轩辕小聪 - 2006-6-6 2:40:00
以下是真正的难点:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Tok-Cirrhatus><"C:\Documents and Settings\Administrator\Local Settings\Application Data\smss.exe">
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Bron-Spizaetus><"C:\WINDOWS\ShellNew\sempalong.exe">
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe "C:\WINDOWS\eksplorasi.exe">
[Empty]
<C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Empty.pif><N>
这四项的出现,可以肯定楼主中了一个十分难缠的恶性蠕虫病毒Worm.Brontok。
处理方法请参考http://forum.ikaka.com/topic.asp?board=28&artid=8075632
文中的C:\WINDOWS\ShellNew\bronstab.exe在楼主的机子中应用C:\WINDOWS\ShellNew\sempalong.exe来代替。
这是最关键的一步,也是最难的一步。如果这个病毒没有办法处理,可以说,其他的病毒的处理都会十分困难,因为它修改的注册表其中一项使得你不能显示隐藏的文件,而其他的病毒文件几乎都是隐藏的。
轩辕小聪 - 2006-6-6 2:47:00
本来以下的这个木马已经很变态了,但是上一个蠕虫的出现使我觉得它应该退居第二了,而这个木马正是楼主的D盘双击打不开的原因所在:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<ToP><C:\WINDOWS\LSASS.exe>
处理方法参考http://forum.ikaka.com/topic.asp?board=28&artid=7828861
注意,如果C:\WINDOWS\LSASS.exe进程(用户名是管理员帐户的那个)用任务管理器结束不了,就必须用IceSword了
IceSword可以在http://forum.ikaka.com/topic.asp?board=28&artid=6979213下载
具体使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7259392
其实只是光这个病毒,就足以让不少菜鸟朋友做出格盘重装的选择了。
樱空 - 2006-6-6 2:41:00
之后删除C:\WINDOWS\System32\NTdhcp.exe
这个删不掉~访问被拒绝
轩辕小聪 - 2006-6-6 2:43:00
如果楼主能自己搞定以上这些,那么楼主俨然已成了“准高手”了,其他的小角色就难不倒你了:
用SREng在“启动项目”-“注册表”中删除以下项目:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices]
<Microsoft><C:\WINDOWS\help\snvhost.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<supdate2.dll><RUNDLL32.EXE C:\WINDOWS\System32\supdate2.dll,Run>
删除C:\WINDOWS\help\snvhost.exe和C:\WINDOWS\System32\supdate2.dll
至此,楼主的机子才算基本在重重病毒的摧残下幸存了下来。
轩辕小聪 - 2006-6-6 2:52:00
| 引用: |
【樱空的贴子】之后删除C:\WINDOWS\System32\NTdhcp.exe
这个删不掉~访问被拒绝
........................... |
如果结束了进程就应该删得掉。重启后到安全模式下删也行。
junrenjunren - 2006-6-6 2:50:00
我电脑和你的一样也是右键才能打开D盘
轩辕小聪 - 2006-6-6 2:51:00
应该断网后查杀。楼主中的那个蠕虫很可能可以通过局域网传播,是个十分危险的病毒。
今天太晚了,只能说到这里了,楼主的机子中毒之重,实在罕见。
如果楼主自己搞不定,找身边比较懂的朋友帮你。不过说实在的,这种情况下的电脑,要全部手工把毒杀完(用杀软搞不定),还不如直接重装了来得干净。
樱空 - 2006-6-6 2:55:00
我也困了,我爸听了要重装非炸了不可,明天再说吧~我尽量试试吧实在不行,也只好重装了。辛苦了,轩辕~3Q
轩辕小聪 - 2006-6-6 3:08:00
| 引用: |
【樱空的贴子】我也困了,我爸听了要重装非炸了不可,明天再说吧~我尽量试试吧实在不行,也只好重装了。辛苦了,轩辕~3Q
........................... |
呵呵,让你爸看看那几个查杀方法的帖子,他恐怕会看得晕头转向,不得不同意你重装了。
轩辕小聪 - 2006-6-6 3:11:00
最后加上一句比较重要的个人建议:
看来楼主的电脑实在有点不设防了。其他的安全手段,对楼主不一定实用。建议楼主重装之后,或自己把病毒全部搞定,使一切恢复正常之后,为自己的瑞星防火墙装上自定义规则包。
规则包的下载地址在杭州志愿者论坛(http://bbs.hzva.org),防火墙自定义规则包版块。
这样楼主的防火墙的防卫力将增强不少,再也不会那么容易中毒了。
樱空 - 2006-6-6 10:11:00
之后删除C:\WINDOWS\System32\NTdhcp.exe
这个还是删不掉~访问被拒绝?
樱空 - 2006-6-6 10:43:00
[Management Instrumentation / Management Instrumentation]
<C:\WINDOWS\exploares.exe><N/A>
[Security Machine Manager / MouTALS]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>
这两个也没有啊
© 2000 - 2026 Rising Corp. Ltd.