123   2  /  3  页   跳转

如何删除这个木马病毒?

收藏
e网情深无限
头像
叱咤花甲狮
  • 帖子:3429
  • 注册: 2003-07-12
  • 来自:
发表于: 2008-05-03 16:15 | 只看楼主 短消息 资料
字号: 11楼

回复: 如何删除这个木马病毒?



引用:
原帖由 火影忍者 于 2008-5-3 15:47:00 发表
==================================
删除驱动程序
[bi47a2 / bi47a2g][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\bi47a2g.sys><N/A>
==================================
重启,删除对......


呵呵,我忘记说了,发帖之前我就删除过这个服务。但重启后又有了。
gototop
 
e网情深无限
头像
叱咤花甲狮
  • 帖子:3429
  • 注册: 2003-07-12
  • 来自:
发表于: 2008-05-03 16:16 | 只看楼主 短消息 资料
字号: 12楼

回复: 如何删除这个木马病毒?



引用:
原帖由 天月来了 于 2008-5-3 15:48:00 发表
直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击我这贴右下角的“引用”然后就应该知道怎么发了。


呵呵,没有注意还可以发TXT格式的,以为只能发图片格式的。谢谢了!

附件附件:

文件名:SREngLOG.log
下载次数:81
文件类型:application/octet-stream
文件大小:
上传时间:2008-5-3 16:15:36
描述:log
gototop
 
e网情深无限
头像
叱咤花甲狮
  • 帖子:3429
  • 注册: 2003-07-12
  • 来自:
发表于: 2008-05-03 16:18 | 只看楼主 短消息 资料
字号: 13楼

回复:如何删除这个木马病毒?

补充一下:[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows 2000 Publisher]
    <Userinit><C:\WINNT\system32\UserInit.exe,,"C:\Program Files\HFEE\SVOHOST.EXE" un userinit.exe>  [N/A]
其中:Userinit这个项目是我安装了高强度加密大师之后产生的,不是病毒。

还有,文件关联中的三个错误,我修复过,但重启之后又是出现这三个文件关联错误,也不知是怎么回事?
最后编辑e网情深无限 最后编辑于 2008-05-03 16:20:17
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-05-03 16:26 | 短消息 资料
字号: 14楼

回复:如何删除这个木马病毒?

去安全模式下操作删除它
==================================
驱动程序
[bi47a2 / bi47a2g][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\bi47a2g.sys><N/A>

文件关联是QQ软件导致,一贯这样,除非你不用QQ

卡巴在正常开启的情况下,可能会阻止这驱动项目的删除。
最后编辑天月来了 最后编辑于 2008-05-03 16:27:24
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
e网情深无限
头像
叱咤花甲狮
  • 帖子:3429
  • 注册: 2003-07-12
  • 来自:
发表于: 2008-05-03 16:55 | 只看楼主 短消息 资料
字号: 15楼

回复: 如何删除这个木马病毒?



引用:
原帖由 天月来了 于 2008-5-3 16:26:00 发表
去安全模式下操作删除它
==================================
驱动程序
[bi47a2 / bi47a2g][Running/Boot Start]
  <\SystemRoot\System32\DRIVERS\bi47a2g.sys><N/A>

文件关联是QQ软件导致,一贯这样,除非你不用QQ

卡巴在正常开启的情况下,


安全模式下卡巴是不开的,发贴之前也尝试过在安全模式下删除过该驱动,但是回到正常模式下又出现了该驱动。

真是令人头痛啊!!
gototop
 
茶馆小二
头像
大版主
  • 帖子:87269
  • 注册: 2003-03-11
  • 来自:rising茶馆
论坛8周年活动礼物端午辟邪香囊09欢乐圣诞10温馨圣诞十周年国庆61周年幸福玫瑰闪亮的光棍十一周年勋章
发表于: 2008-05-03 17:08 | 短消息 资料
字号: 16楼

回复:如何删除这个木马病毒?

那就是你的删除操作并没能成功。

这里官网下载冰刃,在“注册表”中找那玩意强制删除:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

先打开注册表搜索到其所有包含bi47a2g.sys的项目删。

谨慎操作。

其C:\WINDOWS\System32\DRIVERS\bi47a2g.sys文件也用冰刃删除。

娱乐区官方群——113762779,加入请注明论坛昵称  O(∩_∩)O点击惊现很多美女,很多贡献,很多滴欢乐O(∩_∩)O
神人到处有,茶馆特别多。谁让我开不成茶馆,我就让ta2012。在我二成一种传奇之后,再也不用羡慕其他人了。
gototop
 
火影忍者
头像
横据古稀狮
  • 帖子:7855
  • 注册: 2006-06-29
  • 来自:火星
发表于: 2008-05-03 17:14 | 短消息 资料
字号: 17楼

回复:如何删除这个木马病毒?

将那个驱动项启动方式改为禁用
然后再删除文件


或者下载冰刃
展开注册表
定位
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除 bi47a2g
最后编辑火影忍者 最后编辑于 2008-05-03 17:15:52
最初的诞生,只为最后的永恒....


这年头 灌个水我容易吗?
gototop
 
e网情深无限
头像
叱咤花甲狮
  • 帖子:3429
  • 注册: 2003-07-12
  • 来自:
发表于: 2008-05-03 17:30 | 只看楼主 短消息 资料
字号: 18楼

回复: 如何删除这个木马病毒?



引用:
原帖由 茶馆小二 于 2008-5-3 17:08:00 发表
那就是你的删除操作并没能成功。

这里官网下载冰刃,在“注册表”中找那玩意强制删除:
http://mail.ustc.edu.cn/~jfpan/download/IceSword122cn.zip

先打开注册表搜索到其所有包含bi47a2g.sys的项目删。

谨慎操作。

其C:\WINDOWS\System32\DRIVERS\bi47a2g.sy

我又在安全模式下进行了如下操作:
1.进入SREng,删除了驱动bi47a2g.sys。
2.用PowerRmv删除了文件bi47a2g.sys并抑制再生(冰刃在安全模式下不可用。我曾在正常模式下也用冰刃删除过文件文件,但也是没有用,我在前面就叙述过)。
但重启后还是出现了该文件,该驱动也重新加载了。

我估计是不是该驱动有关联进程,只杀灭它还不行。但如何找到关联进程呢?
gototop
 
茶馆小二
头像
大版主
  • 帖子:87269
  • 注册: 2003-03-11
  • 来自:rising茶馆
论坛8周年活动礼物端午辟邪香囊09欢乐圣诞10温馨圣诞十周年国庆61周年幸福玫瑰闪亮的光棍十一周年勋章
发表于: 2008-05-03 17:33 | 短消息 资料
字号: 19楼

回复:如何删除这个木马病毒?

那你使用瑞星的主动防御禁止该文件的读取、修改、和删除等。

然后再考虑其他的操作。

娱乐区官方群——113762779,加入请注明论坛昵称  O(∩_∩)O点击惊现很多美女,很多贡献,很多滴欢乐O(∩_∩)O
神人到处有,茶馆特别多。谁让我开不成茶馆,我就让ta2012。在我二成一种传奇之后,再也不用羡慕其他人了。
gototop
 
e网情深无限
头像
叱咤花甲狮
  • 帖子:3429
  • 注册: 2003-07-12
  • 来自:
发表于: 2008-05-03 18:03 | 只看楼主 短消息 资料
字号: 20楼

回复: 如何删除这个木马病毒?



引用:
原帖由 茶馆小二 于 2008-5-3 17:33:00 发表
那你使用瑞星的主动防御禁止该文件的读取、修改、和删除等。

然后再考虑其他的操作。

该驱动的启动类型为boot start,我把它改为disable,并用冰刃删除了该驱动,重启后该驱动的类型又自动变成了boot start。删除驱动重新生成,禁止驱动自启动又重新变成自启动,真是没有办法了!
最后编辑e网情深无限 最后编辑于 2008-05-03 18:04:34
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT