1   1  /  1  页   跳转

[求助] 如何杀这样"牛"的病毒?

收藏
xingchenyefeng
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-08-05
  • 来自:
发表于: 2008-08-05 09:27 | 只看楼主 短消息 资料
字号: 1楼

如何杀这样"牛"的病毒?

无奈电脑中了病毒,请专业人给解决.具体症状如下:

1.系统时间被强行修改为2004年(只修改了年,没有月,日),计算机安全中禁止了修改系统时间,重启,bios修改时间,无效,开机后立即变成了2004;
2.显示隐藏文件和不显示隐藏文件同时被选中,修改注册表,重启无效;
3.每个盘符下边都有autorun.inf,和msrs.exe,autorun.inf 直接运行 msrs.exe,由于无法显示隐藏文件,利用winrar查看,并删除,但是删除之后立即又生成;
4.安全模式被劫持,修复之后重启,关机速度超慢,进入不了安全模式;
5.杀毒软件无法安装;
6.双击盘符,总是以新窗口打开;
7.重装系统,上述问题依旧!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59  from: http://bsalsa.com/ ; .NET CLR 2.0.50727)
分享到:
gototop
 
凌风烈
头像
自信弱冠狮
  • 帖子:364
  • 注册: 2008-07-22
  • 来自:风吹过的地方--------------
发表于: 2008-08-05 09:46 | 短消息 资料
字号: 2楼

回复:如何杀这样"牛"的病毒?

1,打开icesword,设置为禁止线进程创建。
2,进程:
结束o.exe,MSRS.EXE
打开svchost.exe,强制卸载c:\windows\system32\auth.dll
打开winlogon.exe,强制卸载C:\WINDOWS\TEMP\~MY73.TMP
3,文件:
强制删除
C:\Documents and Settings\Administrator\My Documents\temp\~18.tmp
C:\WINDOWS\system32\drivers\ssng4r0hsc.sys
C:\WINDOWS\system32\drivers\qjkm.sys
C:\WINDOWS\system32\drivers\acpidisk.sys
把禁止线进程创建取消。
4,用FileForceKiller清空所有temp目录和
c:\windows\system32\wnlnet.dll
c:\windows\system32\auth.dll
c:\windows\system32\wnnlnet.dll
c:\windows\system32\ehhrma.dll
C:\Program Files\Internet Explorer\2.pif
C:\Program Files\Internet Explorer\4.pif
C:\Program Files\Internet Explorer\5.pif
C:\Program Files\Internet Explorer\9.pif
C:\Program Files\Internet Explorer\xx.pif
C:\WINDOWS\SYSTEM32\WINLIB .DLL
C:\WINDOWS\TEMP\~MY73.TMP
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\PCTOOLS.DLL
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION dATA\MICROSOFT\PCTOOLS\PCTOOLS_2008731_7866.DLL
C:\WINDOWS\SYSTEM32\D3D1CAPS.SRG
C:\WINDOWS\TEMP\MIRCRGFX.DAT
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\MICROSOFT\PCTOOLS\pctools.dll
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\5.pif
删除各个分区根目录下面的autorun.inf,MSRS.EXE

5,打开autoruns。
删除
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run键值
和HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

6,复制正常的wuauclt.exe文件覆盖
c:\windows\system32\dllcache\wuauclt.exe
c:\windows\system32\wuauclt.exe

7,用sreng和windows清理助手扫描修复系统
一个windows清理助手脚本:
如果你因我的存在,是一个永久的惊奇,而这,就是人生。我们辨识错了世界,却说世界欺骗了我们。失去了太阳而流泪,那么你也将失去群星了.
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-08-05 09:48 | 短消息 资料
字号: 3楼

回复:如何杀这样"牛"的病毒?

扫日志前关闭无用进程,如QQ,迅雷及播放器程序

到大的软件站,如天空,太平洋,下载2.6正式版版的SReng(推荐)

http://www.skycn.com/soft/45002.html
SREng/智能扫描

等扫描完成,保存日志(LOG格式)
日志以附件上传,贴到反病毒区或流行病毒区
PS:如主程序SREng**.exe无法运行,导致无法扫描日志

将主程序改名为小狮子.bat
gototop
 
天仁
头像
飘泊而立狮
  • 帖子:713
  • 注册: 2008-06-01
  • 来自:
发表于: 2008-08-05 09:53 | 短消息 资料
字号: 4楼

回复:如何杀这样"牛"的病毒?

1请楼主先使用windows清理助手清理一下系统。(未签名的那些不要选择删除)
在这里下载:http://www.arswp.com/download.html
2然后使用System Repair Engineer扫描日志,将日志作为附件上传上来。
在这里下载:http://www.kztechs.com/sreng/download.html

具体步骤:
1、下载后解压缩,运行SREngPS.EXE;
2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击 智能扫描 - 扫描 ,扫描结束后点击 保存报告 ;
4、选择保存路径,文件名保持默认,直接点击 保存 ;
5、打开保存的日志文件SREngLOG.log,完整复制全部内容,新建一个文本文档,将日志中的全部内容粘贴到“新建文本文档.txt”中;
6、将“新建文本文档.txt”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。
注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT