查出中了bloodhound.mbrb病毒，但是杀不了，怎么办？ bbs.ikaka.com

dafeng260 - 2008-11-21 15:06:00

我的机子查出中了bloodhound.Mbr 病毒，但是不能杀掉。
电脑不上网的时候，什么事情都没有，一上网杀毒软件就弹出阻止病毒的对话框，然后不管是上网速度，还是机子速度的非常非常慢，必须重启而且不上网才行！请高人指点，拜求！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

piao2008 - 2008-11-21 15:11:00

用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

超级游戏迷 - 2008-11-21 15:37:00

这个病毒是什么杀软报的？

如果是诺顿报的，可以参考一下这篇文章：http://www.hackeye.com/article/1698/

dafeng260 - 2008-11-21 15:43:00

这是扫描报告，和一张病毒报告截图，详细地址为 C:\Documents and Settings\acer\Local Settings\Temporary Internet Files\Content.IE5\14OB99GP\gg[1].htm, （其中14OB99GP为可变，在content.ie5的所有子文件夹中都有），11月18号我用杀毒软件查了这些文件夹都没有gg[1].htm这个文件，20号升级杀毒软件后查处中了 bloodhound.Mbr 病毒，但是处理方式是修复失败，受影响区域为1个主引导纪录驱动器128的主引导纪录。

附件: 新建文本文档.txt

aaccbbdd - 2008-11-21 15:53:00

楼主是否在局域网？

C:\WINDOWS\system32\regcsp.exe
发上来看看

启动项目－－服务－－驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[gpwyrp / gpwyrp6][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\gpwyrp6.sys><N/A>
[eract / eract][Stopped/Boot Start]
<\SystemRoot\system32\drivers\eract.sys><N/A>
[zwd / zwdu][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\[zwd / zwdu][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\zwdu.sys><N/A>
><N/A>

超级游戏迷 - 2008-11-21 15:54:00

以下项目可疑：
==========================
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<gdmvsqil><; > [N/A]
驱动程序
[eract / eract][Stopped/Boot Start]
<\SystemRoot\system32\drivers\eract.sys><N/A>
[gpwyrp / gpwyrp6][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\gpwyrp6.sys><N/A>
[int15 / int15][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\int15.sys><N/A>
[zwd / zwdu][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\zwdu.sys><N/A>
===========================
建议将以下文件用WINRAR压缩工具找到并压缩，提交压缩包到“可疑文件交流区”鉴定：
c:\windows\system32\drivers\eract.sys
c:\windows\System32\DRIVERS\gpwyrp6.sys
C:\WINDOWS\system32\drivers\int15.sys
c:\windows\System32\DRIVERS\zwdu.sys

aaccbbdd - 2008-11-21 15:57:00

应该是ARP病毒

楼主是否安装ARP防火墙？

dafeng260 - 2008-11-22 22:10:00

附件里有regcsp.exe文件的压缩包，我确实是在局域网内，通过公司的光缆上网，网内有大约50台机子同时上线，有5～10台有问题。
打开网页是回弹出一个网址：http://x.cruze3.cn/office.htm

附件: RegCsp.rar

aaccbbdd - 2008-11-22 22:13:00

公司？
全部安装ARP防火墙

http://buy.duba.net/download/

dafeng260 - 2008-11-22 22:24:00

启动项目－－服务－－驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[gpwyrp / gpwyrp6][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\gpwyrp6.sys><N/A>
[eract / eract][Stopped/Boot Start]
<\SystemRoot\system32\drivers\eract.sys><N/A>
[zwd / zwdu][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\[zwd / zwdu][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\zwdu.sys><N/A>
><N/A>

这个这么弄，能否说具体点，还有我公司的其它机子我管不了，只能管自己的机子了

aaccbbdd - 2008-11-22 22:27:00

你先安装你的么。。。。。。。。。

启动项目－－服务－－驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[gpwyrp / gpwyrp6][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\gpwyrp6.sys><N/A>
[eract / eract][Stopped/Boot Start]
<\SystemRoot\system32\drivers\eract.sys><N/A>
[zwd / zwdu][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\[zwd / zwdu][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\zwdu.sys><N/A>
><N/A>

看不懂？还是？

dafeng260 - 2008-11-22 22:31:00

看不懂，请具体指示怎么操作

aaccbbdd - 2008-11-22 22:35:00

看不懂哪段？
要图么？

dafeng260 - 2008-11-22 22:37:00

启动项目－－服务－－驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

启动项目在那里？
我已经安装360arp防火墙，但是没有用

aaccbbdd - 2008-11-22 22:44:00

让你安装金山的。。。。。。。。。

看图

dafeng260 - 2008-11-22 23:02:00

安装金山的什么东西？

aaccbbdd - 2008-11-22 23:04:00

ARP防火墙

http://buy.duba.net/download/

dafeng260 - 2008-11-22 23:06:00

给个qq号我算了

凡尘之沙 - 2008-11-22 23:15:00

lz是这个吧bloodhound.mbr
Bloodhound这个主名本来是对于DOS下的一个感染COM以及EXE的病毒的命名

在WINDOWS时代，则作为MACRO VIRUS(宏病毒)的一种的命名

Bloodhound.MBR——MBR代表了主引导扇区

symantec的解释是当系统内同时安装了GHOST以及打开了系统还原功能，并设置了高等级的检测方案时，就会因为软件之间的错误判别而出现提示

解决方法请按照兰色字的操作方式一步步进行

凡尘之沙 - 2008-11-22 23:17:00

Norton AntiVirus 2004扫描报告出现检测到一个未知病毒"bloodhound.mbr"。
Norton AntiVirus软件使用名为Bloodhound启发式扫描可以检测不同类型的未知病毒。

受影响的配置

运行Microsoft Windows XP系统且安装有IBM应急与恢复系统（IBM Rescue and Recovery）软件，
并在Norton AntiVirus 2004软件的Bloodhound设置中设置了“最高防护级别”

解决方法

按照下列步骤，将Bloodhound设置更改为缺省设置：

1. 启动Norton AntiVirus.
2. 点击选项.
3. 点击自动防护.
4. 双击Bloodhound.
5. 选择默认防护级别（推荐）.
6. 点击确定.
7. 重复3-6步更改手动扫描设置.
8. 在第3步，以手动扫描替代自动防护.
9.退出Norton Anti-Virus.

dafeng260 - 2008-11-22 23:31:00

谢谢！这个bloodhound.mbr的问题解决了，还剩arp的问题了！

aaccbbdd - 2008-11-22 23:34:00

怎么解决的？

金山ARP防火墙没装？

没反应？。。。。。。。

dafeng260 - 2008-11-23 0:26:00

bloodhound.mbr的问题就是按照上面那位说的做，应该是norton的bug。
但是我的机子的确是有毒，但是norton最新的更新都查不出，只能拦截，用了360和金山的arp防火墙都没用，还是不停的弹出我贴出的那张图的病毒警报，但就是查不出毒来！

dafeng260 - 2008-11-23 0:39:00