电脑中毒了,重装数次,全盘格式化以后,再上网病毒又来了(已解决) bbs.ikaka.com

byxxdrls - 2009-1-3 16:22:00

如果不重要就删除吧，如果很重要的又是自解压型的，那可以保留，用压缩软件解压（不要让它自解压）后删除原程序。千万不要再运行这些程序了。

其实那些被感染的程序应该是被破坏而无法运行的（如果能运行，说明可能未被感染，那你病毒反复发作的原因就可能和局域网有关了）。你可以上传一个上来让天月替你看看。

backway - 2009-1-3 16:25:00

LZ可以再尝试一个方法：
先下载深度PE：http://www.greendown.cn/soft/9900.html，这可以在别的机子上下载，放到U盘上。原格式是rar的，解压后是iso格式的，如果有虚拟光驱的话，加载它，打开虚拟后的光驱，之后出现界面，安装PE到硬盘上。如果没有虚拟光驱的话，再解压iso文件，有个setup（彩色图标），打开，再按提示安装
再下载绿色版大蜘蛛：ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe，之后重启电脑，启动菜单里选择PE进入，用大蜘蛛全盘扫描电脑，不需更新。

rock1234 - 2009-1-3 16:26:00

我这台机器已经弄了快三个月了,按照你的方法重装以后应该没有问题了吧.我还想确定一下应该不是有人攻击我的端口吧

rock1234 - 2009-1-3 16:31:00

你这个有什么作用啊?我现在2分钟重启一次ie帖子都看不完,无奈了

天月来了 - 2009-1-3 16:33:00

至于病毒怎么来的，需要知道你是否会用这电脑开网页浏览

以及使用移动存储设备

这目前就是来病毒的两大方面

至于你说的被攻击，很简单就可以知道，你重弄好，没问题以后，安装防火墙，然后可以忍住不开任何网页，不使用任何移动存储设备，看情况怎样，如果原本好好的，只是连着网，什么都没做的情况下，又来这玩意，就可能被攻击，但是你不需要往这上面想，一般不是这原因

绝大多数是开网页中毒以及使用移动存储设备中毒

天月来了 - 2009-1-3 16:35:00

这病毒手工处理需要绕来绕去的做事

你还是别听他们的了

再折腾下去，又要一天过去了

你如果方便，就我说的那些个注意事项去做吧。

天月来了 - 2009-1-3 16:36:00

或者你愿意重装前手工处理试试

我们就来试试

愿意吗？

但是就怕你系统支撑不住了

rock1234 - 2009-1-3 16:42:00

我这电脑刚才竟然播放了一段音乐.

天月来了 - 2009-1-3 16:44:00

如果你愿意

就去非系统盘，找几个几百kb的.exe文件来

rock1234 - 2009-1-3 16:45:00

我现在回贴困难,关的太快了

rock1234 - 2009-1-3 16:46:00

我现在只要一个能让我多支撑一下,把问题问完的方法.

rock1234 - 2009-1-3 16:47:00

因为估计系统快崩溃了

rock1234 - 2009-1-3 16:48:00

狂跳广告,我之所以认为有人攻击是因为前十天我没有上网每天一个小时以上没有问题,今天就上了一下新浪马上感觉中了

aaccbbdd - 2009-1-3 16:50:00

发个不在系统目录里的EXE文件
上传上来

rock1234 - 2009-1-3 16:50:00

天月现在好一点了,你告诉我一下要找哪几个文件吧

天月来了 - 2009-1-3 16:53:00

那你应急这样做

这里附件下载Wsyscheck工具

附件: 123.exe.txt (2009-1-3 16:52:48, 421 K)
该附件被下载次数 205

直接下载在系统Windows文件夹内

然后将其扩展名.txt去掉。

运行试试

如果能运行起来，就终止系统进程内除下面进程外的其他任何进程

[PID: 440 / SYSTEM][\SystemRoot\System32\smss.exe]
[PID: 504 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe]
[PID: 528 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]
[PID: 572 / SYSTEM][C:\WINDOWS\system32\services.exe]
[PID: 584 / SYSTEM][C:\WINDOWS\system32\lsass.exe]
[PID: 752 / SYSTEM][C:\WINDOWS\system32\svchost.exe]
[PID: 820 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe]
[PID: 916 / SYSTEM][C:\WINDOWS\System32\svchost.exe]
[PID: 972 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe]
[PID: 1060 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe]
[PID: 1496 / song][C:\WINDOWS\Explorer.EXE]
[PID: 1968 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe]
[PID: 1380 / SYSTEM][C:\WINDOWS\system32\svchost.exe]
[PID: 3384 / song][C:\WINDOWS\system32\ctfmon.exe]
[PID: 1900 / song][C:\Program Files\Internet Explorer\IEXPLORE.EXE]

天月来了 - 2009-1-3 16:56:00

还用那工具，文件管理项里找下面文件复制发来。

可以将文件扩展名后加.txt即可发来

C:\Program Files\Internet Explorer\exckedt.dll
C:\WINDOWS\System32\RemInst\smss.exe
C:\Program Files\Rising\Rfw\RegGuide.exe
C:\Program Files\StormII\stormSrv.exe

rock1234 - 2009-1-3 16:57:00

传了一个用友控制程序,你看看

rock1234 - 2009-1-3 16:58:00

我断网去试了,希望可以:default9:

天月来了 - 2009-1-3 17:05:00

然后你联网或使用电脑正常的话，一直维持就那些系统进程和那工具开启
其他任何东西不要再动了

下载下面附件

附件: 释放的.exe.txt (2009-1-3 17:05:04, 2044 K)
该附件被下载次数 174

还是直接下载在系统Windows文件夹里，去掉.txt扩展名，运行扫描日志来。

我还忘记了，前面的所有操作，可能需要卸载安全软件

因为你终止不了瑞星杀毒软件的进程

:default3:

天月来了 - 2009-1-3 17:06:00

那文件在线检测，没一个报的

应该未被感染

rock1234 - 2009-1-3 17:17:00

瑞星我和它搏斗3回合后貌似被我禁了,你说的其他文件上传就剩一个了,除了我开始上传的那个,我再上传一个 ie下的那个竟然是被瑞星杀掉了!汗

天月来了 - 2009-1-3 17:20:00

现在不要再断网了

上日志我看情况怎样

其他盘文件继续找几个来

rock1234 - 2009-1-3 17:24:00

日志好了.我这个文件是在d盘的是不是证明没有事情,就用你在那个贴子里面的网站查是吗?

天月来了 - 2009-1-3 17:27:00

恩，就用那些网站检测的。

:default6:

再发东西这么发

点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了

rock1234 - 2009-1-3 17:31:00

呵呵,那这个文件里面好像也被替换了啊,其他盘的文件我自己查吧,节省你的时间.是要抽样还是只要确定里面的exe一个盘一个没问题就可以了

附件: RegGuide.txt

rock1234 - 2009-1-3 17:38:00

日志怎么样,还有问题吗?我查了其他盘的文件都没问题

天月来了 - 2009-1-3 17:42:00

还用刚才的Wsyscheck工具

点击“文件管理”项，取消最下面窗框下的“仅显示隐藏文件”的勾，在文件管理项左边窗口内，依次点击磁盘盘符，在右边大窗口找每个磁盘根目录下的下面文件，右键菜单选择“直接删除”不论删除结果如何继续下面操作。
删除：
C:\WINDOWS\QADKZNPVYVG.log
C:\WINDOWS\QADKZNPVYVG.log
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：
启动项目
注册表
<UnlockerAssistant><"D:\Program Files\Unlocker\UnlockerAssistant.exe"> []
————————————————————————————————————
将下面这个先剪切到其他地方，等系统情况正常后，再折腾回来
==================================
启动文件夹
[服务管理器]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\服务管理器.lnk -->
—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项，将启动类型改为“Disabled”
==================================
服务
[LayerXpath / ccosmSrv][Stopped/Auto Start]
<C:\Program Files\StormII\stormSrv.exe /asservice><(File is missing)>

[PoliceTime / PoliceTime][Stopped/Auto Start]
<C:\WINDOWS\TimeWinRGB.exe -PathMini><(File is missing)>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除，
==================================
驱动程序
[YahooError / 1230970275][Stopped/Manual Start]
<\??\C:\WINDOWS\QADKZNPVYVG.log><N/A>

[SpecialMini / 1230972109][Stopped/Manual Start]
<\??\C:\WINDOWS\QADKZNPVYVG.log><N/A>

你说按照aabbccdd的操作，怎这两驱动没删除呢？

重启电脑看情况怎样

瑞星杀毒软件去开始菜单找瑞星的“添加删除组件”选择“修复”试试

天月来了 - 2009-1-3 17:45:00

如果没异常

就得你自己观察一阵看了

记得升级杀毒软件，打打系统补丁

还有一定要记得如果以后在出现病毒时到底做什么事导致病毒出现

rock1234 - 2009-1-3 17:53:00

C:\WINDOWS\QADKZNPVYVG.log
文件已经不存在就剩一个同名文件夹
unlocker 我已经从启动删掉
驱动程序
[YahooError / 1230970275][Stopped/Manual Start]
<\??\C:\WINDOWS\QADKZNPVYVG.log><N/A>

[SpecialMini / 1230972109][Stopped/Manual Start]
<\??\C:\WINDOWS\QADKZNPVYVG.log><N/A>
以上两个驱动是刚生成的,我开始按照他的方法杀是关闭了5个一样的,刚才又多出来了1个总共三个

瑞星卡卡安全论坛