瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 格硬盘和重装都无法清除的病毒,何人来解决?

12   1  /  2  页   跳转

格硬盘和重装都无法清除的病毒,何人来解决?

收藏
像风又像雾
头像
初生襁褓狮
  • 帖子:65
  • 注册: 2005-01-27
  • 来自:
发表于: 2005-09-12 10:26 | 只看楼主 短消息 资料
字号: 1楼

格硬盘和重装都无法清除的病毒,何人来解决?


我8月25日发现的病毒至今瑞星查不出的病毒

(基本情况:系统是windows 2000 sp4,用瑞星网络版未能查出病毒。
  出现的问题:不能上因特网(未杀毒前)和县局的局域网。在进程里发现有msusvc.exe mswinsck.exe cmd.exe ftp.exe winmgmt.exe文件,注册表和任务管理器无法使用。用进程杀手中止这几个进程后就能上网,但过一会这些进程又会出现。转到安全模式下,在winnt\system32\下发现了这些文件,将msusvc.exe mswinsck.exe文件删除,然后到注册搜索mswinsck.exe,发现在Filenamedmru等子键下有mmc.exe perhmon.exe sysmsvc.exe eq.exe tt.exe i.exe dc3.exe compq.exe mswinsck.exe msusvc.exe,删除了这些注册项。然后卸掉瑞星,装上卡巴,升级后进行全面扫描,杀掉了mmc.exe perhmon.exe sysmsvc.exe eq.exe tt.exe i.exe dc3.exe compq.exe mswinsck.exe msusvc.exe,这些病毒文件(病毒名是:backdoor.codbat.as trojan.win32.qhost back.door.win32.rbot.gen  trojan-downloader-bat.ftp.ab 等)杀完后重启,系统进程里只出现cmd regsvc.exe了,但卡巴常监控到有mswinsck.exe eq.exe tt.exe 病毒。可以上QQ和收发邮件了,但不能上因特网了。

注:在8月我就上报了一个病毒,但只收到瑞星公司的一封乱码信,上个星期我发了求助信以及病毒样本,但至今未收到瑞星公司的回信。(由于我在萧心论坛发了求助贴,有人上报了病毒,可以杀msusve.exe文件和compq.exe文件了)
  我是绝对的正版用户(既有单机版,也有网络版和下载版,既有2002版也有2004、2005版。

附3个不能发现的病毒样本
由于压缩文件不有上传,我就上传到我的网络硬盘里了。地址:http://free.ys168.com/?lxj1007-b



新加内容:用卡巴斯基全面扫描后如今虽然可以上网了,但outlookexprees邮箱不能您好发邮件了。
最后编辑2005-09-12 18:30:38
分享到:
gototop
 
像风又像雾
头像
初生襁褓狮
  • 帖子:65
  • 注册: 2005-01-27
  • 来自:
发表于: 2005-09-12 10:33 | 只看楼主 短消息 资料
字号: 2楼

这是我在萧心论坛发的求助贴。http://bbs.52happy.net/read.php?tid=94353&fpage=1
gototop
 
CAJINCHEN
头像
初生襁褓狮
  • 帖子:375
  • 注册: 2005-07-30
  • 来自:
发表于: 2005-09-12 10:40 | 短消息 资料
字号: 3楼

http://www.virustotal.com/flash/virustotal_en.html可扫描样本.
gototop
 
像风又像雾
头像
初生襁褓狮
  • 帖子:65
  • 注册: 2005-01-27
  • 来自:
发表于: 2005-09-12 11:08 | 只看楼主 短消息 资料
字号: 4楼

楼上的网址打不开
gototop
 
像风又像雾
头像
初生襁褓狮
  • 帖子:65
  • 注册: 2005-01-27
  • 来自:
发表于: 2005-09-12 14:08 | 只看楼主 短消息 资料
字号: 5楼

没人帮忙,自己顶上来
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-09-12 14:14 | 短消息 资料
字号: 6楼

这个只能等班竹.
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-12 15:16 | 短消息 资料
字号: 7楼

【回复“像风又像雾”的帖子】
mswinsck.exe(bot后门)的查杀

1/结束病毒进程mswinsck.exe。
2/删除%system%文件夹中的mswinsck.exe。
3/清理注册表:

依次展开下列分支:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa
删除每个分支下的:
"Microsoft Winsock"="mswinsck.exe"
4/杀毒后,去微软打补丁。
_________________

那个IIsas.exe也是个BOT后门。有时间,再看看它怎么杀。
这类后门的查杀都比较简单。关键在于预防(打上所有的补丁/关闭不必要的系统服务/给系统用户设置复杂口令)。

那个Agentsvr是系统文件,不是病毒。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-12 16:14 | 短消息 资料
字号: 8楼

【回复“像风又像雾”的帖子】
IIsas.exe的查杀


1/结束病毒进程IIsas.exe
2/删除%system%下的IIsas.exe
3/清理注册表:

依次展开下列分支:
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

删除上述每个分支下的:
"Windows LSASS Service"="IIsas.exe"
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-09-12 16:16 | 短消息 资料
字号: 9楼

呵呵,收藏
gototop
 
像风又像雾
头像
初生襁褓狮
  • 帖子:65
  • 注册: 2005-01-27
  • 来自:
发表于: 2005-09-12 17:50 | 只看楼主 短消息 资料
字号: 10楼

晕,我在注册表里全删了也不行啊。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT