高校问答川崎宝马250改款:[急救!!]病毒杀不干净~!
来源:百度文库 编辑:高校问答 时间:2024/04/29 22:52:03
1.大概一星期前遭遇流氓软件IE-BAR,使用完美卸载删除后搞定.
2.前几天开机时卡巴斯基不断弹出警告,遭到广告病毒或木马程序攻击,均相应做了处理:删除;或不能删除的拒绝访问.
3.昨天开始开机自启动一些莫名其妙的应用程序:例如10038.exe,cj.exe等,在进程管理器中可以结束,也可以到相应的文件夹下删除(system32下面),但再开机又自启动;
4.启动到安全模式下面全面杀毒(扫描所有文件),只扫出两个广告病毒,开机依旧;
5.网上查了资料,使用ewido(经升级)到安全模式下杀毒,杀出30个木马或广告病毒,其中5个为高危;
6.本以为就此完结,结果开机不知道由什么程序还是可以自行启动10038.exe,cj.exe等病毒程序,晕.......这些程序还是可以由进程管理器结束,但是治标不治本,再重启又出现,相当郁闷.
7.再在windows下用卡巴斯基查毒,查出
Trojan-PSW.Win32-Delf.jl;
Adware.Win32.Dm.o;
Adware.Win32.Dm.n;
Dropper.Agent.awb;
Adware.Dmad;以上病毒程序在网上搜索除最后一项均没有相关内容.现在上网什么的都可以,没有其他异常现象~~~
要求:请有经验的大虾指点杀毒方法,非常感谢!小弟在此奖励50分!
对自己方法不是很有把握的网友就请不要作答了,以免浪费大家的时 间,谢谢!!!
谢谢各位的回答
对icewind1972:我试过你的方法了,都手工删除了,hijackthis也 清理过了,还是没有用;
对YELLOK兄:难道兄弟中过?这个程序都找不到在哪里,系统刚启动时在桌面,在进程管理器中结束它后,就在桌面自动消失;
对我是拍黄瓜:这个方法好像不管用;
对lyf376363132和chizhenwei:超级兔子的专业清理不管用,可以检测也能删除插件,但是再重启又有了
对fantacy315:感谢友情赞助
这几天我也搞这个病毒,网上是没什么解法,病毒十分狡猾,看起来是灰鸽子的变种,通过调用IEXPLORE.exe自动下载种类很多的木马到机器上,大部分可以被杀软拦截。你看你的winnt\temp 和Documents and Settings\用户名\Local Settings\temp下有无win****(名字随机).exe,大小232k的文件,这种卡巴不报警,如果你开咔吧主动防御的话,清除后再次被感染时咔吧提示未知病毒。这种病毒最烦人的是下载的多种病毒,很多也是加载IEXPLORE进程的,搞的不容易分析最终是什么病毒。
这种病毒狡猾的地方是感染文件和正常的win程序名字没任何区别,svchost就是svchost,IEXPLORE就是IEXPLORE,这样我怀疑是每次启动后就感染正常的IEXPLORE程序,然后病毒就隐藏不动(打死也不动),这样杀软查不出,其后利用感染的IEXPLORE程序下栽别的木马,这样杀软只查出一些替罪羊,真正的“教唆犯罪者”隐藏幕后。
目前想的方法就是我先删除IEXPLORE.exe,让此病毒无法感染,这样病毒一直保持活动性,杀软就可查出。步骤是
1、双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹"清除"隐藏受保护的操作系统文件(推荐)"复选框。在提示确定更改时,单击“是”,清除“隐藏已知文件类型的扩展名)
2、安全模式下,查杀病毒,(此病毒比较特殊,未必能查出,不要紧)。
3、删除program filie/internet explorer/iexplore.exe(放回收站,不要彻底删除,要不你浏览器可就启动不了拉)
4、正常启动,查杀病毒,一般的杀软应该就查出了,估计在system32里。
5、记下病毒名,应该是个exe文件,运行注册表,查找病毒名,删除相关键值。
6、打开服务,根据刚才病毒名,禁用此项服务(如果是鸽子,必有)
7、恢复回收站里iexplore.exe文件。(不放心的话,可以安全模式下再查一遍,再恢复iexplore.exe.
此步骤完成后,发现每过30分钟左右,仍有病毒下栽,但数量大大减少,只有一个,每次都被ewido拦截,病毒名trojan.agent.hw,好象新变种。
此时怀疑还有1个“幕后教唆犯”,另一个估计是隐藏服务。
用冰刃监控,无发现,用winpatrol(没有就下载一个),发现服务svchost,和正常程序文件名没不同,唯一的不同是在winnt目录下和temp,正常的应该是winnt\system32下,好了,此项服务禁用,然后搜索,除了winnt\system32下的,其他全部删除,然后查注册表,路径非winnt\system32下的 svchost键值,(注意,名字完全一样,容易看花眼的)。在过程中,winpatrol要一直开着,因为会再次加服务的,提示加服务就阻止。
最后补充,清除过程可能需重复多次。
downloader病毒
病毒体文件名是一个dll文件,
不停的释放可执行文件在你的临时文件夹下面
一般隐藏在windows\system32下,
是个隐藏文件
你打开显示隐藏文件和系统文件
找到这个目录下面日期很新的不明EXE和DLL文件并且删除
另外,C:\, C:\Documents and Settings\你的用户名\Local Settings\Temp
也是这个病毒藏身的地方,把不明的可执行文件和DLL文件清除
同时使用hijackthis清理浏览器的不明劫持
我的电脑诺顿发现了这个病毒,最后是这样找到手工删除的
打开windows任务管理器,察看是否有可疑的进程在运行,如果有把它结束。(Rundll32.exe本身不是病毒,有可能一个dll文件在运行,他可能是病毒或恶意程序之类的东西。)
若无法结束,再察看控制面板〉管理工具〉服务,看有没有与之相关的 服务(特别是“描述”为空的)在运行,把它停止。同时设法查找这些恶意程序文件(如system32文件夹中是否有不明dll或exe文件,C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或染毒文件),然后删去!
转载请注明原作者恋曲2010
总的来说完美卸载和卡巴斯基配合用的效果不是很好~
建议你换成超级兔子和瑞星用,或者只用360安全卫士,(里面有免费的卡巴斯基),你可以超级兔子什么的先看一下有没有恶意软件,在进入安全模式全面杀毒一下,一般是没有什么问题的~
加入还是不行的话,就说明你的系统已经被改过了~那就不能亡羊补牢了~
那就需要重新做系统了~
CJ.exe这个程序卡巴查不出来,重装算了
你在注册表里搜索以下这些东西(10038.exe 。。。。。)然后找到一个杀一个。
然后再删除这些文件