我家的电脑感染了P2P-Worm.Win32.Agent.ho 病毒，请问怎样才能够清除它？ bbs.ikaka.com

浪子轩辕剑 - 2009-2-5 16:32:00

引用:

原帖由 kevin920 于 2009-2-5 16:28:00 发表
直接格式化吧！U盘没那么重要！

我把U盘格了然后传几个杀毒工具回去试试？？

天月来了 - 2009-2-5 16:33:00

你如果U盘内没重要文件，你就格呗

浪子轩辕剑 - 2009-2-5 16:35:00

引用:

原帖由 天月来了 于 2009-2-5 16:33:00 发表
你如果U盘内没重要文件，你就格呗

在图书馆的电脑上我没有执行格式化的权限，但在我家的电脑上格完了还是有病毒在。

天月来了 - 2009-2-5 16:37:00

你除了你会用的什么工具，你自己带些回去

现在的的U盘和系统，你下载下面附件，解压到桌面上扫描一下试试

附件: AntiFldVir.rar

天月来了 - 2009-2-5 16:38:00

这附件带回家去，电脑内扫描吧

浪子轩辕剑 - 2009-2-5 16:41:00

多谢各位！我先撤了。

天月来了 - 2009-2-5 16:44:00

唉

忘记说了

他得将自己有问题的系统的SRENG日志以后记得发来呢:default3:

backway - 2009-2-5 16:54:00

汗先前没看到他说用的是图书馆的电脑
别中的是感染型病毒:default3:

天月来了 - 2009-2-5 17:04:00

那个带图标的几十kb的那个，可能是感染型的

可惜大蜘蛛不杀

其他杀毒软件没绿色版的可以复制带回去杀

瑞星可惜一直不敢做个大蜘蛛那样的绿色的。

backway - 2009-2-5 17:12:00

以后可能有吧不确定
其实有时候回帖很想先让别人尝试用绿色大蜘蛛全盘扫描试下，不行再来反应
其实在PE下用大蜘蛛扫描能解决很多问题修复能里也强。、

浪子轩辕剑 - 2009-2-6 13:56:00

引用:

原帖由 天月来了 于 2009-2-5 16:44:00 发表
唉

忘记说了

他得将自己有问题的系统的SRENG日志以后记得发来呢:default3:

我昨天用了各位提供的专杀工具，清除了一部分病毒，不过貌似还没有清除干净，我的硬盘和U盘上还是会自动出现inf和那样的文件。

附件: SREngLOG.log

浪子轩辕剑 - 2009-2-6 14:15:00

大家帮帮我啊......

ASkill - 2009-2-6 14:19:00

下载指令文件按我签名里的帖子操作

附件: del.rar

ASkill - 2009-2-6 14:26:00

c:\windows\system32\drivers\pe3ach4f.sys
c:\windows\system32\drivers\ps6ach4f.sys
这两个好像也有问题

http://f.360.cn/zslib.html?fs=na&tf=pe3ach4f.sys 楼主到这里提交一下这两个文件对比一下

浪子轩辕剑 - 2009-2-6 14:28:00

引用:

原帖由 ASkill 于 2009-2-6 14:26:00 发表
c:\windows\system32\drivers\pe3ach4f.sys
c:\windows\system32\drivers\ps6ach4f.sys
这两个好像也有问题

[url=http://f.360.cn/zslib.html?fs=na&tf=pe3ach4f.sys]http://f.360.cn/zslib.html?fs=na&tf=pe3

什么意思？

ASkill - 2009-2-6 14:31:00

那你系统里的那两个文件上传到那个网址它会帮你分析的了

浪子轩辕剑 - 2009-2-6 14:37:00

引用:

原帖由 ASkill 于 2009-2-6 14:31:00 发表
那你系统里的那两个文件上传到那个网址它会帮你分析的了

我用的是图书馆的公用电脑，感染病毒的是我家电脑，这样可以么？

天月来了 - 2009-2-6 14:38:00

———————————————————————
这里下载手工清理木马群工具包，并解压至C盘任意文件夹里。（全部工具内附操作说明）：
http://bbs.ikaka.com/attachment.aspx?attachmentid=480689
———————————————————————
首先用工具包内的“文件提取工具”提取下面文件，（内附说明图）

C:\WINDOWS\system32\Userinit.exe （这个文件我只是为了看看，你千万别删除哟，删除了，就死定了）
c:\windoxp32.dll
C:\WINDOWS\vchelper.dll
C:\WINDOWS\system32\svrhost.dll
C:\WINDOWS\system32\IEBHO.dll
C:\WINDOWS\system32\drivers\suchost.exe
c:\program files\microsoft office\media\winhost.exe

不论提取结果如何，继续下面操作。
———————————————————————
然后用工具包内的“XDELBOX删除文件工具”去删除下面文件。工具包必须全部解压至C盘后应用。

如果XDELBOX工具操作中提示出错，不能操作，可以继续使用工具包内其他SmtDel工具、费尔工具、超级巡警、EasyDelete工具删除病毒文件。（全部内附操作说明图）

启动XDELBOX程序。复制粘贴下面文件操作删除：

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\FC0272.lnk
c:\windoxp32.dll
C:\WINDOWS\vchelper.dll
C:\WINDOWS\system32\svrhost.dll
C:\WINDOWS\system32\IEBHO.dll
C:\WINDOWS\system32\drivers\suchost.exe
c:\program files\microsoft office\media\winhost.exe

