“木马群”病毒专杀及修复工具（20080627更新带驱动版专杀） - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 “木马群”病毒专杀及修复工具（20080627更新带驱动版专杀）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

«1 2 3 456 7 8 »

5 / 12 页

跳转页

“木马群”病毒专杀及修复工具（20080627更新带驱动版专杀）

本主题由大版主 networkedition 于 2012-2-22 11:29:29 执行移动主题操作

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-09 21:57 \| 显示全部短消息资料字号：小中大 41楼回复: 【讨论】中“木马群”后的症状及处理流程引用: 原帖由 jiarui 于 2008-5-9 21:48:00 发表按照您的设置，小白找到以下内容，下一步如何操作呢？？衷心谢谢大版主！ [boot loader] timeout=5 default=c:\grldr [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexec 把红色部分改成default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS 蓝色部分删除 [boot loader] timeout=5 default=c:\grldr [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect c:\grldr="Go XDelBox To Del Files" 最终就是这个样子滴 [boot loader] timeout=5 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-10 13:35 \| 显示全部短消息资料字号：小中大 42楼回复: 【讨论】中“木马群”后的症状及处理流程引用: 原帖由安妮贝儿于 2008-5-9 23:07:00 发表请问大斑竹在吗？能帮偶分析下吗？偶真的好急，什么都做不了先参考此贴去操作一下 http://bbs.ikaka.com/showtopic-8502727.aspx 然后再重新扫个日志哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-10 14:12 \| 显示全部短消息资料字号：小中大 43楼回复: 【讨论】中“木马群”后的症状及处理流程引用: 原帖由安妮贝儿于 2008-5-10 13:39:00 发表老大,你终于来啦我借鉴你昨天告诉他们的方法,试用了.效果很好, http://bbs.ikaka.com/showtopic-8503469.aspx 这是我刚发的帖,我还有如下问题,请帮偶分...... 日志已经没有问题了哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-12 23:25 \| 显示全部短消息资料字号：小中大 44楼回复: 【讨论】中“木马群”后的症状及处理流程引用: 原帖由 bolalisi 于 2008-5-12 22:22:00 发表 AdWare.Win32.Cinmus.cgg； RootKit.Win32.Mie.a； AdWare.Win32.Cpush.ae； AdWare.Win32.Cinmus.cgg； RootKit.Win32.Mie.a； Win32.WYC.i我的电脑中了这些病毒，怎么也杀不掉。杀毒的结果是解压缩后杀毒。我用的2008瑞星杀毒软件，要怎样才能杀掉这些病毒直接按照路径去删除这些文件就可以了哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-16 10:54 \| 显示全部短消息资料字号：小中大 45楼回复: 【讨论】中“木马群”后的症状及处理流程引用: 原帖由 bolalisi 于 2008-5-14 21:00:00 发表回复: 【讨论】中“木马群”后的症状及处理流程引用: 原帖由 bolalisi 于 2008-5-12 22:22:00 发表 AdWare.Win32.Cinmus.cgg； RootKit.Win32.Mie.a； AdWare.Win32.Cpush.ae； AdWare.Win32.Cinmus.cgg； RootKit.Win32.Mie.a； Win32. 文件路径和文件名是什么哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-21 09:32 \| 显示全部短消息资料字号：小中大 46楼回复: 【讨论】中“木马群”后的症状及处理流程引用: 原帖由 bolalisi 于 2008-5-16 14:56:00 发表我按贴上的方法把那些病毒都删除了，但是打印机的驱动还是装不上，最后一步提示，系统遇到严重错误需要重新运行，但重新运行一样的结果。驱动装不上不一定是病毒的问题......... 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-21 09:49 \| 显示全部短消息资料字号：小中大 47楼回复: 【讨论】中“木马群”后的症状及处理流程引用: 原帖由小永123 于 2008-5-18 10:56:00 发表我晕 “木马群”的处理流程：一、初级处理方法： 1、下载“木马群处理程序.bat”，点击这里下载下载完后解压缩，双击“木马群处理程序.bat”，等待命令执行完成后系统将自动重启，重启后立即打开杀毒软件，升级到最新版本，断开网络连接，全盘查杀病毒。这个软件有病毒打开一按任意键就中毒马上电脑就重新启动，所有杀毒程序和防护程序全部停止保护，并且C盘一个文件被损坏，每次启动电脑很有意思，这个批处理是其他版主为了快速解决一些常见的问题而写的，在发这篇主题帖的同时我也是下载下来看过这个文件的，除此之外任何我上传的文件我都会保证它本身的安全性，因为我也是版主中的一员，作为版主上传病毒文件引导别人下载是种什么样的罪名我心里很清楚，您认为我会做这样的傻事吗........ 木马群处理程序.bat 文件的完整内容如下： [复制到剪贴板] CODE: @echo off ::----------------------------------------------- :: 没有小伞\瑞星双击打不开\升级没有反应\升级蓝屏 ::----------------------------------------------- Title [2008] @echo 程序运行后将计算机将自动重新启动 @echo 请您关闭现有程序 @echo 请按任意键继续运行 pause ::命令开始----------------------------------- @echo off if exist %HOMEDRIVE%\virusup del %HOMEDRIVE%\virusup /f /s /q if not exist %HOMEDRIVE%\virusup md %HOMEDRIVE%\virusup :delregfpids32 reg save HKLM\SYSTEM\CurrentControlSet\Services\fpids32 %HOMEDRIVE%\virusup\fpids32.hiv reg delete HKLM\SYSTEM\CurrentControlSet\Services\fpids32 /F reg save HKLM\SYSTEM\CurrentControlSet\Services\msfpfis64 %HOMEDRIVE%\virusup\msfpfis64.hiv reg delete HKLM\SYSTEM\CurrentControlSet\Services\msfpfis64 /F reg save HKLM\SYSTEM\CurrentControlSet\Services\msert %HOMEDRIVE%\virusup\msert.hiv reg delete HKLM\SYSTEM\CurrentControlSet\Services\msert /F reg save HKLM\SYSTEM\CurrentControlSet\Services\RemoteStorage %HOMEDRIVE%\virusup\RemoteStorage.hiv reg delete HKLM\SYSTEM\CurrentControlSet\Services\RemoteStorage /F reg export HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run %HOMEDRIVE%\virusup\run.reg reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /F reg save HKCU\SYSTEM\CurrentControlSet\Services %HOMEDRIVE%\virusup\cuser.hiv reg delete HKCU\SYSTEM\CurrentControlSet\Services /F reg export "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" %HOMEDRIVE%\virusup\iebho.reg reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /F reg export HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run %HOMEDRIVE%\virusup\EXRUN.reg reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run /F :delfiles ATTRIB -s -h -r -a %SYSTEMROOT%\system32\drivers\msosfpids32.sys MOVE /Y %SYSTEMROOT%\system32\drivers\msosfpids32.sys %HOMEDRIVE%\virusup md %SYSTEMROOT%\system32\drivers\msosfpids32.sys ATTRIB -s -h -r -a %SYSTEMROOT%\system32\drivers\msosmsfpfis64.sys MOVE /Y %SYSTEMROOT%\system32\drivers\msosmsfpfis64.sys %HOMEDRIVE%\virusup md %SYSTEMROOT%\system32\drivers\msosmsfpfis64.sys ATTRIB -s -h -r -a %SYSTEMROOT%\system32\drivers\MSELK.SYS MOVE /Y %SYSTEMROOT%\system32\drivers\MSELK.SYS %HOMEDRIVE%\virusup md %SYSTEMROOT%\system32\drivers\MSELK.SYS ATTRIB -s -h -r -a %SYSTEMROOT%\system32\WINNET.EXE MOVE /Y %SYSTEMROOT%\system32\drivers\WINNET.EXE %HOMEDRIVE%\virusup md %SYSTEMROOT%\system32\drivers\WINNET.EXE ATTRIB -s -h -r -a %SYSTEMROOT%\system32\msosmhfp00.dll MOVE /Y %SYSTEMROOT%\system32\msosmhfp00.dll %HOMEDRIVE%\virusup md %SYSTEMROOT%\system32\msosmhfp00.dll ATTRIB -s -h -r -a %SYSTEMROOT%\system32\msosmhfp01.dll MOVE /Y %SYSTEMROOT%\system32\msosmhfp01.dll %HOMEDRIVE%\virusup md %SYSTEMROOT%\system32\msosmhfp01.dll ATTRIB -s -h -r -a %SYSTEMROOT%\system32\msosiocp.dll MOVE /Y %SYSTEMROOT%\system32\msosiocp.dll %HOMEDRIVE%\virusup md %SYSTEMROOT%\system32\msosiocp.dll ATTRIB -s -h -r -a %SYSTEMROOT%\system32\IJOUGIEMNAW.DLL MOVE /Y %SYSTEMROOT%\system32\IJOUGIEMNAW.DLL %HOMEDRIVE%\virusup md %SYSTEMROOT%\system32\IJOUGIEMNAW.DLL ATTRIB -s -h -r -a %SYSTEMROOT%\system32\setup\en_1072.bin MOVE /Y %SYSTEMROOT%\system32\setup\en_1072.bin %HOMEDRIVE%\virusup md %SYSTEMROOT%\system32\setup\en_1072.bin ATTRIB -s -h -r -a %SYSTEMROOT%\SYSTEM32\INTERNE.EXE MOVE /Y %%SYSTEMROOT%\SYSTEM32\INTERNE.EXE %HOMEDRIVE%\virusup md %SYSTEMROOT%\SYSTEM32\INTERNE.EXE ATTRIB -s -h -r -a %SYSTEMROOT%\DbgHlp32.exe MOVE /Y %%SYSTEMROOT%\DbgHlp32.exe %HOMEDRIVE%\virusup md %SYSTEMROOT%\DbgHlp32.exe ATTRIB -s -h -r -a %SYSTEMROOT%\upxdnd.exe MOVE /Y %%SYSTEMROOT%\upxdnd.exe %HOMEDRIVE%\virusup md %SYSTEMROOT%\upxdnd.exe ATTRIB -s -h -r -a %SYSTEMROOT%\AVPSrv.exE MOVE /Y %%SYSTEMROOT%\AVPSrv.exE %HOMEDRIVE%\virusup md %SYSTEMROOT%\AVPSrv.exE ATTRIB -s -h -r -a %SYSTEMROOT%\cmdbcs.exe MOVE /Y %%SYSTEMROOT%\cmdbcs.exe %HOMEDRIVE%\virusup md %SYSTEMROOT%\cmdbcs.exe ATTRIB -s -h -r -a %temp%\tmp.tmp MOVE /Y %temp%\tep.tmp %HOMEDRIVE%\virusup ATTRIB -s -h -r -a %temp%\.sys MOVE /Y %temp%\.sys %HOMEDRIVE%\virusup ATTRIB -s -h -r -a "%HOMEDRIVE%\Program Files\Internet Explorer\IEXPLORE32." MOVE /Y "%HOMEDRIVE%\Program Files\Internet Explorer\IEXPLORE32." %HOMEDRIVE%\virusup :ifabat if exist %HOMEDRIVE%\temp\a.bat del %HOMEDRIVE%\temp\a.bat /f /q if exist %HOMEDRIVE%\temp\b.bat del %HOMEDRIVE%\temp\b.bat /f /q :rspcaddreg reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /v virustrj /d %systemroot%\temp\a.bat for /f "skip=4 tokens=2 delims=:" %%i in ('reg query "HKLM\SOFTWARE\rising\rav" /v installpath') do set temp1=%%~pi for /f "skip=4 tokens=1 delims=\" %%j in ('reg query "HKLM\SOFTWARE\rising\rav" /v installpath') do set temp2=%%j for /f "tokens=3" %%k in ('echo %temp2%') do set temp3=%%k set a=%temp3%%temp1% reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce" /v ravrstp /d "%a%rav\Update\Setup.exe -repair" :addabat echo echo off >>%systemroot%\temp\a.bat echo reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce /v virustrj /d %systemroot%\temp\b.bat>>%systemroot%\temp\a.bat echo reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /D "" /f >>%systemroot%\temp\a.bat echo reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /F >>%systemroot%\temp\a.bat echo reg ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path" /v Debugger /t REG_SZ /D "ntsd -d" /F >>%systemroot%\temp\a.bat echo reg ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path" /v GlobaFlag /t REG_SZ /D "0x000010F0" /F>>%systemroot%\temp\a.bat :addbbat echo reg import %HOMEDRIVE%\virusup\run.reg >>%systemroot%\temp\b.bat echo reg import %HOMEDRIVE%\virusup\iebho.reg >>%systemroot%\temp\b.bat echo reg import %HOMEDRIVE%\virusup\EXRUN.reg >>%systemroot%\temp\b.bat :end reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options" /F reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks" /V {50632D5C-B71B-4ba0-B012-3DC6F15C011B} /F reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks" /V {7FA4A83B-F99A-4bfc-A8E2-6A62B05D2C82} /F reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /V WinShell /F reg delete "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /f shutdown -r -f -t 00 pause ::命令结束----------------------------------- 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-26 17:04 \| 显示全部短消息资料字号：小中大 48楼回复: 【讨论】中“木马群”后的症状及处理流程引用: 原帖由 bolalisi 于 2008-5-23 17:35:00 发表清理临时文件工具ATF-Cleaner-cn下载：http://www.qispace.com.cn/attachment.php?fid=34 SREng辅助修复工具http://www.qispace.com.cn/attachment.php?fid=51 网页都打不开，SREng.exe在哪下载？那个网址也打不开。清理临时文件工具ATF-Cleaner-cn下载：http://www.lx2lqq.com.cn/attachment.php?fid=34 SREng辅助修复工具http://www.lx2lqq.com.cn/attachment.php?fid=51 lqqk7 最后编辑于 2008-05-26 22:41:21 哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-26 22:42 \| 显示全部短消息资料字号：小中大 49楼回复: 【讨论】中“木马群”后的症状及处理流程引用: 原帖由天月来了于 2008-5-26 18:52:00 发表 lqqk7 哦你那签名那能直接点击打开。而你发贴里的两地址都不能直接点击打开。谢谢天月提醒，一时粗心只把文字改了，但是点击时的链接还是原来的，现已改正哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:	发表于： 2008-05-26 23:04 \| 显示全部短消息资料字号：小中大 50楼回复: 【讨论】中“木马群”后的症状及处理流程引用: 原帖由 bolalisi 于 2008-5-23 17:15:00 发表引用: 原帖由小永123 于 2008-5-18 10:56:00 发表我晕 “木马群”的处理流程：一、初级处理方法： 1、下载“木马群处理程序.bat”，点击这里下载下载完后解压缩，双击“木马群处理程序.bat”，等待命令执行完成后系统将自动重启，重启后立即打开杀毒软件，升级到最新版本，断开网络连接，全盘查杀病毒。这个软件有病毒打开一按任意键就中毒无语........ 再一次被这件事深深的打击了本帖第 113楼中有这个批处理的完整代码此贴中有天月和游戏迷两位版主的鉴定 http://bbs.ikaka.com/showtopic-8505666.aspx 这是VT多引擎在线扫描 http://www.virustotal.com/zh-cn/ 看来您的安全防范意识还是很高的，这是件好事，对于此批处理的安全性我不想再做任何解释了，相信上述3个链接可以打消您的顾虑。哦
lqqk7 社区嘉宾帖子:4876 注册: 2006-03-15 来自:

<<上一主题|下一主题>>

«1 2 3 456 7 8 »

5 / 12 页

跳转页

页面顶部

Powered by Discuz!NT