聪明的病毒

huwenjie

现象：杀软无法打开，
9 _0 P& }2 [8 p7 f$ Z      安全模式蓝屏
$ ^8 d2 i2 ~' d: b% q  m      每过十几分钟的样子打开的所有程序、文件等自动全部关闭，
      
+ o6 U: W7 r# H9 p* `
这个病毒真聪明，一般的网站随便上没关系，只要一进和杀毒有关的网站，马上就自动关闭浏览器，本来还想在线杀毒，看来这条路子也不行啊。
杀软无法安装，我用免安装的超级兔子网络卫士一查有以下软件：
+ c3 @! ?( @" T( l# I1 t1.NEW ADP OPUP
* O+ t7 t% c  Q3 a2.MUMU
3.熊猫烧香
* q3 t+ j9 \1 v, l, g4.搜狗工具条
但我用熊猫烧香的专杀好像也没什么效果。

/ d; b$ }+ d/ v/ S以下是我的进程
123.exe 1160 C:\DOCUME~1\lenovo\LOCALS~1\Temp\123.exe 123.exe
123.exe 2124 C:\DOCUME~1\lenovo\LOCALS~1\Temp\123.exe 123.exe
CDAC11BA.EXE 532 C:\WINDOWS\system32\drivers\CDAC11BA.EXE Macrovision RTS Service 4.20.020 Windows NT 2002/12/10. Copyright (c) 1998-2002 Macrovision Corp.
conime.exe 2284 C:\WINDOWS\system32\conime.exe Console IME 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
$ ^( g+ L8 J, a! Z9 \csrss.exe 976 C:\WINDOWS\system32\csrss.exe Client Server Runtime Process 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
ctfmon.exe 752 C:\WINDOWS\system32\ctfmon.exe CTF Loader 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
Explorer.EXE 1968 C:\WINDOWS\Explorer.EXE Windows Explorer 6.00.2900.2180. (C) Microsoft Corporation. All rights reserved.
1 m$ D. s7 F1 D. P* @6 Ifsp.exe 588 C:\WINDOWS\fsp.exe fsp.exe
" l0 ^4 x$ k, M8 [HotKeyB.exe 484 C:\Program Files\Lenovo\功能键盘\HotKeyB.exe 联想功能键盘 v2.2 2, 2, 0, 1. 联想电脑公司 版权所有 (C) 2005
: I3 N# ^4 R- Q" x# \1 {3 z8 Yiexplore.exe 4064 C:\Program Files\Internet Explorer\iexplore.exe Internet Explorer 6.00.2900.2180. (C) Microsoft Corporation. All rights reserved.
1 N, c5 v- K- [& Y8 T  @lsass.exe 1056 C:\WINDOWS\system32\lsass.exe LSA Shell (Export Version) 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
/ q( A3 ?# h0 y) }prcview.exe 2892 F:\abc\prcview.exe 进程查看器实用程序 3.7.3.1. 由 Igor Nys 开发, 1995-2003
proscan.exe 2764 F:\abc\proscan.exe 进程查看器 1.0.0.0. http://askwhy.yeah.net
3 H. X& N: _& V$ L2 f6 H" a3 zrealsched.exe 508 C:\Program Files\Common Files\Real\Update_OB\realsched.exe RealNetworks Scheduler 0.1.0.3208. Copyright ? RealNetworks, Inc. 1995-2004
services.exe 1044 C:\WINDOWS\system32\services.exe Services and Controller app 5.1.2600.2180. (C) Microsoft Corporation. All rights reserved.
smss.exe 912 C:\WINDOWS\System32\smss.exe Windows NT Session Manager 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
SOUNDMAN.EXE 476 C:\WINDOWS\SOUNDMAN.EXE Realtek Sound Manager 5, 1, 0, 51. Copyright (c) 2001-2004 Realtek Semiconductor Corp.
spoolsv.exe 1820 C:\WINDOWS\system32\spoolsv.exe Spooler SubSystem App 5.1.2600.2696. ? Microsoft Corporation. All rights reserved.
sqlservr.exe 816 d:\MSDE\binn\sqlservr.exe SQL Server Windows NT 7.00.623. Copyright ? Microsoft Corp. 1988-1998
svchost.exe 236 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
svchost.exe 1192 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
) p7 W1 P: p7 q1 M$ r- f  Zsvchost.exe 1268 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
- q" z: ?  q0 i: Jsvchost.exe 1324 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
# {( {) q5 p; P6 C, \# B( y# Tsvchost.exe 1512 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
svchost.exe 1564 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
# f) ]( K3 J$ S% B6 D9 W( k, psvchost.exe 2308 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
- N% e' C$ `/ x, u* M$ fusblogon.exe 256 C:\WINDOWS\usblogon.exe usblogon.exe
VTTimer.exe 400 C:\WINDOWS\system32\VTTimer.exe S3 Graphics, Inc. Utilities 2.00.01-0307. Copyright (C) 2001-2005 S3 Graphics, Inc.
VTtrayp.exe 412 C:\WINDOWS\system32\VTtrayp.exe s3contrl (32-bit) 2.00.36-0308B. Copyright (c) 2004-2005 S3 Graphics Co., Ltd.
winlogon.exe 1000 C:\WINDOWS\system32\winlogon.exe Windows NT Logon Application 5.1.2600.2180. (C) Microsoft Corporation. All rights reserved.
我用专杀出了三个病毒，但回头再杀还是这三个，杀了一下稍微好点，以前点杀软会弹出一个对话框，其他什么都没有，现在对话筐不出来了，杀软还能出来一下，不过也只有两秒钟马上又关闭了，好像不管是打开软件也好，网页也好只要带有杀毒两字，马上就会自动关闭。
) d: x6 n( [6 |% S/ i6 x! s
[ 本帖最后由 huwenjie 于 2007-6-14 07:19 编辑 ]

zhpfzhpf

买个好的杀毒软件吧 会安全省心很多

wwqq

中了这么多病毒，建议还是重装系统？

wych75

建议使用dos版杀毒软件在dos状态下杀毒，实在不行就重装系统。待会我发一个卡巴斯基dos版杀毒软件，你下载试试看。

+ j! X) {9 U: W/ [1 @0 h0 l[ 本帖最后由 wych75 于 2007-6-13 11:52 编辑 ]

htsky

建议楼主断开网线再试试。

huwenjie

这台机子上有财务软件，我自己不敢动啊，还有所有的杀毒软件都装不上去，我用瑞星、金山等光碟装，一点反应都没有，无法安装！

wych75

原帖由 huwenjie 于 2007-6-13 14:16 发表 http://www.3dportal.cn/discuz/images/common/back.gif
这台机子上有财务软件，我自己不敢动啊，还有所有的杀毒软件都装不上去，我用瑞星、金山等光碟装，一点反应都没有，无法安装！

不用安装，下载后解压即可运行。软件介绍如下：卡巴斯基  新版纯DOS杀毒软件（硬盘、软盘、闪盘、光盘、虚拟盘通用）使用说明：
  s, d. T5 d4 S3 ]' H(版本为4.0　病毒库更新到2007.6.8)
. v: h' [' k$ u6 V
使用方法：
' P$ K) M: d  r0 G7 J, pAVP.RAR解压缩后执行AVP.bat（Win98用AVP98.BAT）,出现图形选择菜单，用键盘上的“↑”、“↓”
8 {' o2 j# r3 s: F) H; B键切换选项
) z& H: l) J7 l3 {) o) `2 F' z
( p4 m8 b+ n! R, J8 w) W) e) C1.菜单1 硬盘杀毒:    　(1)执行后直接在windows DOS 模式下杀毒
* B# p9 X+ ^- m: d) @                       (2)退出时可选择是否要制作原版AVP_DOS软件压缩包
                       (3)退出后可用命令方式(AVPDOS32 X运行，选项用/?查看,常用为 *:/*所
1 z4 D, z9 q4 k0 d2 E  v0 [有盘符和文件
2 T7 o% U2 H6 A* W2.菜单2 软盘杀毒:    　执行后会提示你插入软盘,制成杀毒启动软盘，用该盘启动直接进入杀毒　
3.菜单3 闪盘杀毒:   　 执行后会提示你插入U盘并键入U盘盘符，制成杀毒U盘，用U盘启动即可杀毒
* d+ \8 k$ T" I' G0 D- J/ u4.菜单4 光盘杀毒:　  　执行后在IMG目录生成AVP.img镜像文件，供制作杀毒光盘者在光盘制作软件
% d+ S$ H4 q' y2 b% X, @中调用
5.菜单5 虚拟软驱杀毒:  执行后电脑重新启动时，选择"由虚拟启动软盘启动"即进入杀毒界面
6.菜单6 虚拟光驱杀毒:  (1)执行后电脑重新启动时，选择"启动ISO光盘镜像"即进入杀毒界面
* j! `& a" B' d                       (2)执行后在C:盘生成的AVP.ISO文件还可直接用于刻可启动的杀毒光盘
7.菜单7 运行杀毒光盘:  (1)按需要选用各种由菜单4生成的DOS杀毒IMG文件拷入IMG目录
7 _) t' x; }# P                     　(2)执行后即自动在C:\制作出杀毒光盘DOSAV.ISO文件，可用于刻录杀毒光盘
% z1 V0 Y8 U$ X  [2 p) k                       (3)电脑重启时，选"启动ISO光盘镜像"即进入光盘菜单界面
8.菜单8 更新病毒库:    (1)执行后自动开启IE下载工具下载更新病毒包，请保存在软件所在目录  
                       (2)关闭下载工具后，软件会自动更新所有病毒库文件（系统需装WinImage）
4 F" s/ a* C- @; a( T! }                     　
. S. z* q+ l* G9 _3 F: g9 z注意事项：
8 l! T9 G0 \) r" r1.制作杀毒U盘前，请先明确你的U盘盘符，以便能正确键入U盘的盘符。
2.运行虚拟软驱启动杀毒时，30秒后电脑会重启动，请在杀毒前保存好尚未保存的数据。
- _. \. Z3 B, x! D8 C3.运行虚拟光驱启动杀毒时，30秒后电脑会重启动，请在杀毒前保存好尚未保存的数据。
4.当启动菜单中有多行"由虚拟启动软盘启动或"启动ISO光盘镜像"时，可用软件的BootEdit编辑删除,
. p! a2 h! \2 {4 x$ g使用时请慎重，不要删错c:\boot.ini中有用的启动项造成电脑不能启动。
- c' b' `# i% g( H5.由于电脑配置不同，发生程序有重启现像时，请不用NTFS支持功能也许能解决问题
# I: b+ W+ S' T, }& x9 h, \
方法评价：
1.推荐使用3、4（闪盘、光盘）二种纯DOS方法，杀毒较彻底。
2.无U盘、光驱者则用2（软盘）方法，由于杀毒程序在硬盘中是以镜像加密压缩多重保护形式存在，用
时才临时解开，相对安全。
% S' y- _% z/ c  @3.对无软（光）驱者虚拟软（光）驱杀毒是一种补充选择，速度较快但杀毒彻底性不如纯DOS和软盘启
动杀毒。
- w- F, R7 w! o: r4 Y% F9 y* [4.仅管硬盘DOS杀毒方法最不彻底、但由于杀毒程序在硬盘中保存方法提高了其安全性、且其使用最方
便，对只装一款杀软的系统来说是一种杀毒方法的补充，还是具有其实用价值的。
- t: E( a( S$ Z# h  Z- O5 D4 \% S5.最推荐的DOS杀毒方案是：下载各种杀毒镜像文件（IMG），用RW光盘刻一张你自己的杀毒维护光盘，
! [6 Z/ g" U5 N! V7 ?) S并经常重刻更新病毒库（只需替换ISO中的IMG文件）。

wych75

楼主请确认一下是否中了“AV终结者”病毒，专杀工具免费下载地址：http://duba-011.duba.net/duba/kav-tools/DubaTool_AV_Killer.COM。
该病毒信息介绍：
5 `4 U6 m2 L! t& O) b: L" |      近日，被称为“安全杀手”的AV终结者病毒愈演愈烈，截止到6月12日，变种数已达500多个，波及人群超过10万人。金山毒霸反病毒专家戴光剑指出，“AV终结者”病毒的破坏过程被精心策划，用户一旦感染，几乎所有的解决途径均遭破坏，很难清除。

