瑞星卡卡安全论坛
首页
»
技术交流区
»
反病毒/反流氓软件论坛
»
中了一个木马毒,怎么都杀不掉,请问如何办
小带鱼 - 2010-7-25 9:49:00
我前几天在
www.xydown.com
,
www.91danji.com
的网站下载了几个游戏,装完了之后就中毒了,都是篡改浏览器主页,用瑞星全盘杀毒都杀不出来,每次开机,就会在浏览器(世界之窗)的快捷方式的目标一览最后留一串网址:
IE伴侣截图未命名.jpg
(84.61 K)
2010-7-25 9:48:48
请问如何能杀掉这种毒,我已经在安全模式下全盘杀过毒了。
百事灵回复:请升级瑞星至最新版本查杀。
leo108 - 2010-7-25 9:51:00
这属于恶意行为,瑞星不一定会杀,建议你扫个SRE报告上来,分析一下。
下载页面:
http://www.kztechs.com/sreng/download.html
操作方法:
1、下载后解压缩,运行SREngPS.EXE;
2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
4、选择保存路径,文件名保持默认,直接点击【保存】;
5、将“SREngLOG.log”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序.
天鹰之翼 - 2010-7-25 10:17:00
建议使用卡卡上网助手修复一下系统,如果还不行的话就参照这个帖子来执行:
http://bbs.ikaka.com/showtopic-8685996.aspx
如果还不行就按二楼地方法扫个日志上来吧。
小带鱼 - 2010-7-26 9:24:00
所有的方法都试了,有些方法的确可以修复,但重启之后又还原了。我觉得还是中毒了,瑞星杀毒都杀不出来。所以还是得麻烦各位老师帮忙看看。谢谢了
附件:
SREngLOG.log
天月来了 - 2010-7-26 9:37:00
用解压工具WinRAR依路径打开找这文件压缩发来:C:\WINDOWS\system32\fnuezug.dll
还有我置顶的帖子照着做完了么??
小带鱼 - 2010-7-26 9:55:00
是的,我已经按照您置顶的帖子里面的所有的方法都试了一遍,有些可以修复,但重启之后就没办法了。
按您说的,我去压缩C:\WINDOWS\system32\fnuezug.dll,发现报错,并且我尝试先拷贝出来,都会报错。
IE伴侣截图未命名1.jpg
(287.46 K)
2010-7-26 9:54:49
IE伴侣截图未命名.jpg
(254.62 K)
2010-7-26 9:54:49
天月来了 - 2010-7-26 10:10:00
下载FileTools工具(支持xp系统以及Win7系统)内附操作说明图
附件:
FileTools.rar
(右键选择“目标另存为”下载)本链接不支持迅雷等下载工具下载
运行工具,依路径打开文件夹找文件复制出来
实在不行,就我签名处的工具贴内找冰刃去复制出那文件。
愿意的话,将其改名,重启电脑,再看如何
还有你既然照我的贴子操作清理无效,那么怎不见日志呢???
很奇怪为什么所有人都是不愿意照我的贴试呢,最终都是反复追后面要日志,才给日志,唉
天月来了 - 2010-7-26 10:14:00
并且你注意那文件的时间,是2010年7月17日0.38分
那时候你做什么事了???
小带鱼 - 2010-7-26 11:54:00
不好意思,我看你的帖子里面那个扫描日志,以为跟本贴中2楼提到的日志一样,就只发了那个日志。现在补上日志,另外还有C:\WINDOWS\system32\fnuezug.dll这个文件的压缩包
附件:
QueryReg.log
附件:
fnuezug.rar
小带鱼 - 2010-7-26 11:55:00
2010年7月17日0.38分
那时正好在一个网站上下载了一个游戏,那个时候应该是刚刚把游戏安装好
RISING3JOB - 2010-7-26 21:11:00
楼主既然使用 the world浏览器,那修改方法很简单,就是把目标里面的 theworld.EXE后面的一串网站给去掉。。这是利用浏览器快捷方式访问某个网站的比较诡异的伎俩,呵呵
修改以后,尝试一下金山网盾的修复功能,一般碰到顽固的恶意网页的问题,金山网盾都可以解决
小带鱼 - 2010-7-26 21:48:00
很郁闷的告诉您,这个快捷方式目标一栏每次在每次重启的时候自动加上后面的网址
byxxdrls - 2010-7-26 21:53:00
如果这个文件强行删除后过段时间又出现了,那么我建议你在再次强行删除这个文件后,按机箱上的电源按钮,直接重启,或者直接切断电源
天月来了 - 2010-7-26 22:17:00
你的开机启动项内存在一个这样的启动项:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<vonn><%systemroot%\system32\rundll32.exe %systemroot%\system32\fnuezug.dll,DllRegisterServer> [File is missing]
应该就是它了,干掉fnuezug.dll文件,干掉启动项,即可解决
byxxdrls - 2010-7-26 22:38:00
那文件无法复制,应该是有驱动保护,我想到了前几天我电脑中的毒。
天月来了 - 2010-7-26 22:44:00
驱动呀,那就难了,得找其他工具了,因为SRENG日志那实在没本事看:kaka6:
byxxdrls - 2010-7-26 22:55:00
看看
http://bbs.janmeng.com/redirect.php?tid=938689&goto=lastpost#lastpost
就知道了,只有用你那个直接切断电源的方法既简单又实用。
小带鱼 - 2010-7-27 8:26:00
我用的是笔记本。直接关电源:自动关机。拔电源:有电池、、看来我得把电池给拔下来
小带鱼 - 2010-7-27 8:35:00
哇塞!可以了~弄好了~重启之后也不会出现了。太好了。感谢~感谢各位高手,特别感谢“天月来了”老师
byxxdrls - 2010-7-27 9:49:00
根据金山毒霸的检测,这病毒确实和我中的病毒是同一类型。
姿色年代 - 2010-7-28 3:06:00
该用户帖子内容已被屏蔽
qlcrabbit - 2010-7-28 12:28:00
右键我的电脑-属性-系统还原-“在所有驱动器上关闭系统还原”打勾
下载一个叫unlocker的软件,很小的,然后安装。C:windows\system32下找到zqnsky93.dll病毒文件,右击点击病毒文件,选择 unlocker进行解锁。然后就可以把病毒文件删除了。 再到C:windows\system32\drivers里面找到zqnsky93.sys用同样的方法删除。
然后在开始-运行-输入regedit 打开注册表编辑器,分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项)
unlocker下载地址
http://www.crsky.com/soft/5890.html
xiangshuihu - 2011-7-25 13:09:00
我也是呀,这个破网站
1
查看完整版本:
中了一个木马毒,怎么都杀不掉,请问如何办
© 2000 - 2024 Rising Corp. Ltd.
