瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 我的电脑中了病毒!没有查杀到,现将症状描述如下

123   3  /  3  页   跳转

我的电脑中了病毒!没有查杀到,现将症状描述如下

收藏
姑苏残月
头像
叱咤花甲狮
  • 帖子:2464
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-02-07 14:38 | 短消息 资料
字号: 21楼

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
启动文件夹
[RAMASST]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\RAMASST.lnk --> C:\WINDOWS\system32\RAMASST.exe [Matsushita Electric Industrial Co., Ltd.]><N>
[C:\WINDOWS\System32\winlib .dll] [N/A, N/A]
[C:\Program Files\SysInfo.wmp] [N/A, N/A]
所有后面是[N/A,N/A]的全干掉
gototop
 
忧伤的艳影
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-02-07
  • 来自:
发表于: 2007-02-07 14:42 | 只看楼主 短消息 资料
字号: 22楼

我打不开这些东西吖
gototop
 
姑苏残月
头像
叱咤花甲狮
  • 帖子:2464
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-02-07 14:46 | 短消息 资料
字号: 23楼

按照路径,找到文件,删除,正常模式不行的话去安全模式,还不行的话用冰刃删,自己去下载冰刃
gototop
 
忧伤的艳影
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-02-07
  • 来自:
发表于: 2007-02-07 14:51 | 只看楼主 短消息 资料
字号: 24楼

hpztsb05.exe没有这个文件
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\RAMASST.lnk
RAMASST.lnk 这个文件的扩展名是EXE,不是INK

!!<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\RAMASST.lnk --> C:\WINDOWS\system32\RAMASST.exe [Matsushita Electric Industrial Co., Ltd.]><N>!!
主要就是这里的  不明白是什么意思 (惊叹号中间的不明白)
gototop
 
姑苏残月
头像
叱咤花甲狮
  • 帖子:2464
  • 注册: 2007-01-27
  • 来自:
发表于: 2007-02-07 14:59 | 短消息 资料
字号: 25楼

开始菜单中,程序选项里,启动 把里面清空
gototop
 
鸟儿天上飞
头像
叱咤花甲狮
  • 帖子:2332
  • 注册: 2006-11-30
  • 来自:
发表于: 2007-02-07 15:28 | 短消息 资料
字号: 26楼

IceSword冰刃-斩断木马黑手的利刃
下载地址1:
中文:http://202.38.64.10/~jfpan/download/IceSword120_cn.zip

使用IceSword杀毒的一些基本操作
http://forum.ikaka.com/topic.asp?board=28&artid=7168178


下载、运行IceSword。
2、用IceSword禁止进程创建。
3、找到并右击IceSword自身的进程名,点击“模块信息”。仔细查看模块中是否有C:\Program Files\SysInfo.wmp。如果有,用IceSword强制卸除之(千万不要省略这一步)。
4、用IceSword结束除下列进程以外的所有进程:
[PID: 612][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
[PID: 696][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 720][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
[C:\WINDOWS\System32\winlib .dll] [N/A, N/A]
[PID: 768][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 780][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.1106 (xpsp1.020828-1920)]
[PID: 964][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 1064][C:\Program Files\Rising\Rav\CCenter.exe] [Beijing Rising Technology Co., Ltd., 18, 0, 0, 3]
[PID: 1080][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 1252][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 1332][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
找到并右击C:\WINDOWS\system32\winlogon.exe的进程名,点击“模块信息”。仔细查看模块中是否有C:\WINDOWS\System32\winlib .dll。如果有,用IceSword强制卸除之
5、用IceSword删除以下加载项
注册表定位到[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
删除:
<2><C:\SysA\svchost.exe> [N/A]
<1><C:\SysB\svchost.exe> [N/A]

注册表定位到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
删除:
<qijian><C:\WINDOWS\System32\qijian.exe> [N/A]

注册表定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
删除:
<{7C3E3EA0-F318-43FB-952E-74736B2F6789}><C:\Program Files\SysInfo.wmp> [N/A]
注册表定位到HKEY_LOCAL_MACHINE\ SYSTEM\ CURRENT CONTROLSET\ SERVICES
删除
[C477C60E / C477C60E]
[Win32 Display Driver / Win32DDS]
[acpidisk / acpidisk]


6、用IceSword强制删除删除文件。
C:\Program Files\SysInfo.wmp
C:\WINDOWS\System32\windds32.dll
C:\WINDOWS\System32\qijian.exe
C:\SysA\svchost.exe
C:\SysB\svchost.exe
C:\WINDOWS\System32\drivers\acpidisk.sys
C:\WINDOWS\System32\C477C60E.EXE
7、点击IceSword工具栏上的“文件”、“设置”,取消“禁止进程创建”。
8、点击IceSword工具栏上的“文件”、“重启并监视”。此时,系统重启。
9,运行SREng2,使用“系统修复”--文件关联 --全修
修改主页为空白页 重新扫个日志
gototop
 
<<上一主题|下一主题>>
123   3  /  3  页   跳转
页面顶部
Powered by Discuz!NT