瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 为什么病毒就是这么多。。。。请高手来帮小弟个忙。谢谢了
一万年的怒火 - 2008-5-9 19:02:00
昨天被同学的U盘插了一下 ,结果就中招了。病毒会把U盘的文件变成exe文件。瑞星查出来显示删除病毒,但是再查又有了。请高手能不能详细的解释下怎么办,本人很菜鸟。。。。
路径 C:\window\Cursors\Boom.vbs    病毒名:Unknown Script Virus
附上日志

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; MAXTHON 2.0)

附件: SREngLOG.txt.log
一万年的怒火 - 2008-5-9 19:15:00
请各位大侠帮帮我吧 谢谢了啊
一万年的怒火 - 2008-5-9 19:25:00
这个病毒不会是新的病毒吧。。。。。
火影忍者 - 2008-5-9 21:00:00
<><C:\WINDOWS\system32\dllcache\Default.exe>  []
    <><C:\WINDOWS\system32\dllcache\Default.exe>  []
    <SCRNSAVE.EXE><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>  [N/A]
以上三项是什么?自已确认下...

启动项目--注册表

删除所有IFEO项
==================================
删除每个盘符下的MS-DOS.com和Autorun.inf文件
一万年的怒火 - 2008-5-9 21:14:00
能清楚解释下怎么操作么?我是小白
sako - 2008-5-10 4:29:00
http://d5.97sky.cn/TonPE_V1.4.exe
请务必下载雨林木风PE安装包进行安装以防止误操作删除系统文件无法进入系统时的修复,并在安装完成后重起一次确认可以正常进入PE系统后继续以下操作。

以下操作一定要拔掉网线,在安全模式下进行,运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。
Xdelbox工具 下载:http://www.dodudou.com/down/ 一定要下载那个1.7支持奥运版本的
下载后
解压所有文件到一个文件夹
在 添加旁边的框中 分别输入
C:\WINDOWS\Fonts\fonts.exe
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\system32\dllcache\Default.exe
C:\autorun.inf
C:\MS-DOS.com
D:\autorun.inf
D:\MS-DOS.com
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式
sako - 2008-5-10 4:34:00
搞定后
用sreng删除下列启动项目
  <><C:\WINDOWS\system32\dllcache\Default.exe>  []
  <><C:\WINDOWS\system32\dllcache\Default.exe>  []

用附件清理IFEO劫持项目


上报如下文件

C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\system\KEYBOARD.exe
C:\Program Files\ATKGFNEX\ASMMAP.sys


清理下

下载清理系统临时文件和IE临时文件夹工具,全选所有项目,点击“立即清理”清理系统
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar

搞定后到安全模式下用杀软全盘查杀

附件: 劫持修复.rar
一万年的怒火 - 2008-5-10 9:36:00
用附件清理IFEO劫持项目 是不是下载劫持修复 然后用他就行了?
sako - 2008-5-10 9:44:00
那就不要弄了先!!!!!!!!!!!!
sako - 2008-5-10 9:45:00
没看到vista~

xdelboxMS现在还是不能在vista用~~~~~~~

别用了

用这个
官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

C:\WINDOWS\Fonts\fonts.exe
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\system32\dllcache\Default.exe
C:\autorun.inf
C:\MS-DOS.com
D:\autorun.inf
D:\MS-DOS.com

估计费尔能在vista用
一万年的怒火 - 2008-5-10 9:48:00
是不是就是把xdelboxMS的操作地方换成费尔的?其他照旧?
sako - 2008-5-10 9:50:00


你可以用费尔试下

实在不放心,就用瑞星的文件粉碎机,找到文件删除
打开我的电脑-工具-文件夹选项-查看-显示隐藏文件-隐藏受保护的系统文件(勾去掉)-确定

这样就能看到所有文件了

vista系统下有很多不定数,所以清理病毒比较麻烦
一万年的怒火 - 2008-5-10 10:45:00
我用费尔删除了。接下去用SRENG删除的是不是启动项目里面的服务里的win32服务应用程序里的东西?
sako - 2008-5-10 11:07:00


下次是vista系统一定要说清楚!

险些铸成大错
一万年的怒火 - 2008-5-10 11:10:00
可是问题是,我更本找不到那3个文件。。。。貌似更本就没有。。
一万年的怒火 - 2008-5-10 11:15:00
是那两个。。。。貌似更本就没。。。
1
查看完整版本: 为什么病毒就是这么多。。。。请高手来帮小弟个忙。谢谢了
© 2000 - 2026 Rising Corp. Ltd.