聪明的病毒

huwenjie

现象：杀软无法打开，
" G: _$ \- x* V! e" \( A& L; k7 b( W      安全模式蓝屏
8 W; N( e, `5 X4 e' J+ [7 F$ j+ R; ^      每过十几分钟的样子打开的所有程序、文件等自动全部关闭，
" W% Y! b/ n2 F( C' U      

这个病毒真聪明，一般的网站随便上没关系，只要一进和杀毒有关的网站，马上就自动关闭浏览器，本来还想在线杀毒，看来这条路子也不行啊。
6 y0 V3 e1 w; B6 N杀软无法安装，我用免安装的超级兔子网络卫士一查有以下软件：
1 F: l3 v" R0 Z( H1.NEW ADP OPUP
2.MUMU
& @3 p( |, o7 p1 f, ~2 D: U- C) v3.熊猫烧香
4.搜狗工具条
$ ~8 o' J4 r; |5 E1 r但我用熊猫烧香的专杀好像也没什么效果。

" n! U+ m$ \; z( J  [- N以下是我的进程
123.exe 1160 C:\DOCUME~1\lenovo\LOCALS~1\Temp\123.exe 123.exe
7 N& q% X: O/ D$ t5 `( ~123.exe 2124 C:\DOCUME~1\lenovo\LOCALS~1\Temp\123.exe 123.exe
, V* o# O9 M& x3 LCDAC11BA.EXE 532 C:\WINDOWS\system32\drivers\CDAC11BA.EXE Macrovision RTS Service 4.20.020 Windows NT 2002/12/10. Copyright (c) 1998-2002 Macrovision Corp.
) {, k; H8 y' q  f4 Nconime.exe 2284 C:\WINDOWS\system32\conime.exe Console IME 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
csrss.exe 976 C:\WINDOWS\system32\csrss.exe Client Server Runtime Process 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
6 d7 e1 S/ C) T5 Wctfmon.exe 752 C:\WINDOWS\system32\ctfmon.exe CTF Loader 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
Explorer.EXE 1968 C:\WINDOWS\Explorer.EXE Windows Explorer 6.00.2900.2180. (C) Microsoft Corporation. All rights reserved.
fsp.exe 588 C:\WINDOWS\fsp.exe fsp.exe
HotKeyB.exe 484 C:\Program Files\Lenovo\功能键盘\HotKeyB.exe 联想功能键盘 v2.2 2, 2, 0, 1. 联想电脑公司 版权所有 (C) 2005
iexplore.exe 4064 C:\Program Files\Internet Explorer\iexplore.exe Internet Explorer 6.00.2900.2180. (C) Microsoft Corporation. All rights reserved.
lsass.exe 1056 C:\WINDOWS\system32\lsass.exe LSA Shell (Export Version) 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
prcview.exe 2892 F:\abc\prcview.exe 进程查看器实用程序 3.7.3.1. 由 Igor Nys 开发, 1995-2003
; J( R1 X& E% S7 Rproscan.exe 2764 F:\abc\proscan.exe 进程查看器 1.0.0.0. http://askwhy.yeah.net
realsched.exe 508 C:\Program Files\Common Files\Real\Update_OB\realsched.exe RealNetworks Scheduler 0.1.0.3208. Copyright ? RealNetworks, Inc. 1995-2004
services.exe 1044 C:\WINDOWS\system32\services.exe Services and Controller app 5.1.2600.2180. (C) Microsoft Corporation. All rights reserved.
: V" s0 |; }7 A0 w; b* x; `! Q. O: fsmss.exe 912 C:\WINDOWS\System32\smss.exe Windows NT Session Manager 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
SOUNDMAN.EXE 476 C:\WINDOWS\SOUNDMAN.EXE Realtek Sound Manager 5, 1, 0, 51. Copyright (c) 2001-2004 Realtek Semiconductor Corp.
spoolsv.exe 1820 C:\WINDOWS\system32\spoolsv.exe Spooler SubSystem App 5.1.2600.2696. ? Microsoft Corporation. All rights reserved.
. j. x# ]/ W' X" M( H( G* gsqlservr.exe 816 d:\MSDE\binn\sqlservr.exe SQL Server Windows NT 7.00.623. Copyright ? Microsoft Corp. 1988-1998
svchost.exe 236 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
svchost.exe 1192 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
svchost.exe 1268 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
svchost.exe 1324 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
svchost.exe 1512 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
svchost.exe 1564 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
svchost.exe 2308 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.2180. ? Microsoft Corporation. All rights reserved.
2 {3 |3 A7 F- a+ K" V; N8 f5 musblogon.exe 256 C:\WINDOWS\usblogon.exe usblogon.exe
9 |# Q# y& g: LVTTimer.exe 400 C:\WINDOWS\system32\VTTimer.exe S3 Graphics, Inc. Utilities 2.00.01-0307. Copyright (C) 2001-2005 S3 Graphics, Inc.
& R9 M2 X  E/ _" l3 g' A5 RVTtrayp.exe 412 C:\WINDOWS\system32\VTtrayp.exe s3contrl (32-bit) 2.00.36-0308B. Copyright (c) 2004-2005 S3 Graphics Co., Ltd.
$ S& X3 R% n1 u$ Pwinlogon.exe 1000 C:\WINDOWS\system32\winlogon.exe Windows NT Logon Application 5.1.2600.2180. (C) Microsoft Corporation. All rights reserved.
: c/ H9 o, i. o3 ~& g我用专杀出了三个病毒，但回头再杀还是这三个，杀了一下稍微好点，以前点杀软会弹出一个对话框，其他什么都没有，现在对话筐不出来了，杀软还能出来一下，不过也只有两秒钟马上又关闭了，好像不管是打开软件也好，网页也好只要带有杀毒两字，马上就会自动关闭。

[ 本帖最后由 huwenjie 于 2007-6-14 07:19 编辑 ]

zhpfzhpf

买个好的杀毒软件吧 会安全省心很多

wwqq

中了这么多病毒，建议还是重装系统？

wych75

建议使用dos版杀毒软件在dos状态下杀毒，实在不行就重装系统。待会我发一个卡巴斯基dos版杀毒软件，你下载试试看。

[ 本帖最后由 wych75 于 2007-6-13 11:52 编辑 ]

htsky

建议楼主断开网线再试试。

huwenjie

这台机子上有财务软件，我自己不敢动啊，还有所有的杀毒软件都装不上去，我用瑞星、金山等光碟装，一点反应都没有，无法安装！

wych75

原帖由 huwenjie 于 2007-6-13 14:16 发表 http://www.3dportal.cn/discuz/images/common/back.gif
& Z6 n. w9 F- P# D0 G这台机子上有财务软件，我自己不敢动啊，还有所有的杀毒软件都装不上去，我用瑞星、金山等光碟装，一点反应都没有，无法安装！

不用安装，下载后解压即可运行。软件介绍如下：卡巴斯基  新版纯DOS杀毒软件（硬盘、软盘、闪盘、光盘、虚拟盘通用）使用说明：
(版本为4.0　病毒库更新到2007.6.8)
) {9 ?0 u# R0 `9 G
使用方法：
( [. ]2 e# g( m8 gAVP.RAR解压缩后执行AVP.bat（Win98用AVP98.BAT）,出现图形选择菜单，用键盘上的“↑”、“↓”
' H$ N3 [! A; X! b& N& c键切换选项

