我现在打在那边所作的操作发过来给你看看啊
我发贴:(。。。)省略号里是扫描进程
今天居然中毒了.开始是自动弹出安装一个 什么mir....2000,我不记得了,有点像Microsoft 2000,我看到有点不正常,点了取消,取消错误,提示说找不到安装盘,取消了几次 我点了确定, 后面 桌面被换,换成绿色的底色,上面的字是英文,看不懂,不过最上面的是说明我的机子的CPU及内存, 下面有两个 什么"*** here " 星号是我不认识的英文单词, 放鼠标上去变成 超级链接 的小手模样,我没点.点右键\属性,是一件文件样子的属性,不是桌面的属性,我进控制面板点显示,想改桌面,改不了.因为速度好慢,我知道CPU已占满了,想打开任务管理器结束一些进程,点了没反应,再想打开看时,任务管理器已变成灰色.没办法,重启了
正常启动,到了桌面状态,无法打开桌面图标,能看到我换回来的桌面图,按Ctrl+Alt+del提示"任务管理器已被系统管理停用",进安全模式,发现多了一个叫"zhang"的管理员帐户,进"zhang"管理员帐户,在桌面状态打不到图标,没反应了/
按F8选择"最后一次正确配置"进入像正常启动情况一样.
回复如下:
进控制面板卸载来路不明程序,运行Hijackthis,选择"仅扫描系统",在下列选项前打上勾,然后关闭除jackthis以外其他程序和IE窗口,点“修复选项”,出现提示时点“是”继续:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\svchest.exe
O1 - Hosts: 202.103.67.180 auto.search.msn.com
O4 - 启动项HKLM\\Run: [svchost] C:\WINDOWS\TEMP\RarSFX0\svchost.exe
O4 - 启动项HKLM\\Run: [System] C:\WINDOWS\system32\kernels8.exe
O4 - 启动项HKLM\\Run: [xp_system] C:\WINDOWS\inet20002\services.exe
O4 - 启动项HKLM\\Run: [spoolsvv] C:\WINDOWS\system32\spoolsvv.exe
O4 - 启动项HKLM\\Run: [SystemLoader] C:\WINDOWS\sysldr32.exe
O4 - 启动项HKLM\\Run: [sachost] C:\WINDOWS\sachostx.exe
O4 - 启动项HKLM\\Run: [intell321.exe] C:\WINDOWS\system32\intell321.exe
O9 - 浏览器额外的按钮: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - 浏览器额外的“工具”菜单项: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - 浏览器额外的按钮: 金山卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - url:http://www.joyo.com (file missing)
O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll
O21 - SSODL: SysTray.Exgl - {636821FC-6F5C-2f1b-B164-E67214F678E2} - C:\WINDOWS\system32\lcjhadop.dll
O23 - NT 服务: Windows Audio Update (AudioSrver) - Unknown owner - C:\WINDOWS\svchost.exe
O23 - NT 服务: Disk System Access - Unknown owner - C:\WINDOWS\svploov.exe
O23 - NT 服务: Remote Access Administrators (RasAdmins) - Unknown owner - C:\WINDOWS\svchost.bat
清除后重启电脑按F8进安全模式,打开我的电脑 工具 文件夹选项 查看 设置windows显示所有隐藏文件、受保护的系统文件和文件夹,然后手动删除:
C:\WINDOWS\svchest.exe
C:\WINDOWS\TEMP 文件夹内所有文件
C:\WINDOWS\system32\kernels8.exe
C:\WINDOWS\inet20002\services.exe
C:\WINDOWS\system32\spoolsvv.exe
C:\WINDOWS\sysldr32.exe
C:\WINDOWS\sachostx.exe
C:\WINDOWS\system32\intell321.exe
C:\WINDOWS\svchost.bat
这两项还在:
O23 - NT 服务: Windows Audio Update (AudioSrver) - Unknown owner - C:\WINDOWS\svchost.exe
O23 - NT 服务: Remote Access Administrators (RasAdmins) - Unknown owner - C:\WINDOWS\svchost.bat (file missing)
点击“开始” “运行”,输入“services.msc”命令,弹出服务对话框
在“控制面板”中选择“管理工具→服务”,或者直接在“运行”中 输入“Services.msc”打开服务设置窗口
停止这两项服务:
Windows Audio Update (AudioSrver) - Unknown owner - C:\WINDOWS\svchost.exe
Remote Access Administrators (RasAdmins) - Unknown owner - C:\WINDOWS\svchost.bat (file missing)
再进安全模式删除相应的文件.
修复后删除对应文件:O20 - Winlogon Notify: 2014reg - C:\Documents and Settings\All Users\Documents\Settings\2014.dll
你说的那个 O20 - Winlogon Notify: 2014reg - C:\Documents and Settings\All Users\Documents\Settings\2014.dll
修复:O2 - BHO: HBO Class - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - C:\WINDOWS\inet20002\3.03.00.dll
修复不了啊 ? 怎么办呢?修复完扫描还在,文件也没办法删掉
去如下站点扫描C:\Documents and Settings\All Users\Documents\Settings\2014.dll:
http://www.virustotal.com/flash/index_en.html (点击页面右上角的BROWSE 然后选中要扫描的文件 再点SEND)
我去了那个站点 扫描结束后发了报告上去 他们看了说不是病毒
这以上的都是用 HijackThis 扫描修复
