12   1  /  2  页   跳转

中毒了,求救杀毒方法

收藏
村口一蹲
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2005-10-01
  • 来自:
发表于: 2007-01-30 22:48 | 只看楼主 短消息 资料
字号: 1楼

中毒了,求救杀毒方法

下载泡泡龙不甚,中招,自己解决不了,来求助大家。症状:不能进入安全模式,不能正常启动,我安装有影子系统,开机必须开启影子系统才能进入,开机进程如下:WMIPRVSE.EXE  WUAUCLT.EXE 
TIMPlatform.exe  QQ.exe  taskmgr.exe  ALG.EXE  SPOOLSV.EXE  CDNUP.EXE RavMonD.exe  EXPLORER.EXE  SVCHOST.EXE  SVCHOST.EXE  ShadowService.exe SVCHOST.EXE  SVCHOST.EXE  CCenter.exe  SVCHOST.EXE  SVCHOST.EXE  30FB7A6D.EXE  LSASS.EXE  SERVICES.EXE  WINLOGON.EXE  CSRSS.EXE RUNDLL32.EXE
JJSvr4.exe  CTFMON.EXE  SMSS.EXE  VStart.exe  RavMon.exe  ShadowTip.exe RavTask.exe  360tray.exe  VSNPSTD3.EXE  System    System Idle Precoss
请高手指教,谢谢

附件附件:

下载次数:233
文件类型:application/octet-stream
文件大小:
上传时间:2007-1-30 22:48:42
描述:



最后编辑2007-01-30 23:27:41
分享到:
gototop
 
小小小神仙
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-01-30
  • 来自:
发表于: 2007-01-30 22:50 | 短消息 资料
字号: 2楼

有几个进程有问题
gototop
 
小小小神仙
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-01-30
  • 来自:
发表于: 2007-01-30 22:52 | 短消息 资料
字号: 3楼

wmiprvse - wmiprvse.exe - 进程信息

进程文件: wmiprvse or wmiprvse.exe
进程名称: Microsoft Windows Management Instrumentation

描述:
wmiprvse.exe是微软Windows操作系统的一部分。用于通过WinMgmt.exe程序处理WMI操作。这个程序对你系统的正常运行是非常重要的。
gototop
 
小小小神仙
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-01-30
  • 来自:
发表于: 2007-01-30 22:52 | 短消息 资料
字号: 4楼

wuauclt.exe病毒解决方案
%system%文件夹中的wuauclt.exe是WINDOWS 自动更新的客户端。
然而,今天说的这个wuauclt.exe非%system%文件夹中的那个wuauclt.exe。这个位于%windows%文件夹中。
今天VirusTotal多引擎扫描结果,只有4家报,其中3家报可疑;AntiVir的启发式报“恶意程序。4家均未给出具体名称。
连接网络时,运行这个wuauclt.exe,它通过80端口访问61.128.196.671创建下列文件:
C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
C:\windows\noruns.reg(将其中内容导入注册表后,此文件被自动删除。)
在系统分区以外的所有分区根目录以及U盘根目录下创建sxs.exe和autorun.inf。
其中C:\windows\bbyb.dll动态插入应用程序进程。
C:\windows\wuauclt.exe删除注册表中瑞星、KV、卡巴斯基以及雅虎助手的启动项和服务项。有意思的是,它还删除一个流行木马NTdhcp.exe的启动项。
添加的注册表启动项为:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunMicrosoft
查杀:
结束C:\windows\wuauclt.exe进程。
该进程结束后,U盘中的sxs.exe和autorun.inf可直接删除。删除后,将U盘拔出。
然后,删除下列文件:
C:\windows\wuauclt.exe
C:\windows\bbyb.exe
C:\windows\bbybs.exe
C:\windows\bbyb.dll
C:\windows\ies.dll
删除其启动项。
gototop
 
小小小神仙
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-01-30
  • 来自:
发表于: 2007-01-30 22:54 | 短消息 资料
字号: 5楼

alg.exe病毒

C:\windows\alg.exe偷偷潜入系统后,下次开机时会遇到1-2次蓝屏重启。

特点:
1、C:\windows\alg.exe注册为系统服务,实现启动加载。
2、C:\windows\alg.exe控制winlogon.exe进程。因此,在WINDOWS下无法终止C:\windows\alg.exe进程。
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5-6个端口访问网络。
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较,病毒改动后的ftp.exe和tftp.exe文件大小不变,但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp,存放到C:\WINDOWS\system32\Microsoft\目录下。

手工杀毒流程:
1、清理注册表:
(1)展开:HKLM\System\CurrentControlSet\Services
删除:Application Layer Gateway Services(指向 C:\windows\alg.exe)

(2)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将SFCDisable的建值改为dword:00000000

(3)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除:"SFCScan"=dword:00000000

(4)展开:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
删除:"v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重启系统。显示隐藏文件。
3、删除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp,改名为ftp.exe;找到backup.tftp,改名为tftp.exe。然后,将ftp.exe和tftp.exe拖拽到system32文件夹,覆盖被病毒改写过的ftp.exe和tftp.exe。



这是最主要的
gototop
 
小小小神仙
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2007-01-30
  • 来自:
发表于: 2007-01-30 23:13 | 短消息 资料
字号: 6楼

后面的进程还可能有问题

没时间来分析了

88~
睡睡
gototop
 
村口一蹲
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2005-10-01
  • 来自:
发表于: 2007-01-30 23:18 | 只看楼主 短消息 资料
字号: 7楼

兄弟 刚群里有朋友告诉我,我是被WMI溢出了,唉~明天作系统~~睡睡~~
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-01-30 23:23 | 短消息 资料
字号: 8楼

汗 光凭几个进程就下结论?
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-01-30 23:23 | 短消息 资料
字号: 9楼

3楼的你怎么知道 他那个alg和 wuauclt在什么位置的
gototop
 
村口一蹲
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2005-10-01
  • 来自:
发表于: 2007-01-30 23:26 | 只看楼主 短消息 资料
字号: 10楼

想办法解决吧~~解决不了就作系统~
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT