瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 紧急求援,疑为AV终结者,但各种专杀均无效!

12   1  /  2  页   跳转

[求助] 紧急求援,疑为AV终结者,但各种专杀均无效!

收藏
一条吐泡的鱼
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-12-04
  • 来自:
发表于: 2008-12-04 14:14 | 只看楼主 短消息 资料
字号: 1楼

紧急求援,疑为AV终结者,但各种专杀均无效!

中毒经过:
1.电脑正常操作中,突然卡巴提示BLACK.LST文件损坏,点立即更新后,电脑开始不停的重启(在XP系统启动到滚动条界面重启)。
2.尝试进入安全模式,无法进入,且自动重启。
3.而后在F8界面下,选择上一次正确配置,能启动,但原用户配置文件丢失,新用户配置下以前安装的程序不能使用,程序菜单中也没有旧程序的快捷键,一片空白。
4.发现无法显示隐藏文件,导入以下内容至注册表,还是无法显示。
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
"Text"="@shell32.dll,-30499"
"Type"="group"
"Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\
  00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\
  48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\
  00
"HelpID"="shell.hlp#51131"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
编辑注册表,检查checkedvalue数据格式和值均正确。再导入以下内容,仍然无法显示。
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

5.怀疑为AV终结者新变种,使用金山专杀(7.4.2),360顽固木马专杀(V2.5.1.9),橙色八月均查不出病毒。
6.后使用AVG Anti-Spyware 7.5查出30多个病毒,列举其中一些如下
Adware.cnsmin
Trojan.Lmir.awc
Trojan.stater.m
Downloader.Agent.clg
Downloader.small.ct
Worm.Bobic.cx
Adware.cydoor
Backdoor.Bifrose.kt
Downloader.Agent.xgw
Trojan.Agent.dx
Not-A-virus.Exl
等,用该软件删除后,再导入上述注册表文件,隐藏文件仍然无法显示。
7.最后用SREngLdr智能扫描报告如下:

求助各位达人帮助分析,提供解决问题的方案(显示隐藏文件,另外能否恢复的原来的用户配置文件,查毒过程中发现found.000文件下有我原来的配置文件),解我燃眉之急!

谢谢!


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; InfoPath.1)
分享到:
gototop
 
一条吐泡的鱼
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-12-04
  • 来自:
发表于: 2008-12-04 14:15 | 只看楼主 短消息 资料
字号: 2楼

回复: 紧急求援,疑为AV终结者,但各种专杀均无效!

扫描报告

附件附件:

文件名:SREngLOG.log
下载次数:140
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-4 14:15:08
描述:log
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-12-04 14:23 | 短消息 资料
字号: 3楼

回复:紧急求援,疑为AV终结者,但各种专杀均无效!

日志未看出具体的
————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <dpvvoxmh.dll><>  [N/A]
    <imgutilhx2.dll><>  [N/A]
    <mstimewd.dll><>  [N/A]
    <rasdlgcq.dll><>  [N/A]
    <adsntzt.dll><>  [N/A]
    <cliconfgzx.dll><>  [N/A]
    <bootvidgj.dll><>  [N/A]
    <dispexcb.dll><>  [N/A]
    <wmpuiqhx.dll><>  [N/A]
    <msobjstl.dll><>  [N/A]
    <kbdswjr.dll><>  [N/A]
    <catsrvwl.dll><>  [N/A]

设法卸载卡巴斯基互联网安全套装6.0

显示隐藏文件可以试试这工具,里面有关于系统修复这个的:
http://www.rensoft.com.cn/releases/1.html

至于能否恢复的原来的用户配置文件,我看不懂什么意思
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-12-04 14:25 | 短消息 资料
字号: 4楼

回复:紧急求援,疑为AV终结者,但各种专杀均无效!

噢知道了

你可能原系统帐户没了???

户配置下以前安装的程序不能使用,程序菜单中也没有旧程序的快捷键,一片空白。

这个去系统软件区求助试试能否恢复
gototop
 
一条吐泡的鱼
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-12-04
  • 来自:
发表于: 2008-12-04 14:34 | 只看楼主 短消息 资料
字号: 5楼

回复:紧急求援,疑为AV终结者,但各种专杀均无效!

谢谢版主!关于第二点你理解的意思完全正确。
因为是家里的电脑中毒,我晚上回家后用你指点的方法尝试后再反馈。
gototop
 
一条吐泡的鱼
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-12-04
  • 来自:
发表于: 2008-12-05 11:18 | 只看楼主 短消息 资料
字号: 6楼

回复:紧急求援,疑为AV终结者,但各种专杀均无效!

天月来了版主:
我昨晚根据你的指导尝试过,情况如下:
1、按你的方法试了,但还是无法显示隐藏文件。删除了相关的dll文件后,用你提供的修复工具使用修复按钮后显示“无法修复”。
2、另外我在开始菜单点击搜索选项后,在搜索界面出来之前屏幕上有好几个类似对话框的东西一闪而过,看不清。好像在安装什么。
3、在“文件夹选项”的“查看”标签下,显示系统文件夹内容、隐藏受保护的操作系统文件和隐藏已知文件类型的扩展名三项均无法改动。

烦请版主和其它高手进一步指导!
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-12-05 11:21 | 短消息 资料
字号: 7楼

回复:紧急求援,疑为AV终结者,但各种专杀均无效!

那去我置顶工具贴

去下载相同系统的恢复隐藏文件夹项的注册表文件导入试试吧

尽量去安全模式下试
gototop
 
backway
头像
卡卡反病毒小组
  • 帖子:2473
  • 注册: 2008-11-20
  • 来自:
发表于: 2008-12-05 11:23 | 短消息 资料
字号: 8楼

回复:紧急求援,疑为AV终结者,但各种专杀均无效!

原系统帐户没了???
那你现在登陆的是哪个帐户?
电脑开始不停的重启(在XP系统启动到滚动条界面重启)。?
现在还有么?
gototop
 
一条吐泡的鱼
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-12-04
  • 来自:
发表于: 2008-12-05 11:54 | 只看楼主 短消息 资料
字号: 9楼

回复:紧急求援,疑为AV终结者,但各种专杀均无效!

回backway
1.是的,原系统帐户没了。我现在进入的系统,用户名和我原来的帐户相同。但是所有的程序都没有(包括IE浏览器)。
2.电脑现在不重启了,也能进入安全模式。
3.我采用网上的一个恢复方法,搜索Ntuser.*,找到用户名文件夹下的Ntuser.dat。点击无法打开,显示“另一个程序在使用此文件”。找不到Ntuser.dat.log。使用“chkdsk/f”出现错误。
gototop
 
backway
头像
卡卡反病毒小组
  • 帖子:2473
  • 注册: 2008-11-20
  • 来自:
发表于: 2008-12-05 12:02 | 短消息 资料
字号: 10楼

回复: 紧急求援,疑为AV终结者,但各种专杀均无效!

你运行cmd后打开命令提示符后输入net user ,会显示本机上所有的用户名,这里还看不到以前那个帐户么?
在登陆系统前输入系统密码那步时,按住alt+ctrl,按2次del键,用户名用administrator,密码自己知道,进入管理员帐户后,照张系统安装盘,要纯的,放进光驱,运行sfc /scannow,会自动检测系统文件有没有被篡改或丢失。


C:\Documents and Settings下也可以看到帐户,不管那个帐户下安装的软件或IE ,都会在program files下(一般情况下)
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT