1   1  /  1  页   跳转

[已解决] 中招了,请高手指点一下【求助】

中招了,请高手指点一下【求助】

我的机器好像中了病毒了,瑞星监控打不开,重装也不行,用专杀工具杀不出毒来,用安博士杀毒软件也杀不出毒来,进程中没有两个lsass.exe和smss.exe.已经用工具扫描,结果在附件,请高手指教一下.<br>启动机器后瑞星监控会自动退出或者变黄,提示电脑有风险.再次打开瑞星监控过不了一会就会变红,不能用,然后用瑞星杀毒,什么作用不起,没法杀,一点全盘杀毒马上结束,提示已经杀完.<br>启动机器后还会出现两个QQ 的登陆框,关掉后没有任何影响.<br><br><font color=#808080>[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; WPS; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)</font><br>

附件附件:

下载次数:160
文件类型:application/octet-stream
文件大小:
上传时间:2008-4-6 21:19:59
描述:/

最后编辑天涯沦落 最后编辑于 2008-07-03 21:18:46
分享到:
gototop
 

先下载工具:
windows清理助手下载:http://www.arswp.com/download.html
XDelBox下载:http://www.dodudou.com/down/    打开后选择【原创软件】,下载XDelBox1.6。
清理临时文件工具ATF-Cleaner-cn下载:http://www.qispace.com.cn/attachment.php?fid=34
———————————————————————————————————————
务必断开网络链接后再进行以下操作;
———————————————————————————————————————
使用XDelBox删除以下文件:
XDelBox使用方法:http://forum.ikaka.com/topic.asp?board=28&artid=8381032
使用时一定拔掉所有移动存储设备,将下面分隔线中的的文件路径全部复制,然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入,勾选“抑制再生”、“驱动安全删除模式”、“备份文件”,最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
c:\program files\common files\services\svchost.exe
c:\windows\system32\mscftp.dll
c:\windows\ptsshell.exe
c:\windows\system32\xdva013.sys
c:\windows\\systemroot\system32\drivers\kbjhogl.sys
c:\windows\system32\drivers\msosfpids32.sys
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示,倒计时5秒,
第一个选项是你自己的Windows系统,
第二个选项是XDelBox的Go XDelBox To Del Files,
默认自动选择第二项,会进入类似DOS的界面,这期间什么操作都不用做,等待它自动运行即可,
待病毒文件删除后会自动重启进入Windows系统,
然后再按以下步骤操作:
———————————————————————————————————————
从下面项可看出系统文件可能已被病毒修改:
<UIHost><logonui.exe>  [ORIONNET]
可以去C:\WINDOWS\system32\dllcache文件夹里找logonui.exe文件,将文件复制到C:\WINDOWS\system32文件夹里替换。
———————————————————————————————————————
打开SREngPS.EXE,选择【启动项目】-【注册表】,将以下项删除:
[mpwe]    <; >
[PTSShell]    <C:\WINDOWS\PTSShell.exe>
[]    <C:\Program Files\Common Files\Services\svchost.exe>
[zbg15x]    <; >
[z0mvwjsy22hlx]    <; >
[yuxhbwyr4vj]    <; >
[xyl17z8j0ycy0vt]    <; >
[xlwutv1lbh66cx]    <; >
[w81xrxvz]    <; >
[w7]    <; >
[u21ydzhw0]    <; >
[tg3]    <; >
[te67i8qj5uuc]    <; >
[st0sh4ie4bxh4su]    <; >
[si4q7ez6fyvlu8y]    <; >
[ravtask]    <; >
[ravshell]    <; >
[qvts3kumjjctdf2]    <; >
[q4yw21r]    <; >
[muhu2z694]    <; >
[mizxt7liq4]    <; >
[m5]    <; >
[m0ci9]    <; >
[kbiul7r]    <; >
[k]    <; >
[jm8v4ed1u]    <; >
[ik14dt9]    <; >
[ijhd]    <; >
[i762uidxje]    <; >
[h]    <; >
[gueeef1qby33mmu]    <; >
[gquj0bq5h]    <; >
[gq]    <; >
[glkd5iqbi87877]    <; >
[ghiu8cdhd3u6bhv]    <; >
[fvvb2l]    <; >
[fkx]    <; >
[f]    <; >
[el]    <; >
[cfj5htl3j]    <; >
[bdcjeri5]    <; >
[9ulj4ubg02gu0e7]    <; >
[9u]    <; >
[89s73b16x]    <; >
[7mst]    <; >
[6fm8x4l]    <; >
[6c47e]    <; >
[5]    <; >
[3jft6hucb]    <; >
[2me]    <; >
[186xlel0h1yj3]    <; >
[04fj4jqr8qywk]    <; >
———————————————————————————————————————
打开SREngPS.EXE,选择【启动项目】-【服务】-【Win32服务应用程序】,将以下项删除:
[80460768 / 80460768]    <>
———————————————————————————————————————
打开SREngPS.EXE,选择【启动项目】-【服务】-【驱动程序】,将以下项删除:
[XDva013 / XDva013]    <\??\C:\WINDOWS\system32\XDva013.sys>
[kbjhogl / kbjhogl]    <\SystemRoot\\SystemRoot\System32\drivers\kbjhogl.sys>
[fpids32 / fpids32]    <\??\C:\WINDOWS\system32\drivers\msosfpids32.sys>
———————————————————————————————————————
使用刚下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击【立即清理】;
———————————————————————————————————————
使用刚下载的“Windows清理助手”清理你的系统。
———————————————————————————————————————
gototop
 

问题已解决,非常感谢.但还有些疑问如下:
"<UIHost><logonui.exe> [ORIONNET]
可以去C:\WINDOWS\system32\dllcache文件夹里找logonui.exe文件,将文件复制到C:\WINDOWS\system32文件夹里替换"
在dllcache目录里面没有找到logonui.exe文件,所以没有替换.

只删除了[] <C:\Program Files\Common Files\Services\svchost.exe>这一项,其它的没有找到.


这样会不会有后遗症??















本来已经没事了,我又重装了瑞星,正在杀毒的过程中,我登陆了一个看书的论坛http://www.kenshuw.com/,然后弹出个对话框,没时间看,接着就关了,然后瑞星就自动退出了,再启动就不行了.
附一个刚出现问题后的扫描


刚才瑞星升级后又没事了,然后杀出了好几个病毒.Trojan.PSW.Win32.GameOL.msy与Trojan.PSW.Win32.SunGame.l感染文件为RAV.exe  QQ.exe  ExpLorer.exe

每次启动后,瑞星监控都会自动退出,重启后变红.但是如果打开杀毒软件升级后,就恢复正常,再杀毒就会杀出以后那些病毒, 前面Trojan.PSW.Win32都一样,就是后面的不一样.

附件附件:

下载次数:142
文件类型:application/octet-stream
文件大小:
上传时间:2008-4-8 20:04:50
描述:

gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT