瑞星卡卡安全论坛

中了该毒就上不了网了。整个网络都好卡！

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 1.1.4322)


附件: 83133420071122205409.txt

一、插上你中毒前用过的U盘，然后拔掉网线。

二、启动SRENG扫描工具，然后启动Icesword1.22（冰刃，我网盘有，地址见签名），文件--设置--勾选“禁止进线程创建”--确定；

三、用冰刃删除如下注册表值项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <RunD1l><C:\windows\system32\RunD1l.exe>  []
    <Zolen><C:\windows\boot\svchost \\192.168.0.240\start$\svchost.ini>  [N/A]
    <IMSCMig><C:\windows\system32\2008~1\lc.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe]
<IFEO[360safe.exe]><C:\windows\system32\2008~1\lc.exe>  [] 

四、用SRENG扫描工具删除如下服务：
[服务名 / svcname][Running/Auto Start]
  <C:\windows\system32\2008~1\20071122192044.exe><N/A>
[xinqing / xinqing][Stopped/Auto Start]
  <C:\windows\system32\2008~1\lc.exe><N/A>

五、用SRENG扫描工具删除如下驱动程序：
[XPROTECTOR / XPROTECTOR][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Xprotector.sys><N/A>

六、在冰刃窗口，文件--重启并监视，重启电脑；

七、在冰刃主窗口下，点“进程”标签，如果有下列进程，则结束之：
[PID: 348][C:\windows\system32\2008~1\lc.exe]  [N/A, ]
[PID: 1868][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX02.297\www.520poco.cn激烈 使劲 猛烈 欲望  男儿本色 动漫 动画 电影 外片 国片.exe]  [N/A, ]
[PID: 1152][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX04.204\www.520poco.cn激烈 使劲 猛烈 欲望  男儿本色 动漫 动画 电影 外片 国片.exe]  [N/A, ]
[PID: 1020][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX05.235\www.520poco.cn激烈 使劲 猛烈 欲望  男儿本色 动漫 动画 电影 外片 国片.exe]  [N/A, ]
[PID: 3372][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX07.500\www.520poco.cn激烈 使劲 猛烈 欲望  男儿本色 动漫 动画 电影 外片 国片.exe]  [N/A, ]
[PID: 2368][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX08.719\www.520poco.cn激烈 使劲 猛烈 欲望  男儿本色 动漫 动画 电影 外片 国片.exe]  [N/A, ]
[PID: 3224][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX10.094\www.520poco.cn激烈 使劲 猛烈 欲望  男儿本色 动漫 动画 电影 外片 国片.exe]  [N/A, ]
[PID: 2896][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.406\www.520poco.cn激烈 使劲 猛烈 欲望  男儿本色 动漫 动画 电影 外片 国片.exe]  [N/A, ]
[PID: 3568][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX03.046\www.520poco.cn激烈 使劲 猛烈 欲望  男儿本色 动漫 动画 电影 外片 国片.exe]  [N/A, ]
[PID: 1208][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.875\www.520poco.cn激烈 使劲 猛烈 欲望  男儿本色 动漫 动画 电影 外片 国片.exe]  [N/A, ]
[PID: 2088][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.844\www.520poco.cn激烈 使劲 猛烈 欲望  男儿本色 动漫 动画 电影 外片 国片.exe]  [N/A, ]
[PID: 320][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.156\www.520poco.cn激烈 使劲 猛烈 欲望  男儿本色 动漫 动画 电影 外片 国片.exe]  [N/A, ]

八、用冰刃和360FILEKILL配合删除以下文件（夹）：
C:\windows\boot\svchost.exe
C:\windows\system32\RunD1l.exe
C:\windows\system32\2008~1\lc.exe
C:\windows\system32\2008~1（删除该文件夹及其下所有文件）
C:\WINDOWS\system32\drivers\Xprotector.sys
I:\Autorun.inf（可能是U盘的，插上一起搞掉）
I:\2008~1\lc.exe（可能是U盘的，插上一起搞掉）
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp（清空该文件夹下的所有文件，删除不了的用冰刃的“强制删除”功能解决）

