聪明的病毒

huwenjie

现象：杀软无法打开，
      安全模式蓝屏
      每过十几分钟的样子打开的所有程序、文件等自动全部关闭，
: E; ?3 I, n# U& J* A  E# y  y      
( Z0 W0 ^; T% W; q: X( J! L
这个病毒真聪明，一般的网站随便上没关系，只要一进和杀毒有关的网站，马上就自动关闭浏览器，本来还想在线杀毒，看来这条路子也不行啊。
* V% [, ^5 L- U# Y$ Q# e: V杀软无法安装，我用免安装的超级兔子网络卫士一查有以下软件：
1.NEW ADP OPUP
2.MUMU
3.熊猫烧香
4.搜狗工具条
但我用熊猫烧香的专杀好像也没什么效果。

以下是我的进程
123.exe 1160 C:\DOCUME~1\lenovo\LOCALS~1\Temp\123.exe 123.exe
- W+ i6 P, [9 D- {; \' P# W, n6 q123.exe 2124 C:\DOCUME~1\lenovo\LOCALS~1\Temp\123.exe 123.exe
CDAC11BA.EXE 532 C:\WINDOWS\system32\drivers\CDAC11BA.EXE Macrovision RTS Service 4.20.020 Windows NT 2002/12/10. Copyright (c) 1998-2002 Macrovision Corp.
$ l* N" _1 {8 U. O0 A7 j& }& d; fconime.exe 2284 C:\WINDOWS\system32\conime.exe Console IME 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
, E1 p+ A% ^, k/ Tcsrss.exe 976 C:\WINDOWS\system32\csrss.exe Client Server Runtime Process 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
1 R/ O. E! O5 N, P+ rctfmon.exe 752 C:\WINDOWS\system32\ctfmon.exe CTF Loader 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
5 @3 |3 b# j/ G% I& |Explorer.EXE 1968 C:\WINDOWS\Explorer.EXE Windows Explorer 6.00.2900.2180. (C) Microsoft Corporation. All rights reserved.
fsp.exe 588 C:\WINDOWS\fsp.exe fsp.exe
, c; ~4 Y- Y* N% vHotKeyB.exe 484 C:\Program Files\Lenovo\功能键盘\HotKeyB.exe 联想功能键盘 v2.2 2, 2, 0, 1. 联想电脑公司 版权所有 (C) 2005
iexplore.exe 4064 C:\Program Files\Internet Explorer\iexplore.exe Internet Explorer 6.00.2900.2180. (C) Microsoft Corporation. All rights reserved.
lsass.exe 1056 C:\WINDOWS\system32\lsass.exe LSA Shell (Export Version) 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
prcview.exe 2892 F:\abc\prcview.exe 进程查看器实用程序 3.7.3.1. 由 Igor Nys 开发, 1995-2003
proscan.exe 2764 F:\abc\proscan.exe 进程查看器 1.0.0.0. http://askwhy.yeah.net
+ x/ w* E' y+ e  d: `( I1 ^realsched.exe 508 C:\Program Files\Common Files\Real\Update_OB\realsched.exe RealNetworks Scheduler 0.1.0.3208. Copyright ? RealNetworks, Inc. 1995-2004
4 m- S8 z* e+ `: k. eservices.exe 1044 C:\WINDOWS\system32\services.exe Services and Controller app 5.1.2600.2180. (C) Microsoft Corporation. All rights reserved.
6 ^9 [" R& @' f/ {- u# tsmss.exe 912 C:\WINDOWS\System32\smss.exe Windows NT Session Manager 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
% p  Z( y! U! O/ zSOUNDMAN.EXE 476 C:\WINDOWS\SOUNDMAN.EXE Realtek Sound Manager 5, 1, 0, 51. Copyright (c) 2001-2004 Realtek Semiconductor Corp.
spoolsv.exe 1820 C:\WINDOWS\system32\spoolsv.exe Spooler SubSystem App 5.1.2600.2696. ? Microsoft Corporation. All rights reserved.
+ V$ b$ y1 s$ h" [& ^2 \7 K0 Vsqlservr.exe 816 d:\MSDE\binn\sqlservr.exe SQL Server Windows NT 7.00.623. Copyright ? Microsoft Corp. 1988-1998
svchost.exe 236 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
svchost.exe 1192 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
svchost.exe 1268 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
+ H2 d: R  D) D' Ysvchost.exe 1324 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
) `" {: Y; n# l) G+ Psvchost.exe 1512 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
8 e# M/ ^1 P  `: K8 csvchost.exe 1564 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
svchost.exe 2308 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
usblogon.exe 256 C:\WINDOWS\usblogon.exe usblogon.exe
8 Z9 d  n, Z7 j7 o9 w5 uVTTimer.exe 400 C:\WINDOWS\system32\VTTimer.exe S3 Graphics, Inc. Utilities 2.00.01-0307. Copyright (C) 2001-2005 S3 Graphics, Inc.
: b2 u! X$ J' W9 _% O+ k. l5 qVTtrayp.exe 412 C:\WINDOWS\system32\VTtrayp.exe s3contrl (32-bit) 2.00.36-0308B. Copyright (c) 2004-2005 S3 Graphics Co., Ltd.
winlogon.exe 1000 C:\WINDOWS\system32\winlogon.exe Windows NT Logon Application 5.1.2600.2180. (C) Microsoft Corporation. All rights reserved.
$ [0 D! ^1 d+ j) c# ?8 Z我用专杀出了三个病毒，但回头再杀还是这三个，杀了一下稍微好点，以前点杀软会弹出一个对话框，其他什么都没有，现在对话筐不出来了，杀软还能出来一下，不过也只有两秒钟马上又关闭了，好像不管是打开软件也好，网页也好只要带有杀毒两字，马上就会自动关闭。

9 a4 h5 q& E/ i[ 本帖最后由 huwenjie 于 2007-6-14 07:19 编辑 ]

zhpfzhpf

买个好的杀毒软件吧 会安全省心很多

wwqq

中了这么多病毒，建议还是重装系统？

wych75

建议使用dos版杀毒软件在dos状态下杀毒，实在不行就重装系统。待会我发一个卡巴斯基dos版杀毒软件，你下载试试看。

) O; @+ U  z6 |! H[ 本帖最后由 wych75 于 2007-6-13 11:52 编辑 ]

htsky

建议楼主断开网线再试试。

huwenjie

这台机子上有财务软件，我自己不敢动啊，还有所有的杀毒软件都装不上去，我用瑞星、金山等光碟装，一点反应都没有，无法安装！

wych75

原帖由 huwenjie 于 2007-6-13 14:16 发表 http://www.3dportal.cn/discuz/images/common/back.gif
这台机子上有财务软件，我自己不敢动啊，还有所有的杀毒软件都装不上去，我用瑞星、金山等光碟装，一点反应都没有，无法安装！

( u. f# R. q/ s9 H不用安装，下载后解压即可运行。软件介绍如下：卡巴斯基  新版纯DOS杀毒软件（硬盘、软盘、闪盘、光盘、虚拟盘通用）使用说明：
(版本为4.0　病毒库更新到2007.6.8)
! J( h2 C! `5 ?. V6 k4 ^0 [1 e* y
' u- ?8 n& n4 Y8 }8 m* d" w使用方法：
AVP.RAR解压缩后执行AVP.bat（Win98用AVP98.BAT）,出现图形选择菜单，用键盘上的“↑”、“↓”
' ^" Z5 r6 G- Q# s键切换选项

2 h  f7 @! W( u9 f# B# m1.菜单1 硬盘杀毒:    　(1)执行后直接在windows DOS 模式下杀毒
                       (2)退出时可选择是否要制作原版AVP_DOS软件压缩包
  H: Q+ L5 q4 b1 r' a: l. I; b                       (3)退出后可用命令方式(AVPDOS32 X运行，选项用/?查看,常用为 *:/*所
' l. L2 \4 F8 y, i. D有盘符和文件
: S; u" a' z* k4 k/ f2.菜单2 软盘杀毒:    　执行后会提示你插入软盘,制成杀毒启动软盘，用该盘启动直接进入杀毒　
3.菜单3 闪盘杀毒:   　 执行后会提示你插入U盘并键入U盘盘符，制成杀毒U盘，用U盘启动即可杀毒
& M8 s$ J+ L  t, u# N4.菜单4 光盘杀毒:　  　执行后在IMG目录生成AVP.img镜像文件，供制作杀毒光盘者在光盘制作软件
2 d5 L, R1 c7 m, I. M6 ?2 D, m  V中调用
5.菜单5 虚拟软驱杀毒:  执行后电脑重新启动时，选择"由虚拟启动软盘启动"即进入杀毒界面
# U2 B& }7 f8 B8 c2 H  `6.菜单6 虚拟光驱杀毒:  (1)执行后电脑重新启动时，选择"启动ISO光盘镜像"即进入杀毒界面
                       (2)执行后在C:盘生成的AVP.ISO文件还可直接用于刻可启动的杀毒光盘
: v, C+ W8 h8 F' s8 k4 `' i7.菜单7 运行杀毒光盘:  (1)按需要选用各种由菜单4生成的DOS杀毒IMG文件拷入IMG目录
. D9 h  Z; q0 I                     　(2)执行后即自动在C:\制作出杀毒光盘DOSAV.ISO文件，可用于刻录杀毒光盘
. P5 T  D8 |) T, F                       (3)电脑重启时，选"启动ISO光盘镜像"即进入光盘菜单界面
8.菜单8 更新病毒库:    (1)执行后自动开启IE下载工具下载更新病毒包，请保存在软件所在目录  
                       (2)关闭下载工具后，软件会自动更新所有病毒库文件（系统需装WinImage）
/ G+ U' _& T1 [  @" v                     　
注意事项：
1.制作杀毒U盘前，请先明确你的U盘盘符，以便能正确键入U盘的盘符。
2.运行虚拟软驱启动杀毒时，30秒后电脑会重启动，请在杀毒前保存好尚未保存的数据。
3.运行虚拟光驱启动杀毒时，30秒后电脑会重启动，请在杀毒前保存好尚未保存的数据。
) j/ s& [. N0 \' @8 P3 H4.当启动菜单中有多行"由虚拟启动软盘启动或"启动ISO光盘镜像"时，可用软件的BootEdit编辑删除,
( m8 H2 D& A/ g使用时请慎重，不要删错c:\boot.ini中有用的启动项造成电脑不能启动。
5.由于电脑配置不同，发生程序有重启现像时，请不用NTFS支持功能也许能解决问题
5 ?3 R$ _( Z5 f# w+ ?
( H7 p! N/ P$ y方法评价：
. x* g( `6 ^: p& }) s1.推荐使用3、4（闪盘、光盘）二种纯DOS方法，杀毒较彻底。
2.无U盘、光驱者则用2（软盘）方法，由于杀毒程序在硬盘中是以镜像加密压缩多重保护形式存在，用
  F1 z2 i7 B% ]; {' f7 i时才临时解开，相对安全。
3.对无软（光）驱者虚拟软（光）驱杀毒是一种补充选择，速度较快但杀毒彻底性不如纯DOS和软盘启
动杀毒。
4 D7 i" S+ d9 n  J4.仅管硬盘DOS杀毒方法最不彻底、但由于杀毒程序在硬盘中保存方法提高了其安全性、且其使用最方
, h5 B2 B- o  H6 M* P+ h" Z7 N9 a便，对只装一款杀软的系统来说是一种杀毒方法的补充，还是具有其实用价值的。
! E3 Y# P8 e8 F5.最推荐的DOS杀毒方案是：下载各种杀毒镜像文件（IMG），用RW光盘刻一张你自己的杀毒维护光盘，
并经常重刻更新病毒库（只需替换ISO中的IMG文件）。

wych75

楼主请确认一下是否中了“AV终结者”病毒，专杀工具免费下载地址：http://duba-011.duba.net/duba/kav-tools/DubaTool_AV_Killer.COM。
该病毒信息介绍：
( u- @% H) m% r0 ^      近日，被称为“安全杀手”的AV终结者病毒愈演愈烈，截止到6月12日，变种数已达500多个，波及人群超过10万人。金山毒霸反病毒专家戴光剑指出，“AV终结者”病毒的破坏过程被精心策划，用户一旦感染，几乎所有的解决途径均遭破坏，很难清除。

　　6月8日，金山毒霸发布紧急预警，“AV终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6月12日，“AV终结者”危害行为变得更加恶劣，杀毒软件被禁用，反病毒网站无法打开，安全模式遭破坏，格式化系统盘后病毒仍无法清除，用户电脑的安全性被大大降低，电脑内的重要信息、机密文件、网络财产等面临严峻威胁。

　　金山毒霸反病毒专家戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：

1 l' c" ?! |6 `! K　　1、 禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障；

　　2、 破坏安全模式，致使用户根本无法进入安全模式清除病毒；
( G/ Q! M# C+ Q; P
　　3、 强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法；

8 }; i3 x" z2 [- v" G　　4、 格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。
, L! J  }1 @, K8 N' U3 R
% y3 |! n2 j9 {- Z　　经过“AV终结者”的精心“策划”，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”并未就此罢手，自动连接到某网站，大量下载数百种木马病毒，各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。

　　据了解，“AV终结者”变种仍在不断更新，如果不即及时进行查杀，广大用户利益将面临更大威胁。基于“AV终结者”危害的严重性，金山毒霸呼吁所有反病毒厂商对该病毒进行联合绞杀，金山毒霸反病毒处理中心第一时间推出了专杀工具，用户可登陆http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer.COM进行下载，此外由于遭遇该病毒破坏的电脑无法登陆反病毒网站，用户可到正常电脑或全国各大软件专卖店下载“AV终结者”专杀工具，然后接到中毒电脑中进行查杀。

huwenjie

多谢斑竹，我用AV终结者专杀杀出了三个，可回头再杀又杀出两个，再杀又杀出三个，好像都是那么几个木马，杀不了根！

binghe0233

节哀顺便。。。。。。。。

ibory

费这里大力气装杀软，还不如在其他电脑上升级好杀毒软件，把你这个硬盘挂过去杀。

wych75

原帖由 huwenjie 于 2007-6-13 17:00 发表 http://www.3dportal.cn/discuz/images/common/back.gif
多谢斑竹，我用AV终结者专杀杀出了三个，可回头再杀又杀出两个，再杀又杀出三个，好像都是那么几个木马，杀不了根！

不知你怎么操作的，用av终结者专杀工具杀毒时应全盘进行。结束后再启动卡巴斯基或金山、瑞星进行全盘杀毒，这样应该就可以了。
另外，11楼的方法也是一个不错的办法，你可以试试。

shengshi

不行的话我介绍个笨的方法,在DOS下全盘格式化,然后装系统

huwenjie

金山的AV终结者专杀好像没有全盘不全盘的选项，只有一个开始扫描，然后就是等它杀完为止。～～～

hy2002freemail

AV终结者从可以自下载许多木马和病毒..建议先重装C盘系统..再用金山的AV终结者专杀杀毒..然后用杀毒软件检查其他盘..我机子也是也样弄的

esom

我中过“sxs.exe”病毒，和这似乎差不多，后来格掉了
' [7 R" u, A+ K像这种有重要系统的机器，一定要做个ghost备份
" g9 z) U' {" g0 K! O有条件的话还要把ghost刻盘，因为有的病毒还会感染.gho文件

zyc1979

查杀时应该断掉网线，不然会出现交叉感染!