瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 瑞星对付不了的病毒?
许要帮助的人 - 2008-7-6 13:04:00
我现在一打开网页主页就是  http://www.789gov.cn/  无论我在lnternet选项里更改多少次主页地址都没有用


而且一打开瑞星网站就会出现

[url=http://wopti.www.e78.com/channel_new.php?c=jdzhouliang_sp&;u=1010&b=]http://wopti.www.e78.com/channel_new.php?c=jdzhouliang_sp&;u=1010&b=[/url]


我用windows清理助手扫描到了Trojan.psw.avx


上面说的位置是在c:\windows\ha_80205.exe


我看到的ha_80205.exe 图标是个电脑 屏幕是黑色的 屏幕里似乎有个白色的马  (看起来像马)


然后我就直接用windows清理助手清除了一下  从起之后进入安全模式(就是按F8哪个)


我用瑞星全盘扫描了一下  什么都没扫到  于是我又从起  用windows清理助手扫描Trojan.psw.avx 没了


但是主页问题还在  瑞星主页还是打不开 


我打开网页出现的是http://www.789gov.cn/  于是我在地址栏里手动输入  www.baidu.com


打开了百度首页  但是我一搜索网页  (比如 搜索 “哈哈” 弹出来的不是百度 而是google 


就是说在百度上搜索弹出来的结果页面也应该是百度的  但却是google的  虽然能搜到你想搜的内容


但不应该这样啊)


瑞星软件也都是最新的版本  但是却没能帮我对付病毒  不知道是什么原因


第二天开机  用windows清理助手扫描了一下 又发现Trojan.psw.avx  这次的位置是在c:\windows\ha_80210.exe


我应该怎么处理  希望高手帮忙  谢谢  说的详细点  少用术语    我听不懂:kaka18:    谢谢啦

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
许要帮助的人 - 2008-7-6 13:07:00
[url]http://wopti.www.e78.com/channel_new.php?c=jdzhouliang_sp&u=1010&b=[/url]


从发下  上面的网页连接有毛病????


我是XP系统
许要帮助的人 - 2008-7-6 13:23:00
谁来帮我啊!!!!!
许要帮助的人 - 2008-7-6 13:34:00
:kaka4:

高手在哪里啊
networkedition - 2008-7-6 13:50:00
c:\windows\ha_80210.exe找到打包,发送到可疑文件交流区:default7:
许要帮助的人 - 2008-7-6 14:02:00
如何打包啊

我现在用的不是中毒的那个电脑

中毒的那个电脑上不了瑞星的网站

一上就弹出来别的

不知道应该怎么上传啊  连打包我都不会

高手赐教啊  谢谢
networkedition - 2008-7-6 14:07:00
找到可疑文件后鼠标右键选择添加至压缩文件。可找打好的包找能上网的计算机来上报。
许要帮助的人 - 2008-7-6 14:11:00
谢谢

我还想问下  我打包之后把包传输到另一台电脑

那么另一台电脑会被感染吗?
天云一剑 - 2008-7-6 14:14:00
trojan.psw.avx“代理木马”变种avx是一个开启指定端口,未经授权访问用户计算机的木马程序。“代理木马”变种avx运行后,自我复制到系统目录下和Windows目录下。修改Win.ini和System.ini文件,实现开机自启。开启1000,1001,2283端口,侦听黑客指令,通过特定的IRC通道连接指定的IRC服务器,记录键击,盗取用户机密信息,并将用户机密信息发送到指定的邮箱里。
除C盘外的每个硬盘盘符都有一个名叫autorun的文件中毒,KIS需要多次清除

这里我们结束一切可疑进程,推荐安全模式下
CMD下
dir /a/p 查看隐藏的AUTORUN和EXE
以D盘为例
cd d:
attrib D:\*\文件名 -s -h -r
del 文件名

AUTORUN和EXE文件清除后还要清除驱动
需要清理的注册表位置:
HKEY_LOCAL_MACHINE,SYSTEM\CONTROLSET001\ENUM\ROOT\LEGACY_SYSHOSTSVC
HKEY_LOCAL_MACHINE,SYSTEM\CONTROLSET001\SERVICES\SYSHOSTSVC
HKEY_LOCAL_MACHINE,SYSTEM\CONTROLSET002\SERVICES\SYSHOSTSVC
HKEY_LOCAL_MACHINE,SYSTEM\CONTROLSET003\SERVICES\SYSHOSTSVC
HKEY_LOCAL_MACHINE,SYSTEM\CURRENTCONTROLSET\ENUM\ROOT\LEGACY_SYSHOSTSVC
HKEY_LOCAL_MACHINE,SYSTEM\CURRENTCONTROLSET\SERVICES\SYSHOSTSVC

驱动位置:C:\WINDOWS\SYSTEM32\DRIVERS\GUIHELP.SYS

附件:XDELBOX,POWERRMV强删
删除此类病毒的批处理方法在我的窝http://hi.baidu.com/roxiel/

注:打包是压缩成RAR,上传在你发帖或回复下面,点上传,快捷回复不能上传
      木马的播种者可能还种植了别的病毒木马,请清除后使用最新的瑞星杀毒软件再次查杀,推测还有DLL格式木马

附件: PowerRmv【teyqiu】.rar
networkedition - 2008-7-6 14:19:00
样本在压缩包里不会感染其它计算机。
许要帮助的人 - 2008-7-6 15:00:00
这个就是

附件: ha_80210.rar
天云一剑 - 2008-7-6 16:28:00
隔离操作显示它没有任何行为,可能缺少SYS或DLL,它没有功能
许要帮助的人 - 2008-7-6 16:32:00
没。。没有功能?

你是说我发的那个附件?

我只想知道怎么把这个病毒弄死。。。。
天云一剑 - 2008-7-7 19:13:00
缺少以来文件它自己也运行不了

所以,SRENG扫描一个报告上传吧,直观些
邋遢牛 - 2008-7-7 21:35:00
升级瑞星试试:default5:
天云一剑 - 2008-7-7 21:48:00
版主已经搞了
http://bbs.ikaka.com/showtopic-8521440.aspx
我是傻瓜宝器 - 2008-7-7 21:52:00
用其它杀软搞一下,国内3大杀毒软件 1 瑞星 2江民 3金山的在线查毒,如果都杀不出来,那就是那助手的问题,值与首页被改,建议用一下首页巡警,下载地址首页巡警 升级至 V1.3 build 0529
首页巡警 升级至 V1.3 build 0529

下载地址:
http://u4.dswlab.com/IEGuard.zip
http://u5.dswlab.com/IEGuard.zip

1.3更新:修补了一个漏洞
感谢:MJ0011(http://hi.baidu.com/mj0011)对本工具的问题发掘和反馈。


  ieguard.jpg (39.26 KB)

2008-5-30 10:57
天云一剑 - 2008-7-7 22:54:00
超级巡警,使用过,广告太多
zg1_2004 - 2008-7-7 23:07:00
该用户帖子内容已被屏蔽
zg1_2004 - 2008-7-7 23:11:00
该用户帖子内容已被屏蔽
1
查看完整版本: 瑞星对付不了的病毒?
© 2000 - 2026 Rising Corp. Ltd.