AVG+诺顿+卡巴+NOD32+木马克星+RogueCleaner
IceSword+SREng+unlocker+超级巡警+手动
已经彻底删除所有可疑未签名的文件,服务,驱动,最后还是有,应该混合了大量不同的病毒/木马/插件,D,E好象也感染了,所以请系统高手救命!
以下是SREng的扫描报告(N多的删掉又出来):
2006-12-30,00:01:51
System Repair Engineer 2.2.6.605
Smallfrogs (http://www.KZTechs.com)
Windows Server 2003 "R2" Enterprise Edition Service Pack 1 (Build 3790)
- 管理权限用户 - 完整功能
以下内容被选中:
所有的启动项目(包括注册表、启动文件夹、服务等)
浏览器加载项
正在运行的进程(包括进程模块信息)
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Corporation]
<RealUpdate><C:\WINDOWS\system32\update/Update.exe> [N/A]
<myMh2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mh2\iexpl0re.EXE> [N/A]
<myZt2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Zt2\SVCH0ST.EXE> [N/A]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Corporation]
<IMEKRMIG6.1><C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE> [(Verified)Microsoft Corporation]
<Desktop><"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Run> []
<!AVG Anti-Spyware><"D:\tools\AVG Anti-Spyware 7.5\avgas.exe" /minimized> [Anti-Malware Development a.s.]
<loreyi01><%systemroot%\system32\Rundll32.exe %systemroot%\system32\loreyi01.dll,DllUnregisterServer> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<twin><C:\WINDOWS\system32\twunk32.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [(Verified)Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><533931M.BMP> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><%SystemRoot%\system32\logonui.exe> [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<WebSecurity><C:\WINDOWS\system32\PvSec.dll> [N/A]
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\NavLogon]
<WinlogonNotify: NavLogon><C:\WINDOWS\system32\NavLogon.dll> [(Verified)Symantec Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PCANotify]
<WinlogonNotify: PCANotify><PCANotify.dll> [Symantec Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\WINDOWS\system32\rpcc.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCardLogn]
<WinlogonNotify: ScCardLogn><C:\WINDOWS\ScNotify.dll> [Microsoft Corporation]
==================================
启动文件夹
[Logitech SetPoint]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Logitech SetPoint.lnk --> C:\PROGRA~1\Logitech\SetPoint\SetPoint.exe [Logitech Inc.]><N>
==================================
服务
[9B65D47C / 9B65D47C]
<C:\WINDOWS\system32\9B65D47C.EXE -service><N/A>
[AVG Anti-Spyware Guard / AVG Anti-Spyware Guard]
<d:\tools\AVG Anti-Spyware 7.5\guard.exe><Anti-Malware Development a.s.>
[Symantec pcAnywhere Host Service / awhost32]
<D:\tools\pcAnywhere\awhost32.exe><Symantec Corporation>
[Symantec Password Validation / ccPwdSvc]
<"C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe"><Symantec Corporation>
[Crypkey License / Crypkey License]
<crypserv.exe><Kenonic Controls Ltd.>
[Symantec AntiVirus Definition Watcher / DefWatch]
<"D:\tools\Symantec AntiVirus\DefWatch.exe"><Symantec Corporation>
[ewido anti-spyware 4.0 guard / ewido anti-spyware 4.0 guard]
<D:\tools\ewido 4.0\guard.exe><N/A>
[Windows Gateway / Investor]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\fllog.dll><Microsoft Corporation>
[LiveUpdate / LiveUpdate]
<"C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE"><Symantec Corporation>
[MessageService / MessageService]
<C:\WINDOWS\system32\Svchost.exe -k MessageService-->C:\WINDOWS\system32\MDserivce\Svchost.dll><Microsoft Corporation>
[Microsoft Search / MSSEARCH]
<"C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe"><Microsoft Corporation>
[MSSQLSERVER / MSSQLSERVER]
<d:\tools\MICROS~4\MSSQL\binn\sqlservr.exe><Microsoft Corporation>
[MSSQLServerADHelper / MSSQLServerADHelper]
<C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqladhlp.exe><Microsoft Corporation>
[NVIDIA Display Driver Service / NVSvc]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
[Remote Access Connection Management / Remote Access Connection Management]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\Program Files\Messenger\msnhost.dll><N/A>
[SavRoam / SavRoam]
<"D:\tools\Symantec AntiVirus\SavRoam.exe"><symantec>
[Registry Protector / SOCEESe]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\POJTI.DLL,Export 1087><N/A>
[Symantec SPBBCSvc / SPBBCSvc]
<"C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe"><Symantec Corporation>
[SQLSERVERAGENT / SQLSERVERAGENT]
<d:\tools\Microsoft SQL Server\MSSQL\binn\sqlagent.exe -i MSSQLSERVER><Microsoft Corporation>
[Symantec AntiVirus / Symantec AntiVirus]
<"D:\tools\Symantec AntiVirus\Rtvscan.exe"><Symantec Corporation>
[VirtualHardwareProtect / VirtualHardwareProtect]
<C:\WINDOWS\inf\msvhpss.exe><Microsoft Corporation>
[Windows NT Service32 / Windows NT Service32]
<"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Start><Microsoft Corporation>
[Portable Media Serial Number Service / WmdmPmSN]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\MsPMSNSv.dll><Microsoft Corporation>
[Windows Media Player Network Sharing Service / WMPNetworkSvc]
<"C:\Program Files\Windows Media Player\WMPNetwk.exe"><Microsoft Corporation>
42 个解决方案
#1
==================================
驱动程序
[a347bus / a347bus]
<\SystemRoot\system32\DRIVERS\a347bus.sys><>
[a347scsi / a347scsi]
<\SystemRoot\System32\Drivers\a347scsi.sys><>
[AmdIde / AmdIde]
<C:\WINDOWS\SYSTEM32\DRIVERS\AmdIde.SYS><Microsoft Corporation>
[amdk5 / amdk5]
<\??\C:\WINDOWS\system32\drivers\amdk5.sys><N/A>
[arc / arc]
<C:\WINDOWS\SYSTEM32\DRIVERS\arc.SYS><Adaptec, Inc.>
[标准 IDE/ESDI 硬盘控制器 / atapi]
<\SystemRoot\system32\DRIVERS\atapi.sys><N/A>
[AVG Anti-Spyware Driver / AVG Anti-Spyware Driver]
<\??\d:\tools\AVG Anti-Spyware 7.5\guard.sys><N/A>
[AVG Anti-Spyware Clean Driver / AvgAsCln]
<System32\DRIVERS\AvgAsCln.sys><GRISOFT, s.r.o.>
[awecho / awecho]
<system32\drivers\awechomd.sys><Symantec Corporation>
[awlegacy / awlegacy]
<\SystemRoot\System32\Drivers\awlegacy.sys><Symantec Corporation>
[AW_HOST / AW_HOST]
<system32\drivers\aw_host5.sys><Symantec Corporation>
[cog / cog]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cogavs><N/A>
[Symantec Eraser Control driver / eeCtrl]
<\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys><Symantec Corporation>
[EraserUtilRebootDrv / EraserUtilRebootDrv]
<\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys><Symantec Corporation>
[Gernuwa / Gernuwa]
<C:\WINDOWS\SYSTEM32\DRIVERS\Gernuwa.SYS><Symantec Corporation>
[Microsoft 用于 High Definition Audio 的 UAA 总线驱动程序 / HDAudBus]
<system32\DRIVERS\HDAudBus.sys><Windows (R) Server 2003 DDK provider>
[hpcisss / hpcisss]
<C:\WINDOWS\SYSTEM32\DRIVERS\hpcisss.SYS><Hewlett-Packard Company>
[Service for Realtek HD Audio (WDM) / IntcAzAudAddService]
<system32\drivers\RtkHDAud.sys><Realtek Semiconductor Corp.>
[KBWatch / KBWatch]
<C:\WINDOWS\SYSTEM32\DRIVERS\KBWatch.SYS><N/A>
[Logitech SetPoint Keyboard Driver / L8042Kbd]
<system32\DRIVERS\L8042Kbd.sys><Logitech Inc.>
[SetPoint PS/2 Mouse Filter Driver / L8042mou]
<system32\DRIVERS\L8042mou.Sys><Logitech Inc.>
[LanPort / LanPort]
<\??\C:\WINDOWS\system32\drivers\LanPort.sys><N/A>
[SetPoint HID Mouse Filter Driver / LHidKe]
<system32\DRIVERS\LHidKE.Sys><Logitech Inc.>
[SetPoint Mouse Filter Driver / LMouKE]
<system32\DRIVERS\LMouKE.Sys><Logitech Inc.>
[loreyi0 / loreyi01]
<\SystemRoot\System32\DRIVERS\loreyi01.sys><N/A>
[msprotect / msprotect]
<system32\DRIVERS\msprotect.sys><Windows (R) 2000 DDK provider>
[NAVENG / NAVENG]
<\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20061224.008\naveng.sys><Symantec Corporation>
[NAVEX15 / NAVEX15]
<\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20061224.008\navex15.sys><Symantec Corporation>
[nv / nv]
<system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[nvata / nvata]
<\SystemRoot\system32\DRIVERS\nvata.sys><NVIDIA Corporation>
[NVIDIA nForce Networking Controller Driver / NVENETFD]
<system32\DRIVERS\NVENETFD.sys><NVIDIA Corporation>
[NVIDIA Network Bus Enumerator / nvnetbus]
<system32\DRIVERS\nvnetbus.sys><NVIDIA Corporation>
[parcls / parcls]
<\??\C:\WINDOWS\system32\drivers\parcls.sys><N/A>
[Psx Hid to Gamepad Port Enabler / PSXGamepadEnabler]
<system32\drivers\psxpad.sys><Y.Kimura>
[Psx Port Enumerator / PsxPortEnumerator]
<System32\Drivers\psxenum.sys><Y.Kimura>
[Direct Parallel Link Driver / Ptilink]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[PxHelp20 / PxHelp20]
<\SystemRoot\System32\Drivers\PxHelp20.sys><Sonic Solutions>
[SAVRT / SAVRT]
<\??\D:\tools\Symantec AntiVirus\savrt.sys><Symantec Corporation>
[SAVRTPEL / SAVRTPEL]
<\??\D:\tools\Symantec AntiVirus\Savrtpel.sys><Symantec Corporation>
[Secdrv / Secdrv]
<system32\DRIVERS\secdrv.sys><Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.>
[SPBBCDrv / SPBBCDrv]
<\??\C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys><Symantec Corporation>
[SymEvent / SymEvent]
<\??\C:\Program Files\Symantec\SYMEVENT.SYS><Symantec Corporation>
驱动程序
[a347bus / a347bus]
<\SystemRoot\system32\DRIVERS\a347bus.sys><>
[a347scsi / a347scsi]
<\SystemRoot\System32\Drivers\a347scsi.sys><>
[AmdIde / AmdIde]
<C:\WINDOWS\SYSTEM32\DRIVERS\AmdIde.SYS><Microsoft Corporation>
[amdk5 / amdk5]
<\??\C:\WINDOWS\system32\drivers\amdk5.sys><N/A>
[arc / arc]
<C:\WINDOWS\SYSTEM32\DRIVERS\arc.SYS><Adaptec, Inc.>
[标准 IDE/ESDI 硬盘控制器 / atapi]
<\SystemRoot\system32\DRIVERS\atapi.sys><N/A>
[AVG Anti-Spyware Driver / AVG Anti-Spyware Driver]
<\??\d:\tools\AVG Anti-Spyware 7.5\guard.sys><N/A>
[AVG Anti-Spyware Clean Driver / AvgAsCln]
<System32\DRIVERS\AvgAsCln.sys><GRISOFT, s.r.o.>
[awecho / awecho]
<system32\drivers\awechomd.sys><Symantec Corporation>
[awlegacy / awlegacy]
<\SystemRoot\System32\Drivers\awlegacy.sys><Symantec Corporation>
[AW_HOST / AW_HOST]
<system32\drivers\aw_host5.sys><Symantec Corporation>
[cog / cog]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cogavs><N/A>
[Symantec Eraser Control driver / eeCtrl]
<\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys><Symantec Corporation>
[EraserUtilRebootDrv / EraserUtilRebootDrv]
<\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys><Symantec Corporation>
[Gernuwa / Gernuwa]
<C:\WINDOWS\SYSTEM32\DRIVERS\Gernuwa.SYS><Symantec Corporation>
[Microsoft 用于 High Definition Audio 的 UAA 总线驱动程序 / HDAudBus]
<system32\DRIVERS\HDAudBus.sys><Windows (R) Server 2003 DDK provider>
[hpcisss / hpcisss]
<C:\WINDOWS\SYSTEM32\DRIVERS\hpcisss.SYS><Hewlett-Packard Company>
[Service for Realtek HD Audio (WDM) / IntcAzAudAddService]
<system32\drivers\RtkHDAud.sys><Realtek Semiconductor Corp.>
[KBWatch / KBWatch]
<C:\WINDOWS\SYSTEM32\DRIVERS\KBWatch.SYS><N/A>
[Logitech SetPoint Keyboard Driver / L8042Kbd]
<system32\DRIVERS\L8042Kbd.sys><Logitech Inc.>
[SetPoint PS/2 Mouse Filter Driver / L8042mou]
<system32\DRIVERS\L8042mou.Sys><Logitech Inc.>
[LanPort / LanPort]
<\??\C:\WINDOWS\system32\drivers\LanPort.sys><N/A>
[SetPoint HID Mouse Filter Driver / LHidKe]
<system32\DRIVERS\LHidKE.Sys><Logitech Inc.>
[SetPoint Mouse Filter Driver / LMouKE]
<system32\DRIVERS\LMouKE.Sys><Logitech Inc.>
[loreyi0 / loreyi01]
<\SystemRoot\System32\DRIVERS\loreyi01.sys><N/A>
[msprotect / msprotect]
<system32\DRIVERS\msprotect.sys><Windows (R) 2000 DDK provider>
[NAVENG / NAVENG]
<\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20061224.008\naveng.sys><Symantec Corporation>
[NAVEX15 / NAVEX15]
<\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20061224.008\navex15.sys><Symantec Corporation>
[nv / nv]
<system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[nvata / nvata]
<\SystemRoot\system32\DRIVERS\nvata.sys><NVIDIA Corporation>
[NVIDIA nForce Networking Controller Driver / NVENETFD]
<system32\DRIVERS\NVENETFD.sys><NVIDIA Corporation>
[NVIDIA Network Bus Enumerator / nvnetbus]
<system32\DRIVERS\nvnetbus.sys><NVIDIA Corporation>
[parcls / parcls]
<\??\C:\WINDOWS\system32\drivers\parcls.sys><N/A>
[Psx Hid to Gamepad Port Enabler / PSXGamepadEnabler]
<system32\drivers\psxpad.sys><Y.Kimura>
[Psx Port Enumerator / PsxPortEnumerator]
<System32\Drivers\psxenum.sys><Y.Kimura>
[Direct Parallel Link Driver / Ptilink]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[PxHelp20 / PxHelp20]
<\SystemRoot\System32\Drivers\PxHelp20.sys><Sonic Solutions>
[SAVRT / SAVRT]
<\??\D:\tools\Symantec AntiVirus\savrt.sys><Symantec Corporation>
[SAVRTPEL / SAVRTPEL]
<\??\D:\tools\Symantec AntiVirus\Savrtpel.sys><Symantec Corporation>
[Secdrv / Secdrv]
<system32\DRIVERS\secdrv.sys><Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.>
[SPBBCDrv / SPBBCDrv]
<\??\C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys><Symantec Corporation>
[SymEvent / SymEvent]
<\??\C:\Program Files\Symantec\SYMEVENT.SYS><Symantec Corporation>
#2
==================================
浏览器加载项
[IEMonitor Class]
{08A312BB-5409-49FC-9347-54BB7D069AC6} <C:\WINDOWS\system32\IESHEL~1.DLL, >
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, N/A>
[Google Bar]
{12365484-96a1-6974-3269-123555124655} <C:\WINDOWS\system32\GoogleBar.dll, Google Inc.>
[实用搜索]
{6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[XBTBPos00 Class]
{72A7F654-0DF2-4E24-8CC7-C32CABCBE3E7} <C:\PROGRA~1\ABOBEF~1\CAB301~1.DLL, N/A>
[XBTBPos00 Class]
{88C43374-ECEE-4DB9-A06E-F69C7871B0A9} <C:\PROGRA~1\ABOBEF~1\tbu09997\CAB301~1.DLL, N/A>
[BrowserProxy4]
{BCF4D74B-E6BD-4C8F-83D7-90D6439705B9} <C:\WINDOWS\system32\AlxTbl.dll, Alexa Internet>
[IEHlprObj Class]
{DE7C3CF0-4B15-11D1-ABED-709549C10000} <C:\WINDOWS\POPNTS.DLL, >
[cnwin Class]
{EC497BD8-460F-44F0-B2A4-8C2B2198035B} <C:\WINDOWS\system32\cnwin.dll, N/A>
[gFlash Class]
{F156768E-81EF-470C-9057-481BA8380DBA} <D:\tools\FlashGet\getflash.dll, N/A>
[FlashGet]
{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} <D:\TOOLS\FlashGet\FLASHGET.EXE, FlashGet.com>
[FlashGet Bar]
{E0E899AB-F487-11D5-8D29-0050BA6940E3} <D:\tools\FlashGet\FGIEBAR.DLL, Amaze Soft>
[Abobe Flash Play 9]
{DF9C07B2-C8C1-4FEA-B0FE-5E0709162B26} <C:\Program Files\Abobe Flash Play 9\Cab301b48.dll, N/A>
[实用搜索工具条2.0]
{03465FF5-00AE-411a-9C34-960ED566EC03} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[Abobe Flash Play 9]
{F85E8BAB-1A14-4090-9C50-6B9141450239} <C:\Program Files\Abobe Flash Play 9\tbu09997\Cab301b48.dll, N/A>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, N/A>
[iTrusPTA Class]
{1E0DFFCF-27FF-4574-849B-55007349FEDA} <C:\WINDOWS\system32\aliedit\pta.dll, >
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[VnetAnprIns Class]
{74447F9C-5691-4A9A-8BE4-564092E40B03} <C:\WINDOWS\Downloaded Program Files\anprins.dll, 中国电信股份有限公司>
[AxSubmitControl Class]
{8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} <C:\WINDOWS\DOWNLO~1\SUBMIT~1.DLL, >
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[实用搜索工具条2.0]
{03465FF5-00AE-411A-9C34-960ED566EC03} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[IEMonitor Class]
{08A312BB-5409-49FC-9347-54BB7D069AC6} <C:\WINDOWS\system32\IESHEL~1.DLL, >
[Edit Class]
{0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} <C:\WINDOWS\system32\CMBEdit.dll, >
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, N/A>
[Google Bar]
{12365484-96A1-6974-3269-123555124655} <C:\WINDOWS\system32\GoogleBar.dll, Google Inc.>
[Fade]
{16B280C5-EE70-11D1-9066-00C04FD9189D} <C:\WINDOWS\system32\dxtmsft.dll, Microsoft Corporation>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, N/A>
[iTrusPTA Class]
{1E0DFFCF-27FF-4574-849B-55007349FEDA} <C:\WINDOWS\system32\aliedit\pta.dll, >
[Windows Media Player]
{22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[WaVodIp Control]
{2D63E06B-AD06-46FD-8C00-03EF45E9219D} <C:\PROGRA~1\WaVideo\WaVodIp\WaVodIp.ocx, N/A>
[HtmlDlgSafeHelper Class]
{3050F819-98B5-11CF-BB82-00AA00BDCE0B} <C:\WINDOWS\system32\mshtmled.dll, Microsoft Corporation>
[XML Document]
{48123BC4-99D9-11D1-A6B3-00C04FD91555} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[CEditCtrl Object]
{488A4255-3236-44B3-8F27-FA1AECAA8844} <C:\WINDOWS\system32\aliedit\AliEdit.dll, www.alipay.com>
[Shell Name Space]
{55136805-B2DE-11D1-B9F2-00A0C98BC547} <%SystemRoot%\system32\shdocvw.dll, N/A>
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[Windows Media Player]
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[实用搜索]
{6CFD436C-7AAD-4E50-992F-C0C87A94CAD2} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[WangWangObj Class]
{6E213FC7-DD5A-4115-B7E6-D4C7838C361E} <D:\tools\淘宝旺旺\WangWangX1.dll, >
[XBTBPos00 Class]
{72A7F654-0DF2-4E24-8CC7-C32CABCBE3E7} <C:\PROGRA~1\ABOBEF~1\CAB301~1.DLL, N/A>
[AxInputControl Class]
{73E4740C-08EB-4133-896B-8D0A7C9EE3CD} <C:\WINDOWS\DOWNLO~1\INPUTC~1.DLL, >
[VnetAnprIns Class]
{74447F9C-5691-4A9A-8BE4-564092E40B03} <C:\WINDOWS\Downloaded Program Files\anprins.dll, 中国电信股份有限公司>
[Microsoft Web 浏览器]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[XBTBPos00 Class]
{88C43374-ECEE-4DB9-A06E-F69C7871B0A9} <C:\PROGRA~1\ABOBEF~1\tbu09997\CAB301~1.DLL, N/A>
[XML HTTP 4.0]
{88D969C5-F192-11D4-A65F-0040963251E5} <C:\WINDOWS\system32\msxml4.dll, Microsoft Corporation>
[AxSubmitControl Class]
{8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} <C:\WINDOWS\DOWNLO~1\SUBMIT~1.DLL, >
[RMGetLicense Class]
{A9FC132B-096D-460B-B7D5-1DB0FAE0C062} <C:\WINDOWS\system32\msnetobj.dll, Microsoft Corporation>
[WebVGPlayer Class]
{AA899B43-24BD-4B6B-BBD0-45557D8D11E0} <C:\PROGRA~1\WaVideo\MyPlayer.dll, N/A>
[Microsoft Scriptlet Component]
{AE24FDAE-03C6-11D1-8B76-0080C744F389} <C:\WINDOWS\system32\mshtml.dll, Microsoft Corporation>
[BrowserProxy4]
{BCF4D74B-E6BD-4C8F-83D7-90D6439705B9} <C:\WINDOWS\system32\AlxTbl.dll, Alexa Internet>
[RDS.DataSpace]
{BD96C556-65A3-11D0-983A-00C04FC29E36} <C:\Program Files\Common Files\system\msadc\msadco.dll, Microsoft Corporation>
[DHTML Edit Control Safe for Scripting for IE6]
{BF3FF9A2-AC03-40A1-BA0F-F31076325AA7} <C:\Program Files\Common Files\Microsoft Shared\TriEdit\dhtmled.ocx, Microsoft Corporation>
[VIDEO__X_MS_ASF Moniker Class]
{CD3AFA8F-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[RealPlayer G2 Control]
{CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[IEHlprObj Class]
{DE7C3CF0-4B15-11D1-ABED-709549C10000} <C:\WINDOWS\POPNTS.DLL, >
[Abobe Flash Play 9]
{DF9C07B2-C8C1-4FEA-B0FE-5E0709162B26} <C:\Program Files\Abobe Flash Play 9\Cab301b48.dll, N/A>
[FlashGet Bar]
{E0E899AB-F487-11D5-8D29-0050BA6940E3} <D:\tools\FlashGet\FGIEBAR.DLL, Amaze Soft>
[cnwin Class]
{EC497BD8-460F-44F0-B2A4-8C2B2198035B} <C:\WINDOWS\system32\cnwin.dll, N/A>
[XML HTTP Request]
{ED8C108E-4349-11D2-91A4-00C04F7969E8} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[gFlash Class]
{F156768E-81EF-470C-9057-481BA8380DBA} <D:\tools\FlashGet\getflash.dll, N/A>
[PBActiveX40 Control]
{F2EB8999-766E-4BF6-AAAD-188D398C0D0B} <C:\WINDOWS\system32\CMBPB40.ocx, China Merchants Bank>
[XML HTTP 3.0]
{F5078F35-C551-11D3-89B9-0000F81FE221} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[XML DOM Document]
{F6D90F11-9C73-11D3-B32E-00C04F990BB4} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[XML HTTP]
{F6D90F16-9C73-11D3-B32E-00C04F990BB4} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[Abobe Flash Play 9]
{F85E8BAB-1A14-4090-9C50-6B9141450239} <C:\Program Files\Abobe Flash Play 9\tbu09997\Cab301b48.dll, N/A>
[使用网际快车下载]
<D:\TOOLS\FlashGet\jc_link.htm, N/A>
[使用网际快车下载全部链接]
<D:\TOOLS\FlashGet\jc_all.htm, N/A>
[用比特精灵下载(&B)]
<D:\tools\BitSpirit\bsurl.htm, N/A>
浏览器加载项
[IEMonitor Class]
{08A312BB-5409-49FC-9347-54BB7D069AC6} <C:\WINDOWS\system32\IESHEL~1.DLL, >
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, N/A>
[Google Bar]
{12365484-96a1-6974-3269-123555124655} <C:\WINDOWS\system32\GoogleBar.dll, Google Inc.>
[实用搜索]
{6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[XBTBPos00 Class]
{72A7F654-0DF2-4E24-8CC7-C32CABCBE3E7} <C:\PROGRA~1\ABOBEF~1\CAB301~1.DLL, N/A>
[XBTBPos00 Class]
{88C43374-ECEE-4DB9-A06E-F69C7871B0A9} <C:\PROGRA~1\ABOBEF~1\tbu09997\CAB301~1.DLL, N/A>
[BrowserProxy4]
{BCF4D74B-E6BD-4C8F-83D7-90D6439705B9} <C:\WINDOWS\system32\AlxTbl.dll, Alexa Internet>
[IEHlprObj Class]
{DE7C3CF0-4B15-11D1-ABED-709549C10000} <C:\WINDOWS\POPNTS.DLL, >
[cnwin Class]
{EC497BD8-460F-44F0-B2A4-8C2B2198035B} <C:\WINDOWS\system32\cnwin.dll, N/A>
[gFlash Class]
{F156768E-81EF-470C-9057-481BA8380DBA} <D:\tools\FlashGet\getflash.dll, N/A>
[FlashGet]
{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} <D:\TOOLS\FlashGet\FLASHGET.EXE, FlashGet.com>
[FlashGet Bar]
{E0E899AB-F487-11D5-8D29-0050BA6940E3} <D:\tools\FlashGet\FGIEBAR.DLL, Amaze Soft>
[Abobe Flash Play 9]
{DF9C07B2-C8C1-4FEA-B0FE-5E0709162B26} <C:\Program Files\Abobe Flash Play 9\Cab301b48.dll, N/A>
[实用搜索工具条2.0]
{03465FF5-00AE-411a-9C34-960ED566EC03} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[Abobe Flash Play 9]
{F85E8BAB-1A14-4090-9C50-6B9141450239} <C:\Program Files\Abobe Flash Play 9\tbu09997\Cab301b48.dll, N/A>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, N/A>
[iTrusPTA Class]
{1E0DFFCF-27FF-4574-849B-55007349FEDA} <C:\WINDOWS\system32\aliedit\pta.dll, >
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[VnetAnprIns Class]
{74447F9C-5691-4A9A-8BE4-564092E40B03} <C:\WINDOWS\Downloaded Program Files\anprins.dll, 中国电信股份有限公司>
[AxSubmitControl Class]
{8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} <C:\WINDOWS\DOWNLO~1\SUBMIT~1.DLL, >
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[实用搜索工具条2.0]
{03465FF5-00AE-411A-9C34-960ED566EC03} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[IEMonitor Class]
{08A312BB-5409-49FC-9347-54BB7D069AC6} <C:\WINDOWS\system32\IESHEL~1.DLL, >
[Edit Class]
{0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} <C:\WINDOWS\system32\CMBEdit.dll, >
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, N/A>
[Google Bar]
{12365484-96A1-6974-3269-123555124655} <C:\WINDOWS\system32\GoogleBar.dll, Google Inc.>
[Fade]
{16B280C5-EE70-11D1-9066-00C04FD9189D} <C:\WINDOWS\system32\dxtmsft.dll, Microsoft Corporation>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, N/A>
[iTrusPTA Class]
{1E0DFFCF-27FF-4574-849B-55007349FEDA} <C:\WINDOWS\system32\aliedit\pta.dll, >
[Windows Media Player]
{22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[WaVodIp Control]
{2D63E06B-AD06-46FD-8C00-03EF45E9219D} <C:\PROGRA~1\WaVideo\WaVodIp\WaVodIp.ocx, N/A>
[HtmlDlgSafeHelper Class]
{3050F819-98B5-11CF-BB82-00AA00BDCE0B} <C:\WINDOWS\system32\mshtmled.dll, Microsoft Corporation>
[XML Document]
{48123BC4-99D9-11D1-A6B3-00C04FD91555} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[CEditCtrl Object]
{488A4255-3236-44B3-8F27-FA1AECAA8844} <C:\WINDOWS\system32\aliedit\AliEdit.dll, www.alipay.com>
[Shell Name Space]
{55136805-B2DE-11D1-B9F2-00A0C98BC547} <%SystemRoot%\system32\shdocvw.dll, N/A>
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[Windows Media Player]
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[实用搜索]
{6CFD436C-7AAD-4E50-992F-C0C87A94CAD2} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[WangWangObj Class]
{6E213FC7-DD5A-4115-B7E6-D4C7838C361E} <D:\tools\淘宝旺旺\WangWangX1.dll, >
[XBTBPos00 Class]
{72A7F654-0DF2-4E24-8CC7-C32CABCBE3E7} <C:\PROGRA~1\ABOBEF~1\CAB301~1.DLL, N/A>
[AxInputControl Class]
{73E4740C-08EB-4133-896B-8D0A7C9EE3CD} <C:\WINDOWS\DOWNLO~1\INPUTC~1.DLL, >
[VnetAnprIns Class]
{74447F9C-5691-4A9A-8BE4-564092E40B03} <C:\WINDOWS\Downloaded Program Files\anprins.dll, 中国电信股份有限公司>
[Microsoft Web 浏览器]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[XBTBPos00 Class]
{88C43374-ECEE-4DB9-A06E-F69C7871B0A9} <C:\PROGRA~1\ABOBEF~1\tbu09997\CAB301~1.DLL, N/A>
[XML HTTP 4.0]
{88D969C5-F192-11D4-A65F-0040963251E5} <C:\WINDOWS\system32\msxml4.dll, Microsoft Corporation>
[AxSubmitControl Class]
{8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} <C:\WINDOWS\DOWNLO~1\SUBMIT~1.DLL, >
[RMGetLicense Class]
{A9FC132B-096D-460B-B7D5-1DB0FAE0C062} <C:\WINDOWS\system32\msnetobj.dll, Microsoft Corporation>
[WebVGPlayer Class]
{AA899B43-24BD-4B6B-BBD0-45557D8D11E0} <C:\PROGRA~1\WaVideo\MyPlayer.dll, N/A>
[Microsoft Scriptlet Component]
{AE24FDAE-03C6-11D1-8B76-0080C744F389} <C:\WINDOWS\system32\mshtml.dll, Microsoft Corporation>
[BrowserProxy4]
{BCF4D74B-E6BD-4C8F-83D7-90D6439705B9} <C:\WINDOWS\system32\AlxTbl.dll, Alexa Internet>
[RDS.DataSpace]
{BD96C556-65A3-11D0-983A-00C04FC29E36} <C:\Program Files\Common Files\system\msadc\msadco.dll, Microsoft Corporation>
[DHTML Edit Control Safe for Scripting for IE6]
{BF3FF9A2-AC03-40A1-BA0F-F31076325AA7} <C:\Program Files\Common Files\Microsoft Shared\TriEdit\dhtmled.ocx, Microsoft Corporation>
[VIDEO__X_MS_ASF Moniker Class]
{CD3AFA8F-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[RealPlayer G2 Control]
{CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[IEHlprObj Class]
{DE7C3CF0-4B15-11D1-ABED-709549C10000} <C:\WINDOWS\POPNTS.DLL, >
[Abobe Flash Play 9]
{DF9C07B2-C8C1-4FEA-B0FE-5E0709162B26} <C:\Program Files\Abobe Flash Play 9\Cab301b48.dll, N/A>
[FlashGet Bar]
{E0E899AB-F487-11D5-8D29-0050BA6940E3} <D:\tools\FlashGet\FGIEBAR.DLL, Amaze Soft>
[cnwin Class]
{EC497BD8-460F-44F0-B2A4-8C2B2198035B} <C:\WINDOWS\system32\cnwin.dll, N/A>
[XML HTTP Request]
{ED8C108E-4349-11D2-91A4-00C04F7969E8} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[gFlash Class]
{F156768E-81EF-470C-9057-481BA8380DBA} <D:\tools\FlashGet\getflash.dll, N/A>
[PBActiveX40 Control]
{F2EB8999-766E-4BF6-AAAD-188D398C0D0B} <C:\WINDOWS\system32\CMBPB40.ocx, China Merchants Bank>
[XML HTTP 3.0]
{F5078F35-C551-11D3-89B9-0000F81FE221} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[XML DOM Document]
{F6D90F11-9C73-11D3-B32E-00C04F990BB4} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[XML HTTP]
{F6D90F16-9C73-11D3-B32E-00C04F990BB4} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[Abobe Flash Play 9]
{F85E8BAB-1A14-4090-9C50-6B9141450239} <C:\Program Files\Abobe Flash Play 9\tbu09997\Cab301b48.dll, N/A>
[使用网际快车下载]
<D:\TOOLS\FlashGet\jc_link.htm, N/A>
[使用网际快车下载全部链接]
<D:\TOOLS\FlashGet\jc_all.htm, N/A>
[用比特精灵下载(&B)]
<D:\tools\BitSpirit\bsurl.htm, N/A>
#3
七年才重装一次,我一年重装七次都有.
#4
七年前装的系统?
#5
Windows Server 2003 "R2" Enterprise Edition Service Pack 1 (Build 3790)
七年前装这个系统,
n的不能在n
七年前装这个系统,
n的不能在n
#6
-_-!!!
#7
进来拜一下七年才重装一次系统的牛人
#8
如果真的是很忙的,就必要这么多杀毒的都装上杀了,要知道,其实很多毒都是杀不干净,比如,你临时文件夹下的那几个病毒和系统自启动项目的几个关联病毒
有时间的话,可以来个彻底清理,不过我估计清理完,系统也是重伤了
说了这么多你也看出来我的意思了,对了,重分区。。。
有时间的话,可以来个彻底清理,不过我估计清理完,系统也是重伤了
说了这么多你也看出来我的意思了,对了,重分区。。。
#9
如果真的是很忙的,就必要这么多杀毒的都装上杀了,要知道,其实很多毒都是杀不干净,比如,你临时文件夹下的那几个病毒和系统自启动项目的几个关联病毒
有时间的话,可以来个彻底清理,不过我估计清理完,系统也是重伤了
说了这么多你也看出来我的意思了,对了,重分区。。。
有时间的话,可以来个彻底清理,不过我估计清理完,系统也是重伤了
说了这么多你也看出来我的意思了,对了,重分区。。。
#10
重装吧 我一星期最多重装5次
顺便给你推荐个东西
deepfreezing 这个东东好 ,就是只要重起就恢复原状,什么杀毒软件,防木马软件,统统的不用,不爽了就重起。 自己设定保护哪个盘。
顺便给你推荐个东西
deepfreezing 这个东东好 ,就是只要重起就恢复原状,什么杀毒软件,防木马软件,统统的不用,不爽了就重起。 自己设定保护哪个盘。
#11
够详细的…………
只好重装,我俩月一次
只好重装,我俩月一次
#12
这么多小学没毕业的?
"第一次被搞的想重装"="第一次重装" ???
就是不想重装才来这里问,而且DE也感染,光格C怕不干净,DE里面很多重要的东西。
系统还原的靠边站。
"第一次被搞的想重装"="第一次重装" ???
就是不想重装才来这里问,而且DE也感染,光格C怕不干净,DE里面很多重要的东西。
系统还原的靠边站。
#13
为了数据考虑的话,先杀掉D,E盘的毒是第一步,你的C盘很明显有很多毒,在TEMP和SYSTEN32下面都有,而且我不敢肯定你的杀毒和SVCH0ST.EXE等系统关键程序是否也中毒了。
而且很明显,你的其他盘里肯定也有很多EXE自动执行文件包括很多的INF文件和INI文件。
你要做的第一步是细心观察每次打开盘的时候,会不会出现一个隐藏的文件一闪而过(要打开系统保护文件和隐藏文件的显示)。看看是什么。确定是不是所有的EXE都中毒了。
如果连杀毒软件都中毒了,你会相信他还能杀出毒来吗?
我对于这件事的处理方式(曾经的)
先把所有的文件显示,关闭所有的启动项目和不相干进程,装上诺顿和卡巴加EWIDO,并且升级到最新版本。这个是最重要的,是最新版本,另外还有几个小工具,例如KILLBOX,SRENG2等。
自己制作BAT文件,大概是删除机器里所有的AOTURUN。INF等你认为可疑的文件,在删除之前用记事本打开此文件看里面关联到的EXE和DLL文件,并记下以便手动删除,下载好相关的专杀,例如,ROSE,HOST等,主要是看你打开盘符时一闪而过的文件而定。
进入安全模式,诺顿或卡巴杀毒开始杀毒,诺顿Symantec.AntiViru.Corporate.Edition.v10.1.4.400.SC版本是我推荐的,因为他可以清楚病毒的同时,还可以修复文件。
而卡巴6.0最新版本也是比较推荐的,对于一些很隐秘的病毒,他的能力强于诺顿。EWIDO也可以杀出他们两个杀不出的很多病毒,。
专杀工具,手动删除。一起来。
等全部杀完估计一天时间就没了。然后备份到你的非EXE文件到一个移动盘内。数据量巨大。。估计半天时间也完了,写保护。
重新分区。将写保护盘内所有数据放入新盘,重建系统。
如果你认为已经杀干净了,就不用备份文件出来了。
如果病毒真的很厉害,时间不充裕的话,重分区是最快的了
而且很明显,你的其他盘里肯定也有很多EXE自动执行文件包括很多的INF文件和INI文件。
你要做的第一步是细心观察每次打开盘的时候,会不会出现一个隐藏的文件一闪而过(要打开系统保护文件和隐藏文件的显示)。看看是什么。确定是不是所有的EXE都中毒了。
如果连杀毒软件都中毒了,你会相信他还能杀出毒来吗?
我对于这件事的处理方式(曾经的)
先把所有的文件显示,关闭所有的启动项目和不相干进程,装上诺顿和卡巴加EWIDO,并且升级到最新版本。这个是最重要的,是最新版本,另外还有几个小工具,例如KILLBOX,SRENG2等。
自己制作BAT文件,大概是删除机器里所有的AOTURUN。INF等你认为可疑的文件,在删除之前用记事本打开此文件看里面关联到的EXE和DLL文件,并记下以便手动删除,下载好相关的专杀,例如,ROSE,HOST等,主要是看你打开盘符时一闪而过的文件而定。
进入安全模式,诺顿或卡巴杀毒开始杀毒,诺顿Symantec.AntiViru.Corporate.Edition.v10.1.4.400.SC版本是我推荐的,因为他可以清楚病毒的同时,还可以修复文件。
而卡巴6.0最新版本也是比较推荐的,对于一些很隐秘的病毒,他的能力强于诺顿。EWIDO也可以杀出他们两个杀不出的很多病毒,。
专杀工具,手动删除。一起来。
等全部杀完估计一天时间就没了。然后备份到你的非EXE文件到一个移动盘内。数据量巨大。。估计半天时间也完了,写保护。
重新分区。将写保护盘内所有数据放入新盘,重建系统。
如果你认为已经杀干净了,就不用备份文件出来了。
如果病毒真的很厉害,时间不充裕的话,重分区是最快的了
#14
7年前的电脑?
#15
试试 新建一个用户 ...如果相对正常 就用杀毒软件和手工试试....
#16
请删除[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下的
<RealUpdate><C:\WINDOWS\system32\update/Update.exe> [N/A]
<myMh2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mh2\iexpl0re.EXE> [N/A]
<myZt2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Zt2\SVCH0ST.EXE> [N/A]
<Desktop><"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Run> []
<loreyi01><%systemroot%\system32\Rundll32.exe %systemroot%\system32\loreyi01.dll,DllUnregisterServer> [N/A]
删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<twin><C:\WINDOWS\system32\twunk32.exe> [N/A]
使用killbox或者unlocker删除533931M.BMP,位置应该是在windows目录或者windows\system32\下.
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<WebSecurity><C:\WINDOWS\system32\PvSec.dll> [N/A]
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [Microsoft Corporation]
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PCANotify]
<WinlogonNotify: PCANotify><PCANotify.dll> [Symantec Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\WINDOWS\system32\rpcc.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCardLogn]
<WinlogonNotify: ScCardLogn><C:\WINDOWS\ScNotify.dll> [Microsoft Corporation]
使用sreng来删除以下服务
[9B65D47C / 9B65D47C]
<C:\WINDOWS\system32\9B65D47C.EXE -service><N/A>
[Symantec pcAnywhere Host Service / awhost32]
<D:\tools\pcAnywhere\awhost32.exe><Symantec Corporation>(这个如果确认是你自己安装的可以不删)
[Windows Gateway / Investor]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\fllog.dll><Microsoft Corporation>
[MessageService / MessageService]
<C:\WINDOWS\system32\Svchost.exe -k MessageService-->C:\WINDOWS\system32\MDserivce\Svchost.dll><Microsoft Corporation>
[Microsoft Search / MSSEARCH]
<"C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe"><Microsoft Corporation>
[Remote Access Connection Management / Remote Access Connection Management]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\Program Files\Messenger\msnhost.dll><N/A>
[Registry Protector / SOCEESe]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\POJTI.DLL,Export 1087><N/A>
[VirtualHardwareProtect / VirtualHardwareProtect]
<C:\WINDOWS\inf\msvhpss.exe><Microsoft Corporation>
[Windows NT Service32 / Windows NT Service32]
<"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Start><Microsoft Corporation>
[Portable Media Serial Number Service / WmdmPmSN]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\MsPMSNSv.dll><Microsoft Corporation>
[Windows Media Player Network Sharing Service / WMPNetworkSvc]
<"C:\Program Files\Windows Media Player\WMPNetwk.exe"><Microsoft Corporation>
另外,有如下驱动需要删除,请使用unlocker或者在DOS下手动清除
[cog / cog]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cogavs><N/A>(这个估计是元凶)
IE被置入了大量BHO内容.请使用恶意软件清理助手或者360安全卫士来清理.
<RealUpdate><C:\WINDOWS\system32\update/Update.exe> [N/A]
<myMh2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mh2\iexpl0re.EXE> [N/A]
<myZt2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Zt2\SVCH0ST.EXE> [N/A]
<Desktop><"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Run> []
<loreyi01><%systemroot%\system32\Rundll32.exe %systemroot%\system32\loreyi01.dll,DllUnregisterServer> [N/A]
删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<twin><C:\WINDOWS\system32\twunk32.exe> [N/A]
使用killbox或者unlocker删除533931M.BMP,位置应该是在windows目录或者windows\system32\下.
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<WebSecurity><C:\WINDOWS\system32\PvSec.dll> [N/A]
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [Microsoft Corporation]
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PCANotify]
<WinlogonNotify: PCANotify><PCANotify.dll> [Symantec Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\WINDOWS\system32\rpcc.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCardLogn]
<WinlogonNotify: ScCardLogn><C:\WINDOWS\ScNotify.dll> [Microsoft Corporation]
使用sreng来删除以下服务
[9B65D47C / 9B65D47C]
<C:\WINDOWS\system32\9B65D47C.EXE -service><N/A>
[Symantec pcAnywhere Host Service / awhost32]
<D:\tools\pcAnywhere\awhost32.exe><Symantec Corporation>(这个如果确认是你自己安装的可以不删)
[Windows Gateway / Investor]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\fllog.dll><Microsoft Corporation>
[MessageService / MessageService]
<C:\WINDOWS\system32\Svchost.exe -k MessageService-->C:\WINDOWS\system32\MDserivce\Svchost.dll><Microsoft Corporation>
[Microsoft Search / MSSEARCH]
<"C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe"><Microsoft Corporation>
[Remote Access Connection Management / Remote Access Connection Management]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\Program Files\Messenger\msnhost.dll><N/A>
[Registry Protector / SOCEESe]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\POJTI.DLL,Export 1087><N/A>
[VirtualHardwareProtect / VirtualHardwareProtect]
<C:\WINDOWS\inf\msvhpss.exe><Microsoft Corporation>
[Windows NT Service32 / Windows NT Service32]
<"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Start><Microsoft Corporation>
[Portable Media Serial Number Service / WmdmPmSN]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\MsPMSNSv.dll><Microsoft Corporation>
[Windows Media Player Network Sharing Service / WMPNetworkSvc]
<"C:\Program Files\Windows Media Player\WMPNetwk.exe"><Microsoft Corporation>
另外,有如下驱动需要删除,请使用unlocker或者在DOS下手动清除
[cog / cog]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cogavs><N/A>(这个估计是元凶)
IE被置入了大量BHO内容.请使用恶意软件清理助手或者360安全卫士来清理.
#17
以上操作请尽量在安全模式下进行.以避免病毒重新生成.
#18
7年来第一次被搞的想重装
为什么不说是7千年啊
为什么不说是7千年啊
#19
支持MseRen的做法
凡是C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\下启动的程序都是病毒
另外看一下我的博客http://blog.csdn.net/wadefelix/ 应该会有收获
因为我也遇到过twunk32.exe
http://blog.csdn.net/wadefelix/archive/2006/12/26/1463211.aspx
凡是C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\下启动的程序都是病毒
另外看一下我的博客http://blog.csdn.net/wadefelix/ 应该会有收获
因为我也遇到过twunk32.exe
http://blog.csdn.net/wadefelix/archive/2006/12/26/1463211.aspx
#20
大家不要笑楼主
我2002年才开始接触电脑,但是我从来没有因为中毒而重装过系统。
我2002年才开始接触电脑,但是我从来没有因为中毒而重装过系统。
#21
汗,我经常重装
#22
如果7年来——不因为病毒、流氓软件而重新安装,
说明:
1、楼主忍耐力高——绝对很高
2、机器利用率不高,不进行搜索资料之类的操作——至少不是频繁
无论如何我不相信楼主是因为水平高而不重装的。我见过太多的“忍耐高手”,机器里面你可以找到所有的垃圾工具和流氓软件,觉得特别慢了才重新安装。
AVG+诺顿+卡巴+NOD32+木马克星+RogueCleaner
IceSword+SREng+unlocker+超级巡警+手动
把能想到的工具,都集合起来的,一般就是这类人——觉得自己很牛X的。其中有几个我也经常用,但是绝对不会 诺顿+卡巴+NOD32,不是杀毒软件越多越好的。
说明:
1、楼主忍耐力高——绝对很高
2、机器利用率不高,不进行搜索资料之类的操作——至少不是频繁
无论如何我不相信楼主是因为水平高而不重装的。我见过太多的“忍耐高手”,机器里面你可以找到所有的垃圾工具和流氓软件,觉得特别慢了才重新安装。
AVG+诺顿+卡巴+NOD32+木马克星+RogueCleaner
IceSword+SREng+unlocker+超级巡警+手动
把能想到的工具,都集合起来的,一般就是这类人——觉得自己很牛X的。其中有几个我也经常用,但是绝对不会 诺顿+卡巴+NOD32,不是杀毒软件越多越好的。
#23
在这个流氓软件满天飞的年代里面——如果楼主完全能够“免疫”,或者完全能够“手动清除”
也算强悍了~~,不过从木马克星+RogueCleaner+IceSword+SREng+unlocker+超级巡警
来看,似乎不怎么样——普通网络维护员水准<可能还达不到>,让人很纳闷,怎么会不中招~~
也算强悍了~~,不过从木马克星+RogueCleaner+IceSword+SREng+unlocker+超级巡警
来看,似乎不怎么样——普通网络维护员水准<可能还达不到>,让人很纳闷,怎么会不中招~~
#24
本来想忙完这几天重装,结果D里面N多东西被植入木马用不了,又没问到什么好办法实在太烦了就重装了。现在装完了用AVG扫一次很正常,注册表,服务,驱动也没问题,暂时算放心了。可惜的是D里面很多文件没了(被诺顿和AVG一人K了一部分),还好以前的东西其他地方有备份,最近的可以根据记忆重新写。
7年来第一次因为中毒而重装系统,感慨很多,要不是没空我一定不会屈服!(不敢再说"7年来第一次被搞的想重装"了,免的有的小学生把他说成"7年来第一次重装",为此把名字都改了……)
to dan1369(游侠唐) :很感谢你的建议,相信以后我会用的上,
to MseRen(陌生e人) :这份扫描报告里面所有东西我都知道是什么,当时我已经在安全模式下先断网然后彻底删除了所有不是我装的而且系统本来没有的(当然包括了你说的全部)文件和键值,很多键值用SREng和regedit都删不掉,后来用IceSword强制删除的,同时清空了所有临时文件夹(系统,所有用户,每个单一用户,IE等),禁用IE和rundll32.exe,AVG+诺顿+卡巴+NOD32扫描后重启上网。开始没什么问题,过段时间大家就慢慢地回来,越来越多……所以我觉得只有2个可能:1,网关或者DNS中毒传给我的(这个可能性很小)2,病毒元凶不在这份报告里,而且AVG+诺顿+卡巴+NOD32查不出来(全部最新版最新病毒库)!所以我把这份报告发出来是想看有没有人知道这元凶是什么病毒或者有没有人类似的情况解决了的。
虽然问题暂时解决了,但为免以后出现类似情况我还想讨论下这个病毒到底怎么杀?元凶是哪(几)个?详细报告贴出来了,说下当时D盘的症状:所有htm,html,xml,js,asp,php,jsp等文件被值入木马,打不开(文件占用),Dreamweaver和UE等用不了(一大堆错误),感觉只要是和WEB或者编程有关的全部中。这不是元凶,是中毒末期才出现的。
7年来第一次因为中毒而重装系统,感慨很多,要不是没空我一定不会屈服!(不敢再说"7年来第一次被搞的想重装"了,免的有的小学生把他说成"7年来第一次重装",为此把名字都改了……)
to dan1369(游侠唐) :很感谢你的建议,相信以后我会用的上,
to MseRen(陌生e人) :这份扫描报告里面所有东西我都知道是什么,当时我已经在安全模式下先断网然后彻底删除了所有不是我装的而且系统本来没有的(当然包括了你说的全部)文件和键值,很多键值用SREng和regedit都删不掉,后来用IceSword强制删除的,同时清空了所有临时文件夹(系统,所有用户,每个单一用户,IE等),禁用IE和rundll32.exe,AVG+诺顿+卡巴+NOD32扫描后重启上网。开始没什么问题,过段时间大家就慢慢地回来,越来越多……所以我觉得只有2个可能:1,网关或者DNS中毒传给我的(这个可能性很小)2,病毒元凶不在这份报告里,而且AVG+诺顿+卡巴+NOD32查不出来(全部最新版最新病毒库)!所以我把这份报告发出来是想看有没有人知道这元凶是什么病毒或者有没有人类似的情况解决了的。
虽然问题暂时解决了,但为免以后出现类似情况我还想讨论下这个病毒到底怎么杀?元凶是哪(几)个?详细报告贴出来了,说下当时D盘的症状:所有htm,html,xml,js,asp,php,jsp等文件被值入木马,打不开(文件占用),Dreamweaver和UE等用不了(一大堆错误),感觉只要是和WEB或者编程有关的全部中。这不是元凶,是中毒末期才出现的。
#25
to lovingkiss(坦白从良 抗拒强奸) :你错了,我是第3种——每天找东西超过3小时,有良好的习惯,不在收藏夹的站点决不开JS和ACTIVEX,下载只定点下,不要的东西决不装,不用的东西马上彻底卸载。至于你说AVG+诺顿+卡巴+NOD32+木马克星+RogueCleaner+IceSword+SREng+unlocker+超级巡警+手动,这是当时实在没办法临时装来试试的,从扫描报告就可以看出我装了什么,对于只看标题不看内容就回复的人无语……
#26
to ATHENA112:看得出来你是有良好习惯的人,至少从你的回复来看你比较有条理。也是个在网络上转的人,不过——不在收藏夹的站点决不开JS和ACTIVEX,下载只定点下。这似乎不是什么特别的地方,门户网站也会让你中毒,360安全卫士论坛也都被嵌入病毒,这都是我亲身经历的。我也喜欢手动清理这些。我遇到的太多太多了,没脾气了。
流氓软件没有太多技术含量——但是一旦中了,几千个更改项目,不是手动能够清理的,太多了。就算不发作了——系统也就崩溃的差不多了,所以基本上每个月Ghost几次,都是很正常。
——我看了你的帖子,才回复的,可能说错了什么。表示歉意。只是猜测,没有恶意。
流氓软件没有太多技术含量——但是一旦中了,几千个更改项目,不是手动能够清理的,太多了。就算不发作了——系统也就崩溃的差不多了,所以基本上每个月Ghost几次,都是很正常。
——我看了你的帖子,才回复的,可能说错了什么。表示歉意。只是猜测,没有恶意。
#27
只能说所有杀毒软件对这类东西的拦截效果,基本为零。
——目前瑞星卡卡的拦截效果,还算不错,但是清理作用,就差了很多。
——目前瑞星卡卡的拦截效果,还算不错,但是清理作用,就差了很多。
#28
楼主可以尝试使用新的sreng2.3重新扫描一下,看是否有所发现.
另外,个人感觉国产的微点主动防御是个不错的防护病毒木马软件.楼主不妨试试.
另外,个人感觉国产的微点主动防御是个不错的防护病毒木马软件.楼主不妨试试.
#29
目前比较厉害的病毒或者木马,基本都是采用高优先级底层驱动加载(安全模式下也会自动加载).同时对自身采用层层保护措施,非常难以清除(恶意的会删除机器中安全模式相关注册表,反侦测各种流行杀毒软件和Icesword之类)
具体例子请用google查找:手动清除MY123.
具体例子请用google查找:手动清除MY123.
#30
看完觉得我才幼儿园毕业!
#31
MseRen(陌生e人) 说得不错,恶意的会让你无法进入安全模式的。而且常用的跟踪工具是无法打开的——什么卡卡、360之类的更不用说了。
#32
病毒多的话,其实很难检测
只要删除的过程中,有漏网之鱼,很可能会全部装回来
病毒可以用dos下面杀,也可以进行光盘引导的操作系统,红叶等
杀毒之前,最好先打全补丁,装个防火墙,几个有力的杀毒软件以及流氓软件卸载工具,和相关的调试工具,如filemon,regmon,secmon等等。
倍份好本机的相关驱动,做好万一清理失败,重装的准备
只要删除的过程中,有漏网之鱼,很可能会全部装回来
病毒可以用dos下面杀,也可以进行光盘引导的操作系统,红叶等
杀毒之前,最好先打全补丁,装个防火墙,几个有力的杀毒软件以及流氓软件卸载工具,和相关的调试工具,如filemon,regmon,secmon等等。
倍份好本机的相关驱动,做好万一清理失败,重装的准备
#33
我的也有这些玩意,不过没有楼主的多
最奇怪的是有一个服务Windows NT Service32我怎么搞也搞不掉,不能禁止
还有注册表下的Run下有一个Desktop的启动项,也删除不掉,我第一次遇到这种情况,
最奇怪的是有一个服务Windows NT Service32我怎么搞也搞不掉,不能禁止
还有注册表下的Run下有一个Desktop的启动项,也删除不掉,我第一次遇到这种情况,
#34
大哥,我很想很想拜你为师啊,给不给机会啊
#35
不管是技术高也好还是忍耐性好也罢,总之七年才装一次系统就已经很牛了,拜一下!一个字:"强"!
#36
牛B
#37
whmjw(明年今日十年之后)
我的也有这些玩意,不过没有楼主的多
最奇怪的是有一个服务Windows NT Service32我怎么搞也搞不掉,不能禁止
还有注册表下的Run下有一个Desktop的启动项,也删除不掉,我第一次遇到这种情况,
=====================================
前几天公司一台xp sp2中过这个.按百度搜索出来的文章+360安全卫士+冰刃+WinPE光盘,搞定了.
方法就是用360扫描得出木马的详细信息(文件路径,注册表相关键值),再在冰刃里面删除(注册表启动,服务,文件本身).删除不了的,用winPE光盘启动,到硬盘里面删除(注:DOS下删除不了,显示不出来文件,Attrib -s -h -r都不行的)
另外LZ说的情况,昨天我也遇到一台IBM笔记本电脑也差不多这样了.木马N多,都中了半年多了,光可疑服务都好几个,用上超级兔子+冰刃+360等在安全模式删除干净了.再启动仍然如故,都注入到系统进程里面的.还禁用了很多功能.最后折腾半天,得,还是用一键还原.
我的也有这些玩意,不过没有楼主的多
最奇怪的是有一个服务Windows NT Service32我怎么搞也搞不掉,不能禁止
还有注册表下的Run下有一个Desktop的启动项,也删除不掉,我第一次遇到这种情况,
=====================================
前几天公司一台xp sp2中过这个.按百度搜索出来的文章+360安全卫士+冰刃+WinPE光盘,搞定了.
方法就是用360扫描得出木马的详细信息(文件路径,注册表相关键值),再在冰刃里面删除(注册表启动,服务,文件本身).删除不了的,用winPE光盘启动,到硬盘里面删除(注:DOS下删除不了,显示不出来文件,Attrib -s -h -r都不行的)
另外LZ说的情况,昨天我也遇到一台IBM笔记本电脑也差不多这样了.木马N多,都中了半年多了,光可疑服务都好几个,用上超级兔子+冰刃+360等在安全模式删除干净了.再启动仍然如故,都注入到系统进程里面的.还禁用了很多功能.最后折腾半天,得,还是用一键还原.
#38
低格。。。高格。。重装系统不就OK?低格。。还有病毒?
#39
说说我的经历:
自从几年前在学校时中了病毒把机器上的EXE文件全都感染后,我就开始用杀毒软件,但是代价就是"慢"! 而且也没自己想的那么完美!
后来进了公司(公司研究硬盘保护卡及软件)后,开始使用保护软件,当然这也有代价,但是开始不使用杀毒软件了
系统安装完后,安装完驱动和一些必备常用的软件后(记得将一些常用软件的数据指向D盘),先安装数据转移程序,把桌面和我的文档以及一些常用的文件夹转移到D盘,然后做个GHOST备份,再安装保护系统,只保护系统盘,OK了!
如果一发现机器变慢或者有中毒迹象,F9一键还原,世界清净了很多,嘎嘎`~~
对于分区型病毒,在还原系统后,文件夹在可以查看隐藏文件的状态下,使用搜索功能搜索"*.inf"文件,如果发现根目录存在这个文件,点右键"打开所在的文件夹",删除底下的病毒文件即可.
对于文件感染型病毒提前要做预防,比如把文件后缀直接该成空,病毒无法识别,经常使用文本和写代码的朋友可以考虑使用WIN自带的记事本(因为目前我尚未发现能感染TXT的病毒),只把原代码保留下来即可.重要的EXE文件可以考虑改后缀保留.
废话说了 一大堆,大家别嫌麻烦,等出问题的时候,你的文件体被病毒改写覆盖了找谁都没用~~
以上不对之处望高手们指正!
自从几年前在学校时中了病毒把机器上的EXE文件全都感染后,我就开始用杀毒软件,但是代价就是"慢"! 而且也没自己想的那么完美!
后来进了公司(公司研究硬盘保护卡及软件)后,开始使用保护软件,当然这也有代价,但是开始不使用杀毒软件了
系统安装完后,安装完驱动和一些必备常用的软件后(记得将一些常用软件的数据指向D盘),先安装数据转移程序,把桌面和我的文档以及一些常用的文件夹转移到D盘,然后做个GHOST备份,再安装保护系统,只保护系统盘,OK了!
如果一发现机器变慢或者有中毒迹象,F9一键还原,世界清净了很多,嘎嘎`~~
对于分区型病毒,在还原系统后,文件夹在可以查看隐藏文件的状态下,使用搜索功能搜索"*.inf"文件,如果发现根目录存在这个文件,点右键"打开所在的文件夹",删除底下的病毒文件即可.
对于文件感染型病毒提前要做预防,比如把文件后缀直接该成空,病毒无法识别,经常使用文本和写代码的朋友可以考虑使用WIN自带的记事本(因为目前我尚未发现能感染TXT的病毒),只把原代码保留下来即可.重要的EXE文件可以考虑改后缀保留.
废话说了 一大堆,大家别嫌麻烦,等出问题的时候,你的文件体被病毒改写覆盖了找谁都没用~~
以上不对之处望高手们指正!
#40
备份数据,再强的病毒也不怕。
大不了全格了重装。。。。
不想太麻烦。。。
大不了全格了重装。。。。
不想太麻烦。。。
#41
说的容易 我看搞IT的没有几个有这样好习惯的 更别说其它行业的人士了`~
#42
比尔盖次是你什么人?七年前就拿到2003了,羡慕。。。
#1
==================================
驱动程序
[a347bus / a347bus]
<\SystemRoot\system32\DRIVERS\a347bus.sys><>
[a347scsi / a347scsi]
<\SystemRoot\System32\Drivers\a347scsi.sys><>
[AmdIde / AmdIde]
<C:\WINDOWS\SYSTEM32\DRIVERS\AmdIde.SYS><Microsoft Corporation>
[amdk5 / amdk5]
<\??\C:\WINDOWS\system32\drivers\amdk5.sys><N/A>
[arc / arc]
<C:\WINDOWS\SYSTEM32\DRIVERS\arc.SYS><Adaptec, Inc.>
[标准 IDE/ESDI 硬盘控制器 / atapi]
<\SystemRoot\system32\DRIVERS\atapi.sys><N/A>
[AVG Anti-Spyware Driver / AVG Anti-Spyware Driver]
<\??\d:\tools\AVG Anti-Spyware 7.5\guard.sys><N/A>
[AVG Anti-Spyware Clean Driver / AvgAsCln]
<System32\DRIVERS\AvgAsCln.sys><GRISOFT, s.r.o.>
[awecho / awecho]
<system32\drivers\awechomd.sys><Symantec Corporation>
[awlegacy / awlegacy]
<\SystemRoot\System32\Drivers\awlegacy.sys><Symantec Corporation>
[AW_HOST / AW_HOST]
<system32\drivers\aw_host5.sys><Symantec Corporation>
[cog / cog]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cogavs><N/A>
[Symantec Eraser Control driver / eeCtrl]
<\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys><Symantec Corporation>
[EraserUtilRebootDrv / EraserUtilRebootDrv]
<\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys><Symantec Corporation>
[Gernuwa / Gernuwa]
<C:\WINDOWS\SYSTEM32\DRIVERS\Gernuwa.SYS><Symantec Corporation>
[Microsoft 用于 High Definition Audio 的 UAA 总线驱动程序 / HDAudBus]
<system32\DRIVERS\HDAudBus.sys><Windows (R) Server 2003 DDK provider>
[hpcisss / hpcisss]
<C:\WINDOWS\SYSTEM32\DRIVERS\hpcisss.SYS><Hewlett-Packard Company>
[Service for Realtek HD Audio (WDM) / IntcAzAudAddService]
<system32\drivers\RtkHDAud.sys><Realtek Semiconductor Corp.>
[KBWatch / KBWatch]
<C:\WINDOWS\SYSTEM32\DRIVERS\KBWatch.SYS><N/A>
[Logitech SetPoint Keyboard Driver / L8042Kbd]
<system32\DRIVERS\L8042Kbd.sys><Logitech Inc.>
[SetPoint PS/2 Mouse Filter Driver / L8042mou]
<system32\DRIVERS\L8042mou.Sys><Logitech Inc.>
[LanPort / LanPort]
<\??\C:\WINDOWS\system32\drivers\LanPort.sys><N/A>
[SetPoint HID Mouse Filter Driver / LHidKe]
<system32\DRIVERS\LHidKE.Sys><Logitech Inc.>
[SetPoint Mouse Filter Driver / LMouKE]
<system32\DRIVERS\LMouKE.Sys><Logitech Inc.>
[loreyi0 / loreyi01]
<\SystemRoot\System32\DRIVERS\loreyi01.sys><N/A>
[msprotect / msprotect]
<system32\DRIVERS\msprotect.sys><Windows (R) 2000 DDK provider>
[NAVENG / NAVENG]
<\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20061224.008\naveng.sys><Symantec Corporation>
[NAVEX15 / NAVEX15]
<\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20061224.008\navex15.sys><Symantec Corporation>
[nv / nv]
<system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[nvata / nvata]
<\SystemRoot\system32\DRIVERS\nvata.sys><NVIDIA Corporation>
[NVIDIA nForce Networking Controller Driver / NVENETFD]
<system32\DRIVERS\NVENETFD.sys><NVIDIA Corporation>
[NVIDIA Network Bus Enumerator / nvnetbus]
<system32\DRIVERS\nvnetbus.sys><NVIDIA Corporation>
[parcls / parcls]
<\??\C:\WINDOWS\system32\drivers\parcls.sys><N/A>
[Psx Hid to Gamepad Port Enabler / PSXGamepadEnabler]
<system32\drivers\psxpad.sys><Y.Kimura>
[Psx Port Enumerator / PsxPortEnumerator]
<System32\Drivers\psxenum.sys><Y.Kimura>
[Direct Parallel Link Driver / Ptilink]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[PxHelp20 / PxHelp20]
<\SystemRoot\System32\Drivers\PxHelp20.sys><Sonic Solutions>
[SAVRT / SAVRT]
<\??\D:\tools\Symantec AntiVirus\savrt.sys><Symantec Corporation>
[SAVRTPEL / SAVRTPEL]
<\??\D:\tools\Symantec AntiVirus\Savrtpel.sys><Symantec Corporation>
[Secdrv / Secdrv]
<system32\DRIVERS\secdrv.sys><Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.>
[SPBBCDrv / SPBBCDrv]
<\??\C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys><Symantec Corporation>
[SymEvent / SymEvent]
<\??\C:\Program Files\Symantec\SYMEVENT.SYS><Symantec Corporation>
驱动程序
[a347bus / a347bus]
<\SystemRoot\system32\DRIVERS\a347bus.sys><>
[a347scsi / a347scsi]
<\SystemRoot\System32\Drivers\a347scsi.sys><>
[AmdIde / AmdIde]
<C:\WINDOWS\SYSTEM32\DRIVERS\AmdIde.SYS><Microsoft Corporation>
[amdk5 / amdk5]
<\??\C:\WINDOWS\system32\drivers\amdk5.sys><N/A>
[arc / arc]
<C:\WINDOWS\SYSTEM32\DRIVERS\arc.SYS><Adaptec, Inc.>
[标准 IDE/ESDI 硬盘控制器 / atapi]
<\SystemRoot\system32\DRIVERS\atapi.sys><N/A>
[AVG Anti-Spyware Driver / AVG Anti-Spyware Driver]
<\??\d:\tools\AVG Anti-Spyware 7.5\guard.sys><N/A>
[AVG Anti-Spyware Clean Driver / AvgAsCln]
<System32\DRIVERS\AvgAsCln.sys><GRISOFT, s.r.o.>
[awecho / awecho]
<system32\drivers\awechomd.sys><Symantec Corporation>
[awlegacy / awlegacy]
<\SystemRoot\System32\Drivers\awlegacy.sys><Symantec Corporation>
[AW_HOST / AW_HOST]
<system32\drivers\aw_host5.sys><Symantec Corporation>
[cog / cog]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cogavs><N/A>
[Symantec Eraser Control driver / eeCtrl]
<\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys><Symantec Corporation>
[EraserUtilRebootDrv / EraserUtilRebootDrv]
<\??\C:\Program Files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys><Symantec Corporation>
[Gernuwa / Gernuwa]
<C:\WINDOWS\SYSTEM32\DRIVERS\Gernuwa.SYS><Symantec Corporation>
[Microsoft 用于 High Definition Audio 的 UAA 总线驱动程序 / HDAudBus]
<system32\DRIVERS\HDAudBus.sys><Windows (R) Server 2003 DDK provider>
[hpcisss / hpcisss]
<C:\WINDOWS\SYSTEM32\DRIVERS\hpcisss.SYS><Hewlett-Packard Company>
[Service for Realtek HD Audio (WDM) / IntcAzAudAddService]
<system32\drivers\RtkHDAud.sys><Realtek Semiconductor Corp.>
[KBWatch / KBWatch]
<C:\WINDOWS\SYSTEM32\DRIVERS\KBWatch.SYS><N/A>
[Logitech SetPoint Keyboard Driver / L8042Kbd]
<system32\DRIVERS\L8042Kbd.sys><Logitech Inc.>
[SetPoint PS/2 Mouse Filter Driver / L8042mou]
<system32\DRIVERS\L8042mou.Sys><Logitech Inc.>
[LanPort / LanPort]
<\??\C:\WINDOWS\system32\drivers\LanPort.sys><N/A>
[SetPoint HID Mouse Filter Driver / LHidKe]
<system32\DRIVERS\LHidKE.Sys><Logitech Inc.>
[SetPoint Mouse Filter Driver / LMouKE]
<system32\DRIVERS\LMouKE.Sys><Logitech Inc.>
[loreyi0 / loreyi01]
<\SystemRoot\System32\DRIVERS\loreyi01.sys><N/A>
[msprotect / msprotect]
<system32\DRIVERS\msprotect.sys><Windows (R) 2000 DDK provider>
[NAVENG / NAVENG]
<\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20061224.008\naveng.sys><Symantec Corporation>
[NAVEX15 / NAVEX15]
<\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20061224.008\navex15.sys><Symantec Corporation>
[nv / nv]
<system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[nvata / nvata]
<\SystemRoot\system32\DRIVERS\nvata.sys><NVIDIA Corporation>
[NVIDIA nForce Networking Controller Driver / NVENETFD]
<system32\DRIVERS\NVENETFD.sys><NVIDIA Corporation>
[NVIDIA Network Bus Enumerator / nvnetbus]
<system32\DRIVERS\nvnetbus.sys><NVIDIA Corporation>
[parcls / parcls]
<\??\C:\WINDOWS\system32\drivers\parcls.sys><N/A>
[Psx Hid to Gamepad Port Enabler / PSXGamepadEnabler]
<system32\drivers\psxpad.sys><Y.Kimura>
[Psx Port Enumerator / PsxPortEnumerator]
<System32\Drivers\psxenum.sys><Y.Kimura>
[Direct Parallel Link Driver / Ptilink]
<system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[PxHelp20 / PxHelp20]
<\SystemRoot\System32\Drivers\PxHelp20.sys><Sonic Solutions>
[SAVRT / SAVRT]
<\??\D:\tools\Symantec AntiVirus\savrt.sys><Symantec Corporation>
[SAVRTPEL / SAVRTPEL]
<\??\D:\tools\Symantec AntiVirus\Savrtpel.sys><Symantec Corporation>
[Secdrv / Secdrv]
<system32\DRIVERS\secdrv.sys><Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.>
[SPBBCDrv / SPBBCDrv]
<\??\C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCDrv.sys><Symantec Corporation>
[SymEvent / SymEvent]
<\??\C:\Program Files\Symantec\SYMEVENT.SYS><Symantec Corporation>
#2
==================================
浏览器加载项
[IEMonitor Class]
{08A312BB-5409-49FC-9347-54BB7D069AC6} <C:\WINDOWS\system32\IESHEL~1.DLL, >
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, N/A>
[Google Bar]
{12365484-96a1-6974-3269-123555124655} <C:\WINDOWS\system32\GoogleBar.dll, Google Inc.>
[实用搜索]
{6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[XBTBPos00 Class]
{72A7F654-0DF2-4E24-8CC7-C32CABCBE3E7} <C:\PROGRA~1\ABOBEF~1\CAB301~1.DLL, N/A>
[XBTBPos00 Class]
{88C43374-ECEE-4DB9-A06E-F69C7871B0A9} <C:\PROGRA~1\ABOBEF~1\tbu09997\CAB301~1.DLL, N/A>
[BrowserProxy4]
{BCF4D74B-E6BD-4C8F-83D7-90D6439705B9} <C:\WINDOWS\system32\AlxTbl.dll, Alexa Internet>
[IEHlprObj Class]
{DE7C3CF0-4B15-11D1-ABED-709549C10000} <C:\WINDOWS\POPNTS.DLL, >
[cnwin Class]
{EC497BD8-460F-44F0-B2A4-8C2B2198035B} <C:\WINDOWS\system32\cnwin.dll, N/A>
[gFlash Class]
{F156768E-81EF-470C-9057-481BA8380DBA} <D:\tools\FlashGet\getflash.dll, N/A>
[FlashGet]
{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} <D:\TOOLS\FlashGet\FLASHGET.EXE, FlashGet.com>
[FlashGet Bar]
{E0E899AB-F487-11D5-8D29-0050BA6940E3} <D:\tools\FlashGet\FGIEBAR.DLL, Amaze Soft>
[Abobe Flash Play 9]
{DF9C07B2-C8C1-4FEA-B0FE-5E0709162B26} <C:\Program Files\Abobe Flash Play 9\Cab301b48.dll, N/A>
[实用搜索工具条2.0]
{03465FF5-00AE-411a-9C34-960ED566EC03} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[Abobe Flash Play 9]
{F85E8BAB-1A14-4090-9C50-6B9141450239} <C:\Program Files\Abobe Flash Play 9\tbu09997\Cab301b48.dll, N/A>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, N/A>
[iTrusPTA Class]
{1E0DFFCF-27FF-4574-849B-55007349FEDA} <C:\WINDOWS\system32\aliedit\pta.dll, >
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[VnetAnprIns Class]
{74447F9C-5691-4A9A-8BE4-564092E40B03} <C:\WINDOWS\Downloaded Program Files\anprins.dll, 中国电信股份有限公司>
[AxSubmitControl Class]
{8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} <C:\WINDOWS\DOWNLO~1\SUBMIT~1.DLL, >
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[实用搜索工具条2.0]
{03465FF5-00AE-411A-9C34-960ED566EC03} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[IEMonitor Class]
{08A312BB-5409-49FC-9347-54BB7D069AC6} <C:\WINDOWS\system32\IESHEL~1.DLL, >
[Edit Class]
{0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} <C:\WINDOWS\system32\CMBEdit.dll, >
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, N/A>
[Google Bar]
{12365484-96A1-6974-3269-123555124655} <C:\WINDOWS\system32\GoogleBar.dll, Google Inc.>
[Fade]
{16B280C5-EE70-11D1-9066-00C04FD9189D} <C:\WINDOWS\system32\dxtmsft.dll, Microsoft Corporation>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, N/A>
[iTrusPTA Class]
{1E0DFFCF-27FF-4574-849B-55007349FEDA} <C:\WINDOWS\system32\aliedit\pta.dll, >
[Windows Media Player]
{22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[WaVodIp Control]
{2D63E06B-AD06-46FD-8C00-03EF45E9219D} <C:\PROGRA~1\WaVideo\WaVodIp\WaVodIp.ocx, N/A>
[HtmlDlgSafeHelper Class]
{3050F819-98B5-11CF-BB82-00AA00BDCE0B} <C:\WINDOWS\system32\mshtmled.dll, Microsoft Corporation>
[XML Document]
{48123BC4-99D9-11D1-A6B3-00C04FD91555} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[CEditCtrl Object]
{488A4255-3236-44B3-8F27-FA1AECAA8844} <C:\WINDOWS\system32\aliedit\AliEdit.dll, www.alipay.com>
[Shell Name Space]
{55136805-B2DE-11D1-B9F2-00A0C98BC547} <%SystemRoot%\system32\shdocvw.dll, N/A>
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[Windows Media Player]
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[实用搜索]
{6CFD436C-7AAD-4E50-992F-C0C87A94CAD2} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[WangWangObj Class]
{6E213FC7-DD5A-4115-B7E6-D4C7838C361E} <D:\tools\淘宝旺旺\WangWangX1.dll, >
[XBTBPos00 Class]
{72A7F654-0DF2-4E24-8CC7-C32CABCBE3E7} <C:\PROGRA~1\ABOBEF~1\CAB301~1.DLL, N/A>
[AxInputControl Class]
{73E4740C-08EB-4133-896B-8D0A7C9EE3CD} <C:\WINDOWS\DOWNLO~1\INPUTC~1.DLL, >
[VnetAnprIns Class]
{74447F9C-5691-4A9A-8BE4-564092E40B03} <C:\WINDOWS\Downloaded Program Files\anprins.dll, 中国电信股份有限公司>
[Microsoft Web 浏览器]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[XBTBPos00 Class]
{88C43374-ECEE-4DB9-A06E-F69C7871B0A9} <C:\PROGRA~1\ABOBEF~1\tbu09997\CAB301~1.DLL, N/A>
[XML HTTP 4.0]
{88D969C5-F192-11D4-A65F-0040963251E5} <C:\WINDOWS\system32\msxml4.dll, Microsoft Corporation>
[AxSubmitControl Class]
{8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} <C:\WINDOWS\DOWNLO~1\SUBMIT~1.DLL, >
[RMGetLicense Class]
{A9FC132B-096D-460B-B7D5-1DB0FAE0C062} <C:\WINDOWS\system32\msnetobj.dll, Microsoft Corporation>
[WebVGPlayer Class]
{AA899B43-24BD-4B6B-BBD0-45557D8D11E0} <C:\PROGRA~1\WaVideo\MyPlayer.dll, N/A>
[Microsoft Scriptlet Component]
{AE24FDAE-03C6-11D1-8B76-0080C744F389} <C:\WINDOWS\system32\mshtml.dll, Microsoft Corporation>
[BrowserProxy4]
{BCF4D74B-E6BD-4C8F-83D7-90D6439705B9} <C:\WINDOWS\system32\AlxTbl.dll, Alexa Internet>
[RDS.DataSpace]
{BD96C556-65A3-11D0-983A-00C04FC29E36} <C:\Program Files\Common Files\system\msadc\msadco.dll, Microsoft Corporation>
[DHTML Edit Control Safe for Scripting for IE6]
{BF3FF9A2-AC03-40A1-BA0F-F31076325AA7} <C:\Program Files\Common Files\Microsoft Shared\TriEdit\dhtmled.ocx, Microsoft Corporation>
[VIDEO__X_MS_ASF Moniker Class]
{CD3AFA8F-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[RealPlayer G2 Control]
{CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[IEHlprObj Class]
{DE7C3CF0-4B15-11D1-ABED-709549C10000} <C:\WINDOWS\POPNTS.DLL, >
[Abobe Flash Play 9]
{DF9C07B2-C8C1-4FEA-B0FE-5E0709162B26} <C:\Program Files\Abobe Flash Play 9\Cab301b48.dll, N/A>
[FlashGet Bar]
{E0E899AB-F487-11D5-8D29-0050BA6940E3} <D:\tools\FlashGet\FGIEBAR.DLL, Amaze Soft>
[cnwin Class]
{EC497BD8-460F-44F0-B2A4-8C2B2198035B} <C:\WINDOWS\system32\cnwin.dll, N/A>
[XML HTTP Request]
{ED8C108E-4349-11D2-91A4-00C04F7969E8} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[gFlash Class]
{F156768E-81EF-470C-9057-481BA8380DBA} <D:\tools\FlashGet\getflash.dll, N/A>
[PBActiveX40 Control]
{F2EB8999-766E-4BF6-AAAD-188D398C0D0B} <C:\WINDOWS\system32\CMBPB40.ocx, China Merchants Bank>
[XML HTTP 3.0]
{F5078F35-C551-11D3-89B9-0000F81FE221} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[XML DOM Document]
{F6D90F11-9C73-11D3-B32E-00C04F990BB4} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[XML HTTP]
{F6D90F16-9C73-11D3-B32E-00C04F990BB4} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[Abobe Flash Play 9]
{F85E8BAB-1A14-4090-9C50-6B9141450239} <C:\Program Files\Abobe Flash Play 9\tbu09997\Cab301b48.dll, N/A>
[使用网际快车下载]
<D:\TOOLS\FlashGet\jc_link.htm, N/A>
[使用网际快车下载全部链接]
<D:\TOOLS\FlashGet\jc_all.htm, N/A>
[用比特精灵下载(&B)]
<D:\tools\BitSpirit\bsurl.htm, N/A>
浏览器加载项
[IEMonitor Class]
{08A312BB-5409-49FC-9347-54BB7D069AC6} <C:\WINDOWS\system32\IESHEL~1.DLL, >
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, N/A>
[Google Bar]
{12365484-96a1-6974-3269-123555124655} <C:\WINDOWS\system32\GoogleBar.dll, Google Inc.>
[实用搜索]
{6CFD436C-7AAD-4e50-992F-C0C87A94CAD2} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[XBTBPos00 Class]
{72A7F654-0DF2-4E24-8CC7-C32CABCBE3E7} <C:\PROGRA~1\ABOBEF~1\CAB301~1.DLL, N/A>
[XBTBPos00 Class]
{88C43374-ECEE-4DB9-A06E-F69C7871B0A9} <C:\PROGRA~1\ABOBEF~1\tbu09997\CAB301~1.DLL, N/A>
[BrowserProxy4]
{BCF4D74B-E6BD-4C8F-83D7-90D6439705B9} <C:\WINDOWS\system32\AlxTbl.dll, Alexa Internet>
[IEHlprObj Class]
{DE7C3CF0-4B15-11D1-ABED-709549C10000} <C:\WINDOWS\POPNTS.DLL, >
[cnwin Class]
{EC497BD8-460F-44F0-B2A4-8C2B2198035B} <C:\WINDOWS\system32\cnwin.dll, N/A>
[gFlash Class]
{F156768E-81EF-470C-9057-481BA8380DBA} <D:\tools\FlashGet\getflash.dll, N/A>
[FlashGet]
{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} <D:\TOOLS\FlashGet\FLASHGET.EXE, FlashGet.com>
[FlashGet Bar]
{E0E899AB-F487-11D5-8D29-0050BA6940E3} <D:\tools\FlashGet\FGIEBAR.DLL, Amaze Soft>
[Abobe Flash Play 9]
{DF9C07B2-C8C1-4FEA-B0FE-5E0709162B26} <C:\Program Files\Abobe Flash Play 9\Cab301b48.dll, N/A>
[实用搜索工具条2.0]
{03465FF5-00AE-411a-9C34-960ED566EC03} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[Abobe Flash Play 9]
{F85E8BAB-1A14-4090-9C50-6B9141450239} <C:\Program Files\Abobe Flash Play 9\tbu09997\Cab301b48.dll, N/A>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, N/A>
[iTrusPTA Class]
{1E0DFFCF-27FF-4574-849B-55007349FEDA} <C:\WINDOWS\system32\aliedit\pta.dll, >
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[VnetAnprIns Class]
{74447F9C-5691-4A9A-8BE4-564092E40B03} <C:\WINDOWS\Downloaded Program Files\anprins.dll, 中国电信股份有限公司>
[AxSubmitControl Class]
{8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} <C:\WINDOWS\DOWNLO~1\SUBMIT~1.DLL, >
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[实用搜索工具条2.0]
{03465FF5-00AE-411A-9C34-960ED566EC03} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[IEMonitor Class]
{08A312BB-5409-49FC-9347-54BB7D069AC6} <C:\WINDOWS\system32\IESHEL~1.DLL, >
[Edit Class]
{0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} <C:\WINDOWS\system32\CMBEdit.dll, >
[CAdLogic Object]
{11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, N/A>
[Google Bar]
{12365484-96A1-6974-3269-123555124655} <C:\WINDOWS\system32\GoogleBar.dll, Google Inc.>
[Fade]
{16B280C5-EE70-11D1-9066-00C04FD9189D} <C:\WINDOWS\system32\dxtmsft.dll, Microsoft Corporation>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\LegitCheckControl.DLL, N/A>
[iTrusPTA Class]
{1E0DFFCF-27FF-4574-849B-55007349FEDA} <C:\WINDOWS\system32\aliedit\pta.dll, >
[Windows Media Player]
{22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[WaVodIp Control]
{2D63E06B-AD06-46FD-8C00-03EF45E9219D} <C:\PROGRA~1\WaVideo\WaVodIp\WaVodIp.ocx, N/A>
[HtmlDlgSafeHelper Class]
{3050F819-98B5-11CF-BB82-00AA00BDCE0B} <C:\WINDOWS\system32\mshtmled.dll, Microsoft Corporation>
[XML Document]
{48123BC4-99D9-11D1-A6B3-00C04FD91555} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[CEditCtrl Object]
{488A4255-3236-44B3-8F27-FA1AECAA8844} <C:\WINDOWS\system32\aliedit\AliEdit.dll, www.alipay.com>
[Shell Name Space]
{55136805-B2DE-11D1-B9F2-00A0C98BC547} <%SystemRoot%\system32\shdocvw.dll, N/A>
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[Windows Media Player]
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[实用搜索]
{6CFD436C-7AAD-4E50-992F-C0C87A94CAD2} <C:\Program Files\superutilbar\superutilbar.dll, N/A>
[WangWangObj Class]
{6E213FC7-DD5A-4115-B7E6-D4C7838C361E} <D:\tools\淘宝旺旺\WangWangX1.dll, >
[XBTBPos00 Class]
{72A7F654-0DF2-4E24-8CC7-C32CABCBE3E7} <C:\PROGRA~1\ABOBEF~1\CAB301~1.DLL, N/A>
[AxInputControl Class]
{73E4740C-08EB-4133-896B-8D0A7C9EE3CD} <C:\WINDOWS\DOWNLO~1\INPUTC~1.DLL, >
[VnetAnprIns Class]
{74447F9C-5691-4A9A-8BE4-564092E40B03} <C:\WINDOWS\Downloaded Program Files\anprins.dll, 中国电信股份有限公司>
[Microsoft Web 浏览器]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[XBTBPos00 Class]
{88C43374-ECEE-4DB9-A06E-F69C7871B0A9} <C:\PROGRA~1\ABOBEF~1\tbu09997\CAB301~1.DLL, N/A>
[XML HTTP 4.0]
{88D969C5-F192-11D4-A65F-0040963251E5} <C:\WINDOWS\system32\msxml4.dll, Microsoft Corporation>
[AxSubmitControl Class]
{8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} <C:\WINDOWS\DOWNLO~1\SUBMIT~1.DLL, >
[RMGetLicense Class]
{A9FC132B-096D-460B-B7D5-1DB0FAE0C062} <C:\WINDOWS\system32\msnetobj.dll, Microsoft Corporation>
[WebVGPlayer Class]
{AA899B43-24BD-4B6B-BBD0-45557D8D11E0} <C:\PROGRA~1\WaVideo\MyPlayer.dll, N/A>
[Microsoft Scriptlet Component]
{AE24FDAE-03C6-11D1-8B76-0080C744F389} <C:\WINDOWS\system32\mshtml.dll, Microsoft Corporation>
[BrowserProxy4]
{BCF4D74B-E6BD-4C8F-83D7-90D6439705B9} <C:\WINDOWS\system32\AlxTbl.dll, Alexa Internet>
[RDS.DataSpace]
{BD96C556-65A3-11D0-983A-00C04FC29E36} <C:\Program Files\Common Files\system\msadc\msadco.dll, Microsoft Corporation>
[DHTML Edit Control Safe for Scripting for IE6]
{BF3FF9A2-AC03-40A1-BA0F-F31076325AA7} <C:\Program Files\Common Files\Microsoft Shared\TriEdit\dhtmled.ocx, Microsoft Corporation>
[VIDEO__X_MS_ASF Moniker Class]
{CD3AFA8F-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[RealPlayer G2 Control]
{CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx, Adobe Systems, Inc.>
[IEHlprObj Class]
{DE7C3CF0-4B15-11D1-ABED-709549C10000} <C:\WINDOWS\POPNTS.DLL, >
[Abobe Flash Play 9]
{DF9C07B2-C8C1-4FEA-B0FE-5E0709162B26} <C:\Program Files\Abobe Flash Play 9\Cab301b48.dll, N/A>
[FlashGet Bar]
{E0E899AB-F487-11D5-8D29-0050BA6940E3} <D:\tools\FlashGet\FGIEBAR.DLL, Amaze Soft>
[cnwin Class]
{EC497BD8-460F-44F0-B2A4-8C2B2198035B} <C:\WINDOWS\system32\cnwin.dll, N/A>
[XML HTTP Request]
{ED8C108E-4349-11D2-91A4-00C04F7969E8} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[gFlash Class]
{F156768E-81EF-470C-9057-481BA8380DBA} <D:\tools\FlashGet\getflash.dll, N/A>
[PBActiveX40 Control]
{F2EB8999-766E-4BF6-AAAD-188D398C0D0B} <C:\WINDOWS\system32\CMBPB40.ocx, China Merchants Bank>
[XML HTTP 3.0]
{F5078F35-C551-11D3-89B9-0000F81FE221} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[XML DOM Document]
{F6D90F11-9C73-11D3-B32E-00C04F990BB4} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[XML HTTP]
{F6D90F16-9C73-11D3-B32E-00C04F990BB4} <C:\WINDOWS\system32\msxml3.dll, Microsoft Corporation>
[Abobe Flash Play 9]
{F85E8BAB-1A14-4090-9C50-6B9141450239} <C:\Program Files\Abobe Flash Play 9\tbu09997\Cab301b48.dll, N/A>
[使用网际快车下载]
<D:\TOOLS\FlashGet\jc_link.htm, N/A>
[使用网际快车下载全部链接]
<D:\TOOLS\FlashGet\jc_all.htm, N/A>
[用比特精灵下载(&B)]
<D:\tools\BitSpirit\bsurl.htm, N/A>
#3
七年才重装一次,我一年重装七次都有.
#4
七年前装的系统?
#5
Windows Server 2003 "R2" Enterprise Edition Service Pack 1 (Build 3790)
七年前装这个系统,
n的不能在n
七年前装这个系统,
n的不能在n
#6
-_-!!!
#7
进来拜一下七年才重装一次系统的牛人
#8
如果真的是很忙的,就必要这么多杀毒的都装上杀了,要知道,其实很多毒都是杀不干净,比如,你临时文件夹下的那几个病毒和系统自启动项目的几个关联病毒
有时间的话,可以来个彻底清理,不过我估计清理完,系统也是重伤了
说了这么多你也看出来我的意思了,对了,重分区。。。
有时间的话,可以来个彻底清理,不过我估计清理完,系统也是重伤了
说了这么多你也看出来我的意思了,对了,重分区。。。
#9
如果真的是很忙的,就必要这么多杀毒的都装上杀了,要知道,其实很多毒都是杀不干净,比如,你临时文件夹下的那几个病毒和系统自启动项目的几个关联病毒
有时间的话,可以来个彻底清理,不过我估计清理完,系统也是重伤了
说了这么多你也看出来我的意思了,对了,重分区。。。
有时间的话,可以来个彻底清理,不过我估计清理完,系统也是重伤了
说了这么多你也看出来我的意思了,对了,重分区。。。
#10
重装吧 我一星期最多重装5次
顺便给你推荐个东西
deepfreezing 这个东东好 ,就是只要重起就恢复原状,什么杀毒软件,防木马软件,统统的不用,不爽了就重起。 自己设定保护哪个盘。
顺便给你推荐个东西
deepfreezing 这个东东好 ,就是只要重起就恢复原状,什么杀毒软件,防木马软件,统统的不用,不爽了就重起。 自己设定保护哪个盘。
#11
够详细的…………
只好重装,我俩月一次
只好重装,我俩月一次
#12
这么多小学没毕业的?
"第一次被搞的想重装"="第一次重装" ???
就是不想重装才来这里问,而且DE也感染,光格C怕不干净,DE里面很多重要的东西。
系统还原的靠边站。
"第一次被搞的想重装"="第一次重装" ???
就是不想重装才来这里问,而且DE也感染,光格C怕不干净,DE里面很多重要的东西。
系统还原的靠边站。
#13
为了数据考虑的话,先杀掉D,E盘的毒是第一步,你的C盘很明显有很多毒,在TEMP和SYSTEN32下面都有,而且我不敢肯定你的杀毒和SVCH0ST.EXE等系统关键程序是否也中毒了。
而且很明显,你的其他盘里肯定也有很多EXE自动执行文件包括很多的INF文件和INI文件。
你要做的第一步是细心观察每次打开盘的时候,会不会出现一个隐藏的文件一闪而过(要打开系统保护文件和隐藏文件的显示)。看看是什么。确定是不是所有的EXE都中毒了。
如果连杀毒软件都中毒了,你会相信他还能杀出毒来吗?
我对于这件事的处理方式(曾经的)
先把所有的文件显示,关闭所有的启动项目和不相干进程,装上诺顿和卡巴加EWIDO,并且升级到最新版本。这个是最重要的,是最新版本,另外还有几个小工具,例如KILLBOX,SRENG2等。
自己制作BAT文件,大概是删除机器里所有的AOTURUN。INF等你认为可疑的文件,在删除之前用记事本打开此文件看里面关联到的EXE和DLL文件,并记下以便手动删除,下载好相关的专杀,例如,ROSE,HOST等,主要是看你打开盘符时一闪而过的文件而定。
进入安全模式,诺顿或卡巴杀毒开始杀毒,诺顿Symantec.AntiViru.Corporate.Edition.v10.1.4.400.SC版本是我推荐的,因为他可以清楚病毒的同时,还可以修复文件。
而卡巴6.0最新版本也是比较推荐的,对于一些很隐秘的病毒,他的能力强于诺顿。EWIDO也可以杀出他们两个杀不出的很多病毒,。
专杀工具,手动删除。一起来。
等全部杀完估计一天时间就没了。然后备份到你的非EXE文件到一个移动盘内。数据量巨大。。估计半天时间也完了,写保护。
重新分区。将写保护盘内所有数据放入新盘,重建系统。
如果你认为已经杀干净了,就不用备份文件出来了。
如果病毒真的很厉害,时间不充裕的话,重分区是最快的了
而且很明显,你的其他盘里肯定也有很多EXE自动执行文件包括很多的INF文件和INI文件。
你要做的第一步是细心观察每次打开盘的时候,会不会出现一个隐藏的文件一闪而过(要打开系统保护文件和隐藏文件的显示)。看看是什么。确定是不是所有的EXE都中毒了。
如果连杀毒软件都中毒了,你会相信他还能杀出毒来吗?
我对于这件事的处理方式(曾经的)
先把所有的文件显示,关闭所有的启动项目和不相干进程,装上诺顿和卡巴加EWIDO,并且升级到最新版本。这个是最重要的,是最新版本,另外还有几个小工具,例如KILLBOX,SRENG2等。
自己制作BAT文件,大概是删除机器里所有的AOTURUN。INF等你认为可疑的文件,在删除之前用记事本打开此文件看里面关联到的EXE和DLL文件,并记下以便手动删除,下载好相关的专杀,例如,ROSE,HOST等,主要是看你打开盘符时一闪而过的文件而定。
进入安全模式,诺顿或卡巴杀毒开始杀毒,诺顿Symantec.AntiViru.Corporate.Edition.v10.1.4.400.SC版本是我推荐的,因为他可以清楚病毒的同时,还可以修复文件。
而卡巴6.0最新版本也是比较推荐的,对于一些很隐秘的病毒,他的能力强于诺顿。EWIDO也可以杀出他们两个杀不出的很多病毒,。
专杀工具,手动删除。一起来。
等全部杀完估计一天时间就没了。然后备份到你的非EXE文件到一个移动盘内。数据量巨大。。估计半天时间也完了,写保护。
重新分区。将写保护盘内所有数据放入新盘,重建系统。
如果你认为已经杀干净了,就不用备份文件出来了。
如果病毒真的很厉害,时间不充裕的话,重分区是最快的了
#14
7年前的电脑?
#15
试试 新建一个用户 ...如果相对正常 就用杀毒软件和手工试试....
#16
请删除[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]下的
<RealUpdate><C:\WINDOWS\system32\update/Update.exe> [N/A]
<myMh2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mh2\iexpl0re.EXE> [N/A]
<myZt2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Zt2\SVCH0ST.EXE> [N/A]
<Desktop><"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Run> []
<loreyi01><%systemroot%\system32\Rundll32.exe %systemroot%\system32\loreyi01.dll,DllUnregisterServer> [N/A]
删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<twin><C:\WINDOWS\system32\twunk32.exe> [N/A]
使用killbox或者unlocker删除533931M.BMP,位置应该是在windows目录或者windows\system32\下.
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<WebSecurity><C:\WINDOWS\system32\PvSec.dll> [N/A]
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [Microsoft Corporation]
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PCANotify]
<WinlogonNotify: PCANotify><PCANotify.dll> [Symantec Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\WINDOWS\system32\rpcc.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCardLogn]
<WinlogonNotify: ScCardLogn><C:\WINDOWS\ScNotify.dll> [Microsoft Corporation]
使用sreng来删除以下服务
[9B65D47C / 9B65D47C]
<C:\WINDOWS\system32\9B65D47C.EXE -service><N/A>
[Symantec pcAnywhere Host Service / awhost32]
<D:\tools\pcAnywhere\awhost32.exe><Symantec Corporation>(这个如果确认是你自己安装的可以不删)
[Windows Gateway / Investor]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\fllog.dll><Microsoft Corporation>
[MessageService / MessageService]
<C:\WINDOWS\system32\Svchost.exe -k MessageService-->C:\WINDOWS\system32\MDserivce\Svchost.dll><Microsoft Corporation>
[Microsoft Search / MSSEARCH]
<"C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe"><Microsoft Corporation>
[Remote Access Connection Management / Remote Access Connection Management]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\Program Files\Messenger\msnhost.dll><N/A>
[Registry Protector / SOCEESe]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\POJTI.DLL,Export 1087><N/A>
[VirtualHardwareProtect / VirtualHardwareProtect]
<C:\WINDOWS\inf\msvhpss.exe><Microsoft Corporation>
[Windows NT Service32 / Windows NT Service32]
<"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Start><Microsoft Corporation>
[Portable Media Serial Number Service / WmdmPmSN]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\MsPMSNSv.dll><Microsoft Corporation>
[Windows Media Player Network Sharing Service / WMPNetworkSvc]
<"C:\Program Files\Windows Media Player\WMPNetwk.exe"><Microsoft Corporation>
另外,有如下驱动需要删除,请使用unlocker或者在DOS下手动清除
[cog / cog]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cogavs><N/A>(这个估计是元凶)
IE被置入了大量BHO内容.请使用恶意软件清理助手或者360安全卫士来清理.
<RealUpdate><C:\WINDOWS\system32\update/Update.exe> [N/A]
<myMh2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mh2\iexpl0re.EXE> [N/A]
<myZt2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Zt2\SVCH0ST.EXE> [N/A]
<Desktop><"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Run> []
<loreyi01><%systemroot%\system32\Rundll32.exe %systemroot%\system32\loreyi01.dll,DllUnregisterServer> [N/A]
删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<twin><C:\WINDOWS\system32\twunk32.exe> [N/A]
使用killbox或者unlocker删除533931M.BMP,位置应该是在windows目录或者windows\system32\下.
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<WebSecurity><C:\WINDOWS\system32\PvSec.dll> [N/A]
<WPDShServiceObj><C:\WINDOWS\system32\WPDShServiceObj.dll> [Microsoft Corporation]
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\PCANotify]
<WinlogonNotify: PCANotify><PCANotify.dll> [Symantec Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\rpcc]
<WinlogonNotify: rpcc><C:\WINDOWS\system32\rpcc.dll> [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCardLogn]
<WinlogonNotify: ScCardLogn><C:\WINDOWS\ScNotify.dll> [Microsoft Corporation]
使用sreng来删除以下服务
[9B65D47C / 9B65D47C]
<C:\WINDOWS\system32\9B65D47C.EXE -service><N/A>
[Symantec pcAnywhere Host Service / awhost32]
<D:\tools\pcAnywhere\awhost32.exe><Symantec Corporation>(这个如果确认是你自己安装的可以不删)
[Windows Gateway / Investor]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\fllog.dll><Microsoft Corporation>
[MessageService / MessageService]
<C:\WINDOWS\system32\Svchost.exe -k MessageService-->C:\WINDOWS\system32\MDserivce\Svchost.dll><Microsoft Corporation>
[Microsoft Search / MSSEARCH]
<"C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe"><Microsoft Corporation>
[Remote Access Connection Management / Remote Access Connection Management]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\Program Files\Messenger\msnhost.dll><N/A>
[Registry Protector / SOCEESe]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\POJTI.DLL,Export 1087><N/A>
[VirtualHardwareProtect / VirtualHardwareProtect]
<C:\WINDOWS\inf\msvhpss.exe><Microsoft Corporation>
[Windows NT Service32 / Windows NT Service32]
<"C:\WINDOWS\system32\rundll32.exe" "C:\WINDOWS\system32\NTService32.dll",Start><Microsoft Corporation>
[Portable Media Serial Number Service / WmdmPmSN]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\MsPMSNSv.dll><Microsoft Corporation>
[Windows Media Player Network Sharing Service / WMPNetworkSvc]
<"C:\Program Files\Windows Media Player\WMPNetwk.exe"><Microsoft Corporation>
另外,有如下驱动需要删除,请使用unlocker或者在DOS下手动清除
[cog / cog]
<\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\cogavs><N/A>(这个估计是元凶)
IE被置入了大量BHO内容.请使用恶意软件清理助手或者360安全卫士来清理.
#17
以上操作请尽量在安全模式下进行.以避免病毒重新生成.
#18
7年来第一次被搞的想重装
为什么不说是7千年啊
为什么不说是7千年啊
#19
支持MseRen的做法
凡是C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\下启动的程序都是病毒
另外看一下我的博客http://blog.csdn.net/wadefelix/ 应该会有收获
因为我也遇到过twunk32.exe
http://blog.csdn.net/wadefelix/archive/2006/12/26/1463211.aspx
凡是C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\下启动的程序都是病毒
另外看一下我的博客http://blog.csdn.net/wadefelix/ 应该会有收获
因为我也遇到过twunk32.exe
http://blog.csdn.net/wadefelix/archive/2006/12/26/1463211.aspx
#20
大家不要笑楼主
我2002年才开始接触电脑,但是我从来没有因为中毒而重装过系统。
我2002年才开始接触电脑,但是我从来没有因为中毒而重装过系统。
#21
汗,我经常重装
#22
如果7年来——不因为病毒、流氓软件而重新安装,
说明:
1、楼主忍耐力高——绝对很高
2、机器利用率不高,不进行搜索资料之类的操作——至少不是频繁
无论如何我不相信楼主是因为水平高而不重装的。我见过太多的“忍耐高手”,机器里面你可以找到所有的垃圾工具和流氓软件,觉得特别慢了才重新安装。
AVG+诺顿+卡巴+NOD32+木马克星+RogueCleaner
IceSword+SREng+unlocker+超级巡警+手动
把能想到的工具,都集合起来的,一般就是这类人——觉得自己很牛X的。其中有几个我也经常用,但是绝对不会 诺顿+卡巴+NOD32,不是杀毒软件越多越好的。
说明:
1、楼主忍耐力高——绝对很高
2、机器利用率不高,不进行搜索资料之类的操作——至少不是频繁
无论如何我不相信楼主是因为水平高而不重装的。我见过太多的“忍耐高手”,机器里面你可以找到所有的垃圾工具和流氓软件,觉得特别慢了才重新安装。
AVG+诺顿+卡巴+NOD32+木马克星+RogueCleaner
IceSword+SREng+unlocker+超级巡警+手动
把能想到的工具,都集合起来的,一般就是这类人——觉得自己很牛X的。其中有几个我也经常用,但是绝对不会 诺顿+卡巴+NOD32,不是杀毒软件越多越好的。
#23
在这个流氓软件满天飞的年代里面——如果楼主完全能够“免疫”,或者完全能够“手动清除”
也算强悍了~~,不过从木马克星+RogueCleaner+IceSword+SREng+unlocker+超级巡警
来看,似乎不怎么样——普通网络维护员水准<可能还达不到>,让人很纳闷,怎么会不中招~~
也算强悍了~~,不过从木马克星+RogueCleaner+IceSword+SREng+unlocker+超级巡警
来看,似乎不怎么样——普通网络维护员水准<可能还达不到>,让人很纳闷,怎么会不中招~~
#24
本来想忙完这几天重装,结果D里面N多东西被植入木马用不了,又没问到什么好办法实在太烦了就重装了。现在装完了用AVG扫一次很正常,注册表,服务,驱动也没问题,暂时算放心了。可惜的是D里面很多文件没了(被诺顿和AVG一人K了一部分),还好以前的东西其他地方有备份,最近的可以根据记忆重新写。
7年来第一次因为中毒而重装系统,感慨很多,要不是没空我一定不会屈服!(不敢再说"7年来第一次被搞的想重装"了,免的有的小学生把他说成"7年来第一次重装",为此把名字都改了……)
to dan1369(游侠唐) :很感谢你的建议,相信以后我会用的上,
to MseRen(陌生e人) :这份扫描报告里面所有东西我都知道是什么,当时我已经在安全模式下先断网然后彻底删除了所有不是我装的而且系统本来没有的(当然包括了你说的全部)文件和键值,很多键值用SREng和regedit都删不掉,后来用IceSword强制删除的,同时清空了所有临时文件夹(系统,所有用户,每个单一用户,IE等),禁用IE和rundll32.exe,AVG+诺顿+卡巴+NOD32扫描后重启上网。开始没什么问题,过段时间大家就慢慢地回来,越来越多……所以我觉得只有2个可能:1,网关或者DNS中毒传给我的(这个可能性很小)2,病毒元凶不在这份报告里,而且AVG+诺顿+卡巴+NOD32查不出来(全部最新版最新病毒库)!所以我把这份报告发出来是想看有没有人知道这元凶是什么病毒或者有没有人类似的情况解决了的。
虽然问题暂时解决了,但为免以后出现类似情况我还想讨论下这个病毒到底怎么杀?元凶是哪(几)个?详细报告贴出来了,说下当时D盘的症状:所有htm,html,xml,js,asp,php,jsp等文件被值入木马,打不开(文件占用),Dreamweaver和UE等用不了(一大堆错误),感觉只要是和WEB或者编程有关的全部中。这不是元凶,是中毒末期才出现的。
7年来第一次因为中毒而重装系统,感慨很多,要不是没空我一定不会屈服!(不敢再说"7年来第一次被搞的想重装"了,免的有的小学生把他说成"7年来第一次重装",为此把名字都改了……)
to dan1369(游侠唐) :很感谢你的建议,相信以后我会用的上,
to MseRen(陌生e人) :这份扫描报告里面所有东西我都知道是什么,当时我已经在安全模式下先断网然后彻底删除了所有不是我装的而且系统本来没有的(当然包括了你说的全部)文件和键值,很多键值用SREng和regedit都删不掉,后来用IceSword强制删除的,同时清空了所有临时文件夹(系统,所有用户,每个单一用户,IE等),禁用IE和rundll32.exe,AVG+诺顿+卡巴+NOD32扫描后重启上网。开始没什么问题,过段时间大家就慢慢地回来,越来越多……所以我觉得只有2个可能:1,网关或者DNS中毒传给我的(这个可能性很小)2,病毒元凶不在这份报告里,而且AVG+诺顿+卡巴+NOD32查不出来(全部最新版最新病毒库)!所以我把这份报告发出来是想看有没有人知道这元凶是什么病毒或者有没有人类似的情况解决了的。
虽然问题暂时解决了,但为免以后出现类似情况我还想讨论下这个病毒到底怎么杀?元凶是哪(几)个?详细报告贴出来了,说下当时D盘的症状:所有htm,html,xml,js,asp,php,jsp等文件被值入木马,打不开(文件占用),Dreamweaver和UE等用不了(一大堆错误),感觉只要是和WEB或者编程有关的全部中。这不是元凶,是中毒末期才出现的。
#25
to lovingkiss(坦白从良 抗拒强奸) :你错了,我是第3种——每天找东西超过3小时,有良好的习惯,不在收藏夹的站点决不开JS和ACTIVEX,下载只定点下,不要的东西决不装,不用的东西马上彻底卸载。至于你说AVG+诺顿+卡巴+NOD32+木马克星+RogueCleaner+IceSword+SREng+unlocker+超级巡警+手动,这是当时实在没办法临时装来试试的,从扫描报告就可以看出我装了什么,对于只看标题不看内容就回复的人无语……
#26
to ATHENA112:看得出来你是有良好习惯的人,至少从你的回复来看你比较有条理。也是个在网络上转的人,不过——不在收藏夹的站点决不开JS和ACTIVEX,下载只定点下。这似乎不是什么特别的地方,门户网站也会让你中毒,360安全卫士论坛也都被嵌入病毒,这都是我亲身经历的。我也喜欢手动清理这些。我遇到的太多太多了,没脾气了。
流氓软件没有太多技术含量——但是一旦中了,几千个更改项目,不是手动能够清理的,太多了。就算不发作了——系统也就崩溃的差不多了,所以基本上每个月Ghost几次,都是很正常。
——我看了你的帖子,才回复的,可能说错了什么。表示歉意。只是猜测,没有恶意。
流氓软件没有太多技术含量——但是一旦中了,几千个更改项目,不是手动能够清理的,太多了。就算不发作了——系统也就崩溃的差不多了,所以基本上每个月Ghost几次,都是很正常。
——我看了你的帖子,才回复的,可能说错了什么。表示歉意。只是猜测,没有恶意。
#27
只能说所有杀毒软件对这类东西的拦截效果,基本为零。
——目前瑞星卡卡的拦截效果,还算不错,但是清理作用,就差了很多。
——目前瑞星卡卡的拦截效果,还算不错,但是清理作用,就差了很多。
#28
楼主可以尝试使用新的sreng2.3重新扫描一下,看是否有所发现.
另外,个人感觉国产的微点主动防御是个不错的防护病毒木马软件.楼主不妨试试.
另外,个人感觉国产的微点主动防御是个不错的防护病毒木马软件.楼主不妨试试.
#29
目前比较厉害的病毒或者木马,基本都是采用高优先级底层驱动加载(安全模式下也会自动加载).同时对自身采用层层保护措施,非常难以清除(恶意的会删除机器中安全模式相关注册表,反侦测各种流行杀毒软件和Icesword之类)
具体例子请用google查找:手动清除MY123.
具体例子请用google查找:手动清除MY123.
#30
看完觉得我才幼儿园毕业!
#31
MseRen(陌生e人) 说得不错,恶意的会让你无法进入安全模式的。而且常用的跟踪工具是无法打开的——什么卡卡、360之类的更不用说了。
#32
病毒多的话,其实很难检测
只要删除的过程中,有漏网之鱼,很可能会全部装回来
病毒可以用dos下面杀,也可以进行光盘引导的操作系统,红叶等
杀毒之前,最好先打全补丁,装个防火墙,几个有力的杀毒软件以及流氓软件卸载工具,和相关的调试工具,如filemon,regmon,secmon等等。
倍份好本机的相关驱动,做好万一清理失败,重装的准备
只要删除的过程中,有漏网之鱼,很可能会全部装回来
病毒可以用dos下面杀,也可以进行光盘引导的操作系统,红叶等
杀毒之前,最好先打全补丁,装个防火墙,几个有力的杀毒软件以及流氓软件卸载工具,和相关的调试工具,如filemon,regmon,secmon等等。
倍份好本机的相关驱动,做好万一清理失败,重装的准备
#33
我的也有这些玩意,不过没有楼主的多
最奇怪的是有一个服务Windows NT Service32我怎么搞也搞不掉,不能禁止
还有注册表下的Run下有一个Desktop的启动项,也删除不掉,我第一次遇到这种情况,
最奇怪的是有一个服务Windows NT Service32我怎么搞也搞不掉,不能禁止
还有注册表下的Run下有一个Desktop的启动项,也删除不掉,我第一次遇到这种情况,
#34
大哥,我很想很想拜你为师啊,给不给机会啊
#35
不管是技术高也好还是忍耐性好也罢,总之七年才装一次系统就已经很牛了,拜一下!一个字:"强"!
#36
牛B
#37
whmjw(明年今日十年之后)
我的也有这些玩意,不过没有楼主的多
最奇怪的是有一个服务Windows NT Service32我怎么搞也搞不掉,不能禁止
还有注册表下的Run下有一个Desktop的启动项,也删除不掉,我第一次遇到这种情况,
=====================================
前几天公司一台xp sp2中过这个.按百度搜索出来的文章+360安全卫士+冰刃+WinPE光盘,搞定了.
方法就是用360扫描得出木马的详细信息(文件路径,注册表相关键值),再在冰刃里面删除(注册表启动,服务,文件本身).删除不了的,用winPE光盘启动,到硬盘里面删除(注:DOS下删除不了,显示不出来文件,Attrib -s -h -r都不行的)
另外LZ说的情况,昨天我也遇到一台IBM笔记本电脑也差不多这样了.木马N多,都中了半年多了,光可疑服务都好几个,用上超级兔子+冰刃+360等在安全模式删除干净了.再启动仍然如故,都注入到系统进程里面的.还禁用了很多功能.最后折腾半天,得,还是用一键还原.
我的也有这些玩意,不过没有楼主的多
最奇怪的是有一个服务Windows NT Service32我怎么搞也搞不掉,不能禁止
还有注册表下的Run下有一个Desktop的启动项,也删除不掉,我第一次遇到这种情况,
=====================================
前几天公司一台xp sp2中过这个.按百度搜索出来的文章+360安全卫士+冰刃+WinPE光盘,搞定了.
方法就是用360扫描得出木马的详细信息(文件路径,注册表相关键值),再在冰刃里面删除(注册表启动,服务,文件本身).删除不了的,用winPE光盘启动,到硬盘里面删除(注:DOS下删除不了,显示不出来文件,Attrib -s -h -r都不行的)
另外LZ说的情况,昨天我也遇到一台IBM笔记本电脑也差不多这样了.木马N多,都中了半年多了,光可疑服务都好几个,用上超级兔子+冰刃+360等在安全模式删除干净了.再启动仍然如故,都注入到系统进程里面的.还禁用了很多功能.最后折腾半天,得,还是用一键还原.
#38
低格。。。高格。。重装系统不就OK?低格。。还有病毒?
#39
说说我的经历:
自从几年前在学校时中了病毒把机器上的EXE文件全都感染后,我就开始用杀毒软件,但是代价就是"慢"! 而且也没自己想的那么完美!
后来进了公司(公司研究硬盘保护卡及软件)后,开始使用保护软件,当然这也有代价,但是开始不使用杀毒软件了
系统安装完后,安装完驱动和一些必备常用的软件后(记得将一些常用软件的数据指向D盘),先安装数据转移程序,把桌面和我的文档以及一些常用的文件夹转移到D盘,然后做个GHOST备份,再安装保护系统,只保护系统盘,OK了!
如果一发现机器变慢或者有中毒迹象,F9一键还原,世界清净了很多,嘎嘎`~~
对于分区型病毒,在还原系统后,文件夹在可以查看隐藏文件的状态下,使用搜索功能搜索"*.inf"文件,如果发现根目录存在这个文件,点右键"打开所在的文件夹",删除底下的病毒文件即可.
对于文件感染型病毒提前要做预防,比如把文件后缀直接该成空,病毒无法识别,经常使用文本和写代码的朋友可以考虑使用WIN自带的记事本(因为目前我尚未发现能感染TXT的病毒),只把原代码保留下来即可.重要的EXE文件可以考虑改后缀保留.
废话说了 一大堆,大家别嫌麻烦,等出问题的时候,你的文件体被病毒改写覆盖了找谁都没用~~
以上不对之处望高手们指正!
自从几年前在学校时中了病毒把机器上的EXE文件全都感染后,我就开始用杀毒软件,但是代价就是"慢"! 而且也没自己想的那么完美!
后来进了公司(公司研究硬盘保护卡及软件)后,开始使用保护软件,当然这也有代价,但是开始不使用杀毒软件了
系统安装完后,安装完驱动和一些必备常用的软件后(记得将一些常用软件的数据指向D盘),先安装数据转移程序,把桌面和我的文档以及一些常用的文件夹转移到D盘,然后做个GHOST备份,再安装保护系统,只保护系统盘,OK了!
如果一发现机器变慢或者有中毒迹象,F9一键还原,世界清净了很多,嘎嘎`~~
对于分区型病毒,在还原系统后,文件夹在可以查看隐藏文件的状态下,使用搜索功能搜索"*.inf"文件,如果发现根目录存在这个文件,点右键"打开所在的文件夹",删除底下的病毒文件即可.
对于文件感染型病毒提前要做预防,比如把文件后缀直接该成空,病毒无法识别,经常使用文本和写代码的朋友可以考虑使用WIN自带的记事本(因为目前我尚未发现能感染TXT的病毒),只把原代码保留下来即可.重要的EXE文件可以考虑改后缀保留.
废话说了 一大堆,大家别嫌麻烦,等出问题的时候,你的文件体被病毒改写覆盖了找谁都没用~~
以上不对之处望高手们指正!
#40
备份数据,再强的病毒也不怕。
大不了全格了重装。。。。
不想太麻烦。。。
大不了全格了重装。。。。
不想太麻烦。。。
#41
说的容易 我看搞IT的没有几个有这样好习惯的 更别说其它行业的人士了`~
#42
比尔盖次是你什么人?七年前就拿到2003了,羡慕。。。