的话,会提示说 找不到文件,但是dir/a可以看到
半桶水2007 - 2008-9-28 20:54:00
瑞星工程师不知道忙不忙呀,会不会有时间帮我想办法。如果这个毒,瑞星能做好专杀工具的话,应该就比360强了
aaccbbdd - 2008-9-28 20:55:00
专杀工具
只会在病毒流行才有的

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
升级清理助手,只清理高危险项目
2.扫日志前关闭无用进程,如QQ,迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)

PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat

如还不能运行尝试该版本SRENG
http://bbs.ikaka.com/attachment.aspx?attachmentid=412527
如2.6的能用,请勿使用2.4版本

4.为了最大程度减少对病毒的误判,和对病毒准确定位和判断,必须同时上传金山清理专家日志
下载金山清理专家

http://www.duba.net/qing/

金山清理专家-在线系统诊断(隐藏安全项)-导出诊断报告-(全选)-导出报告



5.2份日志/报告以附件上传(点击我回的贴的右下角的“引用”,然后就应该知道怎么以附件发了),贴到反病毒区.已发帖请跟贴,勿另开新帖。
半桶水2007 - 2008-9-28 21:05:00
我已经在这个版面的发了另一个帖子了,请专家把病毒下载,然后在电脑上运行看看,看能不能清掉,你上面讲的几种东西我都没用,我只能在虚机上给你弄,报告我一会儿弄好了再发给你。
半桶水2007 - 2008-9-28 21:27:00
清理助手清理系统和SReng在毒环境下不可用,金山清理专家的报告如下:

==============================================================
        金山清理专家系统诊断报告

该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================

诊断时间:            2004-09-28, 21:23
诊断平台:            Windows XP [5.1.2600] Service Pack 2
IE版本:              Internet Explorer V6.0.2180.2900
计算机物理内存:      255(MB)
当前可用内存:        106(MB)
硬盘总大小:          7(GB)
硬盘可用空间:        6(GB)
清理专家版本:        2008.08.12.553
恶意软件库版本:      2008.08.06.1
漏洞库版本:          2008.08.14.1




==============================================================
        映像劫持
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

        <360rpt.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <360safe.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <360safebox.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <360tray.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <ANTIARP.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <ArSwp.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <Ast.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <AutoRun.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <AutoRunKiller.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <AvMonitor.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <AVP.COM>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <AVP.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <CCenter.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <Frameworkservice.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <GFUpd.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <GuardField.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <HijackThis.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <IceSword.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <Iparmor.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <KASARP.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <KAVPFW.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <kavstart.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <kmailmon.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <KRegEx.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <KVMonxp.KXP>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <KVSrvXP.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <KVWSC.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <kwatch.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <Mmsk.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <msconfig.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <Navapsvc.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <nod32krn.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <Nod32kui.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <PFW.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <QQDoctor.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <RAV.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <RavStub.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <Regedit.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <rfwmain.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <rfwProxy.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <rfwsrv.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <rfwstub.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <RSTray.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <Runiep.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <safeboxTray.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <SREngLdr.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <TrojanDetector.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <Trojanwall.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <TrojDie.KXP>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <VPC32.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <VPTRAY.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []

        <WOPTILITIES.EXE>        <C:\WINDOWS\system32\dllcache\wuauclt.exe>
        文件路径: C:\WINDOWS\system32\dllcache\wuauclt.exe [可疑的] []


==============================================================
        Explorer加载项
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
          [internetnet]        <C:\WINDOWS\system32\wuauclt.exe>
          文件路径: C:\WINDOWS\system32\wuauclt.exe  [分析中]


==============================================================
        启动文件夹位置
==============================================================

Common Startup:      C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup:            C:\Documents and Settings\xuniji\「开始」菜单\程序\启动
Common Startup:      %ALLUSERSPROFILE%\「开始」菜单\程序\启动

==============================================================
        开始菜单启动项
==============================================================

<3.pif>  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\3.pif>
文件路径: C:\Documents and Settings\All Users\「开始」菜单\程序\启动\3.pif [分析中]


==============================================================
        Host File
==============================================================

127.0.0.1      localhost

==============================================================
        系统服务
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

        [HidServ] [已禁用]            <%SystemRoot%\System32\hidserv.dll>


==============================================================
        驱动程序
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

        [acpidisk] [已启用]            <\??\C:\WINDOWS\system32\drivers\acpidisk.sys>
        文件路径: C:\WINDOWS\system32\drivers\acpidisk.sys [未知]