( o! e0 }3 z: X4 ?- q- U! H. G. q% Y  I7 c　　6月8日，金山毒霸发布紧急预警，“AV终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6月12日，“AV终结者”危害行为变得更加恶劣，杀毒软件被禁用，反病毒网站无法打开，安全模式遭破坏，格式化系统盘后病毒仍无法清除，用户电脑的安全性被大大降低，电脑内的重要信息、机密文件、网络财产等面临严峻威胁。
' f0 q$ Z, ]3 v+ s4 `7 d# _' _
+ {; [8 q! W/ |* J' ]9 T; A3 A　　金山毒霸反病毒专家戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：

, r+ \+ r+ _5 k/ {9 V: c1 @' u　　1、 禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障；

　　2、 破坏安全模式，致使用户根本无法进入安全模式清除病毒；
" K; |' J9 a$ c) B: A
　　3、 强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法；

　　4、 格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。

3 i; t8 O& w( b3 _, Z- q* c　　经过“AV终结者”的精心“策划”，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”并未就此罢手，自动连接到某网站，大量下载数百种木马病毒，各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。
/ P0 f( S6 r; i6 B: W! D% v& v" j
  H0 y# [" e8 r+ P) E$ }1 G　　据了解，“AV终结者”变种仍在不断更新，如果不即及时进行查杀，广大用户利益将面临更大威胁。基于“AV终结者”危害的严重性，金山毒霸呼吁所有反病毒厂商对该病毒进行联合绞杀，金山毒霸反病毒处理中心第一时间推出了专杀工具，用户可登陆http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer.COM进行下载，此外由于遭遇该病毒破坏的电脑无法登陆反病毒网站，用户可到正常电脑或全国各大软件专卖店下载“AV终结者”专杀工具，然后接到中毒电脑中进行查杀。

huwenjie

多谢斑竹，我用AV终结者专杀杀出了三个，可回头再杀又杀出两个，再杀又杀出三个，好像都是那么几个木马，杀不了根！

binghe0233

节哀顺便。。。。。。。。

ibory

费这里大力气装杀软，还不如在其他电脑上升级好杀毒软件，把你这个硬盘挂过去杀。

wych75

原帖由 huwenjie 于 2007-6-13 17:00 发表 http://www.3dportal.cn/discuz/images/common/back.gif
多谢斑竹，我用AV终结者专杀杀出了三个，可回头再杀又杀出两个，再杀又杀出三个，好像都是那么几个木马，杀不了根！

) A4 b% J' o% o2 B6 v& D& x! I不知你怎么操作的，用av终结者专杀工具杀毒时应全盘进行。结束后再启动卡巴斯基或金山、瑞星进行全盘杀毒，这样应该就可以了。
另外，11楼的方法也是一个不错的办法，你可以试试。

shengshi

不行的话我介绍个笨的方法,在DOS下全盘格式化,然后装系统

huwenjie

金山的AV终结者专杀好像没有全盘不全盘的选项，只有一个开始扫描，然后就是等它杀完为止。～～～

hy2002freemail

AV终结者从可以自下载许多木马和病毒..建议先重装C盘系统..再用金山的AV终结者专杀杀毒..然后用杀毒软件检查其他盘..我机子也是也样弄的

esom

我中过“sxs.exe”病毒，和这似乎差不多，后来格掉了
像这种有重要系统的机器，一定要做个ghost备份
8 W* U  L8 b" N, |4 T8 w; m, I有条件的话还要把ghost刻盘，因为有的病毒还会感染.gho文件

zyc1979

查杀时应该断掉网线，不然会出现交叉感染!