九、回到冰刃主窗口，文件--设置--取消“禁止进线程创建”的勾选--确定，重启电脑到安全模式，全盘杀毒。

提醒楼主：色是刮骨尖刀，好奇心太重了可不行啊，会付出代价的。

[PID: 348][C:\windows\system32\2008~1\lc.exe] [N/A, ]
[PID: 1868][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX02.297\www.520poco.cn激烈 使劲 猛烈 欲望 男儿本色 动漫 动画 电影 外片 国片.exe] [N/A, ]
[PID: 1152][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX04.204\www.520poco.cn激烈 使劲 猛烈 欲望 男儿本色 动漫 动画 电影 外片 国片.exe] [N/A, ]
[PID: 1020][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX05.235\www.520poco.cn激烈 使劲 猛烈 欲望 男儿本色 动漫 动画 电影 外片 国片.exe] [N/A, ]
[PID: 3372][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX07.500\www.520poco.cn激烈 使劲 猛烈 欲望 男儿本色 动漫 动画 电影 外片 国片.exe] [N/A, ]
[PID: 2368][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX08.719\www.520poco.cn激烈 使劲 猛烈 欲望 男儿本色 动漫 动画 电影 外片 国片.exe] [N/A, ]
[PID: 3224][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX10.094\www.520poco.cn激烈 使劲 猛烈 欲望 男儿本色 动漫 动画 电影 外片 国片.exe] [N/A, ]
[PID: 2896][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.406\www.520poco.cn激烈 使劲 猛烈 欲望 男儿本色 动漫 动画 电影 外片 国片.exe] [N/A, ]
[PID: 3568][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX03.046\www.520poco.cn激烈 使劲 猛烈 欲望 男儿本色 动漫 动画 电影 外片 国片.exe] [N/A, ]
[PID: 1208][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.875\www.520poco.cn激烈 使劲 猛烈 欲望 男儿本色 动漫 动画 电影 外片 国片.exe] [N/A, ]
[PID: 2088][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.844\www.520poco.cn激烈 使劲 猛烈 欲望 男儿本色 动漫 动画 电影 外片 国片.exe] [N/A, ]
[PID: 320][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX01.156\www.520poco.cn激烈 使劲 猛烈 欲望 男儿本色 动漫 动画 电影 外片 国片.exe] [N/A, ]


我都无语了，此贴要和谐

多谢回帖，
C:\windows\system32\2008~1\
这目录无法打开！！
无法上网！
任务管理器被锁住了！
插U盘无法识别！
重起后系统进不去了！！
为了把问题弄清，这中毒的系统我以做了备份~~~。

补充：地址是：C:\windows\system32\2008~1\ 但打开我的电脑文件是显示"2008..."。。。郁闷了。。也无法打开！

地址是：C:\windows\system32\2008~1\ 但打开我的电脑文件是显示"2008..."。。。郁闷了。。也无法打开！

畸形文件夹，如果你要删除：
在运行中输入CMD
输入以下命令：
cd \
cd windows
cd system32
rd /s /q 2008....\  （你确定文件夹名字是2008...  ?）

如果你要打开次文件夹查看内容，输入
start c:\windows\system32\2008....\

引用:

【无限咚咚的贴子】多谢回帖， C:\windows\system32\2008~1\ 这目录无法打开！！ 无法上网！ 任务管理器被锁住了！ 插U盘无法识别！ 重起后系统进不去了！！ 为了把问题弄清，这中毒的系统我以做了备份~~~。 补充：地址是：C:\windows\system32\2008~1\ 但打开我的电脑文件是显示"2008..."。。。郁闷了。。也无法打开！ ………………

也可以用360filekill这个工具干掉这个畸形文件夹，我网盘里也有。