瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 无名病毒删除后,无法修复EXE文件,紧急求救
没事发发呆 - 2007-2-7 23:34:00
昨天中了不知名病毒,每个驱动器下多了autorun.inf和pagefile的dos快捷方式,在system32的com里面多了两个病毒文件smss.exe和lsass.exe,在安全模式把病毒杀完后,病毒不再出现,但不知道怎么修复被感染的EXE文件,每次打开EXE就会激发病毒!紧急求救

附件: 728357200727232447.jpg
sanjingshou - 2007-2-7 23:42:00
你中的可能是传说中的最NB的病毒
杀毒后无法修复被感染的文件,只能删除了~~
因为文件已经被病毒替代,无法还原了~~
请把病毒样本压缩发到我的邮箱,谢谢
花花公子与小赖虫 - 2007-2-8 0:20:00
可以修复,用专杀工具就OK
sanjingshou - 2007-2-8 0:29:00
引用:
【花花公子与小赖虫的贴子】可以修复,用专杀工具就OK
………………

不是吧
文件被病毒替代了,不是想熊猫那样只是在开始和结尾加代码~~~
花花公子与小赖虫 - 2007-2-8 0:40:00
可以的,以前我也遇到过这种病毒.
我是在一个电脑网站里看到了,写得挺好的.
花花公子与小赖虫 - 2007-2-8 0:41:00
楼主中的应该是橙色八月,用专杀也可以修复的.
花花公子与小赖虫 - 2007-2-8 0:45:00
楼主看下面的解决方法,从网站里找的,以前我也遇到过,因为没有找到好的方法,最后装了系统。偶然的一次吧,让我给发现了。呵呵。。很管用的。

解决“落雪”病毒的方法

  病状:D盘双击打不开,里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。

D盘里就两个,搞得你无法双击打开D盘。里盘里的就多了!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe

  对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不要运行任何程序,要不就又启动了,包括双击磁盘还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要杀掉她!!

C:\Windows\WINLOGON.EXE 这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。

  这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会呆在你的进程里! 我现在所知道的就这些,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的, 连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!

  知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,
进注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!

  然后注销! 重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。 到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。

  我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。

  然后,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com .我也会用com文件,然后双击这个COM文件,然后行动可以进入到DOS下的命令提示符。

再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*

  这样exe文件就可以运行了。 如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。

  但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置.

  最后说一下怎么解决开机跳出找不到文件“1.com”的方法:
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
大功告成!大家分享一下吧!

     

 
 
 

sanjingshou - 2007-2-8 0:49:00
如果是这样的话~~
那么顶了
KAKA社区的斑竹也写过这个的,以前在置顶
花花公子与小赖虫 - 2007-2-8 0:53:00
呵呵..谢谢啊,不过之方法还真的特管用.
我再维修电脑之家的网站里找的,有时间你去看看.
没事发发呆 - 2007-2-8 17:55:00
谢谢楼上两位热心朋友,我今天上班,没来得及看,今天在公司找到了这几篇文章,介绍了一下,但都没有给出很好的解决方法,我照上面方法试试,现在家里的电脑是再毒工作……

不过病毒好像不是落雪啊,是在system32里面的com文件夹里面多了lsass.exe和SMSS.EXE两个病毒
详情可参看下面的文章。


http://forum.ikaka.com/topic.asp?board=28&artid=8227096&page=1

http://forum.ikaka.com/topic.asp?board=28&artid=8223128&page=1

http://forum.ikaka.com/topic.asp?board=28&artid=8226437

没事发发呆 - 2007-2-8 20:56:00
扫描结果
Logfile of HijackThis v1.99.1
Scan saved at 20:43:54, on 2007-2-8
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\AntiSpyware\runiep.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\com\lsass.exe
C:\WINDOWS\system32\com\smss.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
D:\Program Files\TTPlayer\TTPlayer.exe
D:\Program Files\Ringz Studio\Storm Codec\mplayerc.exe
C:\WINDOWS\explorer.exe
D:\MyIEGB\MyIE.exe
D:\工具软件\ha_hijackthis_1991\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: WebThunderBHO - {00000AAA-A363-466E-BEF5-9BB68697AA7F} - D:\迅雷\anzhuang\WebThunderBHO_016.dll
O4 - HKLM\..\Run: [runeip] C:\Program Files\Rising\AntiSpyware\runiep.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - D:\迅雷\anzhuang\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\迅雷\anzhuang\Thunder\getAllurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用Web迅雷下载 - D:\迅雷\anzhuang\GetUrl.htm
O8 - Extra context menu item: 使用Web迅雷下载全部链接 - D:\迅雷\anzhuang\GetAllUrl.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra 'Tools' menuitem: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {52DF16E3-6C4F-4B22-8BAF-09263E463B48} (金山毒霸在线产品升级) - http://www.duba.net/cab/KOSInit.cab
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://password.qq.com/download/qqedit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF56A80-9D8B-4631-B7B1-388313E3ABDE}: NameServer = 202.103.224.68
O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - D:\PROGRA~1\KuGoo3\InExtend\KUGOO3~1.OCX
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O20 - AppInit_DLLs: 608769M.BMP
O20 - Winlogon Notify: System Safety Monitor - C:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll
O21 - SSODL: IPicture - {D9466D6A-0F7B-5892-A7E3-290F0343337E} - c:\program files\internet explorer\PLUGINS\IPictureEx.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Application Management (AppMgmt) - Unknown owner - C:\WINDOWS\system32\AppMgmt.exe (file missing)
O23 - Service: Plus Working Service (PlusService) - Unknown owner - C:\WINDOWS\system32\plusservices.exe (file missing)
O23 - Service: RpcService - Unknown owner - C:\WINDOWS\SYSTEM32\EXPLORE.EXE (file missing)

hzpan - 2007-2-8 21:22:00
可以修复大部分,但是被病毒破坏的程序,就得从新安装了.这个病毒我处理了好多,在流行时.......
没事发发呆 - 2007-2-9 8:49:00
我现在是把病毒删除后把感染的EXE再装一遍……不过有些安装文件都被感染了……5555,有些是我收藏的
我现在把感染的安装文件打包起来,等有人提出解决方法的时候再修复。谢谢大家
没事发发呆 - 2007-2-9 21:50:00
【回复“sanjingshou”的帖子】
病毒样本已经发到你邮箱了,希望能研究出个方法为民造福:)
1
查看完整版本: 无名病毒删除后,无法修复EXE文件,紧急求救
© 2000 - 2026 Rising Corp. Ltd.