郁青 - 2007-11-24 19:25:00
昨天晚上正常上网时,突然遨游浏览器不断重复打开一个网页,接着发现系统时间被修改了,然后调整时间,进程中多了10几个k11327560602.exe进程,而且无法结束该进程,用卡巴扫描杀了几个该病毒,我又手动把剩下的删除了,但发现无法显示隐藏文件了,也就无法进入TEMP文件夹,因为太晚当时就没有用卡巴全面扫描,今天下午打开电脑后,该进程又出现了,同时除了我刚开机运行的程序外其他程序也打不开了,各分区也无法打开。于是进入安全模式,用卡巴扫描,然后我用软件清理了所有的临时文件,清理完感觉好了很多,同时用木马客星扫描也删除了很多,卡巴找到了两个AUTO。EXE病毒。我昨天把系统的自动更新打开了,当时就发现进程中有两个wuauclt.exe进程也没在意,结果晚上就中毒了,我现在想把自动更新关闭但打不开,而且自动更新图标下面的字也没了,而且卡巴报wuauclt.exe中的可执行文件已被修改,于是我阻止他运行,但现在是隐藏文件依然无法查看,点完还是不显示隐藏文件,再就是这个wuauclt.exe总试图运行,我在网上查了下说在windows/wuauclt.exe的为病毒,而system/wuauclt.exe的不是病毒,我的是在system下,现在真的不知道该怎么办了,那位朋友帮我啊。
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon)附件:
42558820071124193859.txt
CAPTjoe - 2007-11-24 19:35:00
我的更新程序在system32目录下
有毒必问 - 2007-11-24 21:09:00
卡巴斯基的
琼台听雨 - 2007-11-24 22:13:00
删除服务:
C:\WINDOWS\system32\980AD86C.EXE -k
删除驱动:
\??\C:\WINDOWS\system32\drivers\oreans32.sys
\??\D:\Tencent\qq\npkycryp.sys
\SystemRoot\System32\drivers\Klpf.sys
\SystemRoot\System32\drivers\Klpid.sys
重启,进入安全模式,显示所有文件,删除以下文件
C:\WINDOWS\system32\980AD86C.EXE -k
\??\C:\WINDOWS\system32\drivers\oreans32.sys
\??\D:\Tencent\qq\npkycryp.sys
\SystemRoot\System32\drivers\Klpf.sys
\SystemRoot\System32\drivers\Klpid.sys
然后修复文件关联,最好把QQ卸载了,然后删除整个目录,重新安装,对于wuauclt.exe,可以用下载SRENG的数字签名插件,看是不是真的,如果被替换了,可以从其他机子拷一个正常的复制到原目录。最后,升级杀软,全盘查杀
© 2000 - 2026 Rising Corp. Ltd.