        [dog0725] [已禁用]            <\??\C:\Documents and Settings\xuniji\桌面\obj2.sys>
        文件路径: C:\Documents and Settings\xuniji\桌面\obj2.sys [分析中]


==============================================================
        BHO
==============================================================

该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

        [CAdLogic Object]
        {11F09AFD-75AD-4E51-AB43-E09E9351CE16}  <C:\Program Files\Common Files\PushWare\cpush.dll>
        文件路径: C:\Program Files\Common Files\PushWare\cpush.dll [分析中]

        [Info cache]
        {285AB8C6-FB22-4D17-8834-064E2BA0A6F0}  <C:\WINDOWS\Aseo\pbhealth.dll>
        文件路径: C:\WINDOWS\Aseo\pbhealth.dll [病毒程序]

        [网站排名工具条BHO]
        {489873CE-F3E1-44A3-8E89-04BE26BE4446}  <C:\Program Files\zzToolBar\Toolbar_bho.dll>
        文件路径: C:\Program Files\zzToolBar\Toolbar_bho.dll [可疑的]


==============================================================
        当前进程
==============================================================

名称:    wuauclt.exe  [已启用]
命令行:  "C:\WINDOWS\system32\wuauclt.exe"
文件路径: C:\WINDOWS\system32\wuauclt.exe  [分析中]        (Microsoft Corporations)
模块文件: C:\WINDOWS\system32\ntdll.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\kernel32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\ShimEng.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\AppPatch\AcGenral.DLL              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\USER32.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\GDI32.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\ADVAPI32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\RPCRT4.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\WINMM.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\ole32.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\msvcrt.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\OLEAUT32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\MSACM32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\VERSION.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\SHELL32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\SHLWAPI.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\USERENV.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\UxTheme.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\IMM32.DLL                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\LPK.DLL                  (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\USP10.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\comctl32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\MSCTF.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\netapi32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\appHelp.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\CLBCATQ.DLL              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\COMRes.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\urlmon.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\Secur32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\SETUPAPI.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\sfc_os.DLL                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\WINTRUST.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\CRYPT32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\MSASN1.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\IMAGEHLP.dll              (Microsoft Corporation)

名称:    Y.PIF  [已启用]
命令行:  Y.PIF
文件路径: C:\Documents and Settings\xuniji\桌面\Y.PIF  [分析中]
模块文件: C:\WINDOWS\system32\ntdll.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\kernel32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\OLEAUT32.DLL              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\msvcrt.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\USER32.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\GDI32.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\ADVAPI32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\RPCRT4.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\ole32.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\IMM32.DLL                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\LPK.DLL                  (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\USP10.dll                (Microsoft Corporation)
aaccbbdd - 2008-9-28 21:35:00
未联网是处理方法

修复以下项
[internetnet]        <C:\WINDOWS\system32\wuauclt.exe>
          文件路径:C :\WINDOWS\system32\wuauclt.exe  [分析中]
[acpidisk] [已启用]            <\??\C:\WINDOWS\system32\drivers\acpidisk.sys>
        文件路径: C:\WINDOWS\system32\drivers\acpidisk.sys [未知]

        [dog0725] [已禁用]            <\??\C:\Documents and Settings\xuniji\桌面\obj2.sys>
        文件路径: C:\Documents and Settings\xuniji\桌面\obj2.sys [分析中]
[Info cache]
        {285AB8C6-FB22-4D17-8834-064E2BA0A6F0}  <C:\WINDOWS\Aseo\pbhealth.dll>
        文件路径: C:\WINDOWS\Aseo\pbhealth.dll [病毒程序]

        [网站排名工具条BHO]
        {489873CE-F3E1-44A3-8E89-04BE26BE4446}  <C:\Program Files\zzToolBar\Toolbar_bho.dll>
        文件路径: C:\Program Files\zzToolBar\Toolbar_bho.dll [可疑的]


C:\Documents and Settings\xuniji\桌面\Y.PIF
C:\Documents and Settings\xuniji\桌面\obj2.sys
C:\WINDOWS\Aseo\pbhealth.dll
C :\WINDOWS\system32\wuauclt.exe 
C:\windows\system32\dllcache\wuauclt.exe
以上病毒文件用天月来了顶置帖3楼处理下

附件清除映像劫持项

附件: 机器狗&映像劫持修复工具.rar
半桶水2007 - 2008-9-28 22:19:00
大哥,刚试过,你的办法可以查出好多毒,但是不能根治,没用的。你有时间在你的虚机上弄一下,这个毒不像你想像的那么单纯!
aaccbbdd - 2008-9-28 22:21:00
我知道

这东东
是带有下载器性质de
楼主试试附件

附件: 1.2木马群专杀工具.rar
半桶水2007 - 2008-9-28 22:44:00
升级后,再查,又是小白一个。
aaccbbdd - 2008-9-28 22:49:00
病毒还在?:default2: :default2:
半桶水2007 - 2008-9-28 22:53:00
是呀,你的方法只能对付普通家伙,3.pif还是没有变,安如山!!你自己弄台虚拟机试试,克服它会很有成就感。毒我已经传上去了,http://bbs.ikaka.com/showtopic-8552776.aspx这个帖子里下载。
aaccbbdd - 2008-9-28 23:00:00
楼主是否试过狙剑?冰刃?删除文件
半桶水2007 - 2008-9-28 23:02:00
试过,但是不知道是哪个进程在管,按名字查查不到,可能我经验不够,你可以的话试试,楼上的QQ多少,加加下,
冰剑也被列在不能开启的名单中,没有改名是开不了的。
半桶水2007 - 2008-9-28 23:04:00
你要是能想了办法,我拜你为师!
aaccbbdd - 2008-9-28 23:06:00
http://bbs.ikaka.com/showtopic-8417665.aspx
去站务区申请一帮一救助吧
半桶水2007 - 2008-9-28 23:11:00
你帮我弄下,上面文字太多,我看不下去!规矩太多,不容易接受
半桶水2007 - 2008-9-28 23:15:00
本来以为很容易的事,看来真的是不可能完成的事。
半桶水2007 - 2008-9-28 23:23:00
刚才有一个人跟我说电脑中的是“下载器蠕虫变种IZ(Worm.Win32.DownLoader.iz)”
没有办法根治!
对中这种毒的同胞表示深切的同情!
对做这个毒的同志表示切齿的痛恨!
半桶水2007 - 2008-9-28 23:23:00
刚才有一个人跟我说电脑中的是“下载器蠕虫变种IZ(Worm.Win32.DownLoader.iz)”
没有办法根治!
对中这种毒的同胞表示深切的同情!
对做这个毒的同志表示切齿的痛恨!
Frank3160449 - 2008-9-29 7:15:00
弱智。。。。白痴。。。(别打我,刺激刺激你)
我告诉你怎么回事。。。。首先我老师中过这个病毒,我已经成功解决,你不要管什么下载器,弱智。。。
首先参考http://bbs.ikaka.com/showtopic-8552569.aspx
里面有反劫持程序的下载页面,一个一个找,打开它下载运行程序,下载WINDOWS清理助手和瑞星2009,然后切断网络,安装它们,重新启动,再运行WINDOWS清理助手,全盘扫描(我中过,这如果我没猜错,你的系统文件应该已经被修改啦。。。(这个病毒有很强的壳),所以瑞星和清理助手全面扫描,接着参考刚才那个帖子的最后一个网址,那里有如何替换系统文件,替换系统文件后,再次执行全盘。应该就解除了。如果再次复生,可能是系统文件还有问题,都替换下,就OK了。
半桶水2007 - 2008-9-29 7:25:00
切,我还以为你很强,不过也如此呀。你都没有试过它,你怎么知道这个毒的利害。
byxxdrls - 2008-9-29 8:48:00
3.pif只有读取和运行的权限,需添加写入权限才能删除。
另外还有两个系统文件被替换(包括在dllcache目录中的也被替换了),需处理。
aaccbbdd - 2008-9-29 8:51:00
组策略限制?
Frank3160449 - 2008-9-29 8:59:00
用X-DELBOX删除得了,弄个抑制再生,你系统文件肯定有问题,要不老再生?
Frank3160449 - 2008-9-29 9:00:00
什么重复啊,就是病毒安装包没弄走(自运行),要不就是下载器没删除
byxxdrls - 2008-9-29 9:25:00
不是,NTFS权限。XD不能运行,超级巡警蓝屏,费尔被关闭。。。。。
aaccbbdd - 2008-9-29 9:28:00
费尔那东东行不
或金山的文件粉碎器

我是没条件
要不就玩玩试试
12
查看完整版本: 系统时间改为2004-09-18,启动中有3.pif(补充)
© 2000 - 2026 Rising Corp. Ltd.