重启电脑自动运行完毕进入系统后，不论删除结果如何立即继续下面操作。
———————————————————————
用工具包内的“映像劫持清除工具”（有操作说明）,清除检测到的所有映像劫持项。没有就不管它了。
尽量反复检测几遍。
——————————————————————————————————————
手工直接去IE浏览器的菜单里找“工具”项里选择“internet选项”点击后跳出的界面里的“常规”项内点击“删除文件”勾选“删除脱机文件”再点“确定”清空IE缓存。

用工具包内的“系统垃圾文件清理工具”清空能清空的垃圾文件，不能清空的不管它
————————————————————————————————————
再重启电脑，
用W i n d o w s 清理助手，清理你那系统。（可以在其他电脑上升级后复制到你的电脑内使用）
W i n d o w s 清理助手下载：http://www.arswp.com/

天月来了 - 2009-2-6 14:41:00

记住我需要那些文件

现在还需要你U盘内的那些生成的文件看看

浪子轩辕剑 - 2009-2-6 14:49:00

恩，我了解，多谢天月斑竹，不过我U盘里的生成文件时有时没有，现在没有了，不过在我家电脑上还有

天月来了 - 2009-2-6 14:52:00

:kaka3:

这么神奇:kaka6:

对了

我忘记说了

日志看到你的瑞星杀毒软件已经被破坏

彻底卸载吧

如果你有正版的光盘版的瑞星，可以选择去官方下载最新版本的安装包和升级包，安装升级的。

随缘92WJC - 2009-2-6 14:57:00

刚下了你的文件，结果刚下来就被瑞星干了，PS本人没有虚拟机，如果压缩后上传就好了

浪子轩辕剑 - 2009-2-6 14:58:00

好的，多谢！

浪子轩辕剑 - 2009-2-9 13:31:00

我来了，前两天有一些事情所以没来。多谢大家对我的帮助，我用了天月的方法后清除了病毒，不过貌似没有清楚干净。病毒文件一会有一会没有是因为我装了这里前面某个朋友给我提供的工具，病毒一面生成那个专杀工具一面删除。天月要的文件我忘了带，抱歉！这是我病毒生成的文件和用天月的方法杀完毒扫描的日志。

附件: autorun.rar

附件: SREngLOG.log

浪子轩辕剑 - 2009-2-9 13:39:00

再次呼唤天月斑竹

天月来了 - 2009-2-9 13:40:00

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804
删除：
C:\WINDOWS\system32\drivers\suchost.exe
C:\Autorun.inf
C:\　　　.exe
D:\Autorun.inf
D:\　　　.exe
E:\Autorun.inf
E:\　　　.exe
F:\Autorun.inf
F:\　　　.exe

不论删除结果如何立即重启电脑，看情况如何。

注意插入移动硬盘或U盘等移动存储设备时，必须先按住“Shift”键不放，等系统硬件检测完毕，才可以松开此键，再用WinRAR打开删除下面类似病毒文件：

Autorun.inf
　　.exe （就是名字是空格的.exe文件）

aaccbbdd - 2009-2-9 13:42:00

开始-运行
%programfiles%
删除里面的全部EXE文件

1.建议使用XDelBox删除以下文件：(XDelBox1.8下载)
使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，（在待删除文件列表里点击右键选择从剪贴板导入不检查路径，）选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\windows\system32\drivers\suchost.exe
c:\windows\vcbar11.dll
c:\windows\svrhost.dll
c:\windows\vchelper.dll
C:\　　　.exe
D:\　　　.exe
E:\　　　.exe
F:\　　　.exe
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[Explorer] <C:\WINDOWS\system32\drivers\suchost.exe>
[IFEO[360Safe.exe]] <ntsd -d>
[IFEO[360Safe.exe]] <ntsd -d>
[IFEO[360Safe.exe]] <ntsd -d>
[IFEO[360tray.exe]] <ntsd -d>
[IFEO[AVP.exe]] <ntsd -d>
[IFEO[CCenter.exe]] <ntsd -d>
[IFEO[RavMon.exe]] <ntsd -d>
[IFEO[RavMonD.exe]] <ntsd -d>
[IFEO[RavMonD.exe]] <ntsd -d>
[IFEO[RavStub.exe]] <ntsd -d>
[IFEO[RavTask.exe]] <ntsd -d>

系统修复－－　浏览器加载项之如下项删除：
[搜虎] <C:\WINDOWS\vcbar11.dll>
[搜虎] <C:\WINDOWS\vcbar11.dll>
[CPub Object] <C:\WINDOWS\svrhost.dll>
[CPub Object] <C:\WINDOWS\svrhost.dll>
[Helper Class] <C:\WINDOWS\vchelper.dll>

**************以上分析报告由SREngLog分析助手提供******************
分析：小狮子
时间：2009-2-9
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生)

浪子轩辕剑 - 2009-2-9 13:44:00

引用:

原帖由 天月来了 于 2009-2-9 13:40:00 发表
这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804
删除：
C:\WINDOWS\system32\drivers\suchost.exe
C:\Autorun.inf
C:\　　　.exe
D:\Autorun.inf
D:\　　　.

果真是天月来了，药到病除。今天我回家试试，那天你要看的文件还要么？昨天我一着急给忘了。

aaccbbdd - 2009-2-9 13:47:00

C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\userinit.exe

最好使用
http://bbs.ikaka.com/showtopic-8417665.aspx
2楼正常文件替换本机的

C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\userinit.exe
疑似被感染

天月来了 - 2009-2-9 13:52:00

你这个到底怎么办呢？？

因为你没网络

没法升级杀毒软件杀毒耶

这怎办？？

日志显示你系统内的瑞星已经没用了

57楼和59楼说的你都得考虑

下面附件你下回去再试试吧

附件: AntiFldVir.rar

瑞星卡卡安全论坛