瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 求助c:\programdata\appdata 病毒木马怎么删除?
Z尖头叉子Z - 2016-9-4 15:33:00
求助:怎么删除木马
c:\programdata\appdata 的文件夹老是提示病毒木马,管家怎么删除怎么拦截再会再生成,电脑一重启就会appdata 的文件夹将会自动生成,管家马上提示木马拦截,怎么才能删除?


用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0) Core/1.47.933.400 QQBrowser/9.4.9005.400
314698711@qq.com - 2016-9-5 9:01:00
请上传病毒样本
Z尖头叉子Z - 2016-9-5 23:52:00
怎么上传病毒样本?
Z尖头叉子Z - 2016-9-5 23:53:00
怎么上传病毒样本?
Z尖头叉子Z - 2016-9-6 0:00:00
病毒样本

附件: 病毒样本.rar
天月来了 - 2016-9-6 9:31:00
主要还是去看看这个c:\programdata\appdata目录到底是你的什么宝贝软件创建的。它没事老下载些些东西给你。
Z尖头叉子Z - 2016-9-6 23:29:00
不清楚到底是什么软件老是自动下载这些东西,用什么能查得清吗?用瑞星在安全模式下查杀也杀不了
Z尖头叉子Z - 2016-9-6 23:45:00
查看查杀到的目录,是否就是这个进程在自动下载呢?

附件: 病毒样本2.rar
Z尖头叉子Z - 2016-9-6 23:55:00
是否中了svchost.exe病毒?
314698711@qq.com - 2016-9-7 10:19:00
楼主加瑞星群47032532  让工程师帮你远程看看
Z尖头叉子Z - 2016-9-8 0:01:00
是否真的没有办法了吗?

天月来了 - 2016-9-8 14:49:00
你图中那svchost.exe是Windows系统自身的程序,没了它系统就彻底完蛋了

不要乱想了。去将c:\programdata\appdata这个文件夹的权限拿掉,设置为只读。

自己百度如何设置权限为只读。

你即便想从任务管理器看看,也应该去看非Windows的进程。


甚至是迅雷类的软件都有可能导致这样
夲號ヱ被ジ盜 - 2016-9-8 18:09:00
你试试瑞星设置一条这样的规则,看看到底是谁在创建




不知道是不是系统原因,我这一设置任何规则就崩溃:kaka6: ,Win10 x64
Z尖头叉子Z - 2016-9-9 0:08:00
感谢12楼与13楼的建议,通过设计该文件夹的权限及设计防护规则,拒绝病毒访问c:\programdata\appdata ,总感觉治标不治本,果然重启电脑就有触发记录,查看触发日志,还是SVCHOST.EXE访问,看任务管理器,也无法分辨出到底是哪一个进程在搞的鬼:kaka4: :kaka4: :kaka4: :kaka4: 请各位大神帮帮忙~

立刻回答 - 2016-9-9 0:24:00
估计是被注入了,你用软件分析一下svchost的模块,看看有没有异常/未知的dll
Z尖头叉子Z - 2016-9-9 0:27:00
请问用什么软件来分析svchost的模块?
Z尖头叉子Z - 2016-9-9 0:52:00
感谢15楼的建议,下载了进程查看器,看到几个SVCHOST.EXE的进程,路径是??,是否就是病毒的进程?


Z尖头叉子Z - 2016-9-10 0:06:00
软件分析一下svchost的进程,不知道怎么辨别了

天月来了 - 2016-9-10 9:20:00
将不是微软的那个svchost.exe文件发来,它路径不正常。
Z尖头叉子Z - 2016-9-10 10:57:00
不是微软的svchost.exe文件样本

附件: 不是微软的svchost文件.rar
天月来了 - 2016-9-10 15:29:00
C:\Windows\SysWOW64文件夹下的那个svchost.exe文件看来是系统的,但是此服务不知道是什么软件创建的呢

得去找此服务对应的执行文件到底是什么。要不你自己关闭涉及C:\Windows\SysWOW64文件夹下的服务试试。得操作准确

你不能误操作C:\Windows\System32文件夹下的系统自身的任何服务,出错系统就开不了了
Z尖头叉子Z - 2016-9-10 17:01:00
C:\Windows\SysWOW64文件夹下个svchost.exe进程
天月来了 - 2016-9-11 8:22:00
楼主啊,你不要自己以为为了我们好,将图缩小。

你得将截的原图压缩打包以附件形式发来

你缩的图太模糊,看不了文字内容

你自己根据文件详细情况自己选择是否卸载那些你以为没问题的中文软件吧

你不至于根据路径和厂家名称自己看不出吧?
Z尖头叉子Z - 2016-9-11 15:43:00
第一个SVCHST.EXE*32是迅雷的,第二个是驱动人生与那个什么战马网络的,第三个是用友税务的,可是不管到底哪个是被木马注入无关紧要了,生新安装了系统。
非常感谢版主及各们网友的帮忙。谢谢
天月来了 - 2016-9-12 8:16:00
艾麻

你就不去停了对应的服务观察下???一点都不想去做??

你做了以后,就知道是哪家软件恶意这样呀

以后你好不再使用那家软件啊



估计是战马网络的那个服务有问题

现在的国产软件太差劲了
Z尖头叉子Z - 2016-9-12 10:51:00
木有用,首先我也是怀疑那个战马,把它的进程SVCHST.EXE*32删掉以及其他两个都删除也是没用,隐藏得够深的
1
查看完整版本: 求助c:\programdata\appdata 病毒木马怎么删除?