9 h+ Z9 b, N9 e8 N  m1.菜单1 硬盘杀毒:    　(1)执行后直接在windows DOS 模式下杀毒
) q9 r. [6 A/ k8 O- j                       (2)退出时可选择是否要制作原版AVP_DOS软件压缩包
6 @. `# \. f& Q                       (3)退出后可用命令方式(AVPDOS32 X运行，选项用/?查看,常用为 *:/*所
7 y3 T- [! V3 t4 `有盘符和文件
/ y! i7 r4 u) Y) ~3 a( h2.菜单2 软盘杀毒:    　执行后会提示你插入软盘,制成杀毒启动软盘，用该盘启动直接进入杀毒　
  }# F/ V2 z, ^/ g1 v0 G3.菜单3 闪盘杀毒:   　 执行后会提示你插入U盘并键入U盘盘符，制成杀毒U盘，用U盘启动即可杀毒
4.菜单4 光盘杀毒:　  　执行后在IMG目录生成AVP.img镜像文件，供制作杀毒光盘者在光盘制作软件
中调用
5.菜单5 虚拟软驱杀毒:  执行后电脑重新启动时，选择"由虚拟启动软盘启动"即进入杀毒界面
6.菜单6 虚拟光驱杀毒:  (1)执行后电脑重新启动时，选择"启动ISO光盘镜像"即进入杀毒界面
                       (2)执行后在C:盘生成的AVP.ISO文件还可直接用于刻可启动的杀毒光盘
7.菜单7 运行杀毒光盘:  (1)按需要选用各种由菜单4生成的DOS杀毒IMG文件拷入IMG目录
+ g2 ]$ N- g# w: D, _" Q                     　(2)执行后即自动在C:\制作出杀毒光盘DOSAV.ISO文件，可用于刻录杀毒光盘
6 x/ b( X! g6 u  C2 ~! E& G: n                       (3)电脑重启时，选"启动ISO光盘镜像"即进入光盘菜单界面
8.菜单8 更新病毒库:    (1)执行后自动开启IE下载工具下载更新病毒包，请保存在软件所在目录  
                       (2)关闭下载工具后，软件会自动更新所有病毒库文件（系统需装WinImage）
                     　
7 ]7 B6 S) b" S7 f% H4 |! C注意事项：
1.制作杀毒U盘前，请先明确你的U盘盘符，以便能正确键入U盘的盘符。
2.运行虚拟软驱启动杀毒时，30秒后电脑会重启动，请在杀毒前保存好尚未保存的数据。
6 _9 Q# u2 t0 j# Z  u3.运行虚拟光驱启动杀毒时，30秒后电脑会重启动，请在杀毒前保存好尚未保存的数据。
4.当启动菜单中有多行"由虚拟启动软盘启动或"启动ISO光盘镜像"时，可用软件的BootEdit编辑删除,
; v: l' F& t% \$ z) }# b0 Z" u使用时请慎重，不要删错c:\boot.ini中有用的启动项造成电脑不能启动。
5.由于电脑配置不同，发生程序有重启现像时，请不用NTFS支持功能也许能解决问题

方法评价：
* k9 j' u8 d  @0 R" ^1.推荐使用3、4（闪盘、光盘）二种纯DOS方法，杀毒较彻底。
2.无U盘、光驱者则用2（软盘）方法，由于杀毒程序在硬盘中是以镜像加密压缩多重保护形式存在，用
# y1 e0 p4 W5 ?/ b时才临时解开，相对安全。
+ q* G' r* f# A: K' p' H3 V3.对无软（光）驱者虚拟软（光）驱杀毒是一种补充选择，速度较快但杀毒彻底性不如纯DOS和软盘启
* K! _! `3 U  l1 ^* O4 E) j" z2 a; y3 u动杀毒。
1 D9 z' u( L% J3 c' r  G+ Y/ q  l4.仅管硬盘DOS杀毒方法最不彻底、但由于杀毒程序在硬盘中保存方法提高了其安全性、且其使用最方
1 D+ d$ C# [. ^3 n- H6 f便，对只装一款杀软的系统来说是一种杀毒方法的补充，还是具有其实用价值的。
5.最推荐的DOS杀毒方案是：下载各种杀毒镜像文件（IMG），用RW光盘刻一张你自己的杀毒维护光盘，
并经常重刻更新病毒库（只需替换ISO中的IMG文件）。

wych75

楼主请确认一下是否中了“AV终结者”病毒，专杀工具免费下载地址：http://duba-011.duba.net/duba/kav-tools/DubaTool_AV_Killer.COM。
该病毒信息介绍：
      近日，被称为“安全杀手”的AV终结者病毒愈演愈烈，截止到6月12日，变种数已达500多个，波及人群超过10万人。金山毒霸反病毒专家戴光剑指出，“AV终结者”病毒的破坏过程被精心策划，用户一旦感染，几乎所有的解决途径均遭破坏，很难清除。
0 ?; u' C! m* o/ L4 g
7 R5 y' q1 i; D　　6月8日，金山毒霸发布紧急预警，“AV终结者”病毒导致大量安全软件无法正常使用，用户系统安全面临严峻威胁；短短三天之后，6月12日，“AV终结者”危害行为变得更加恶劣，杀毒软件被禁用，反病毒网站无法打开，安全模式遭破坏，格式化系统盘后病毒仍无法清除，用户电脑的安全性被大大降低，电脑内的重要信息、机密文件、网络财产等面临严峻威胁。

. s% D* y% S, M) R7 ^" |3 _　　金山毒霸反病毒专家戴光剑表示，“AV终结者”集目前最流行的病毒技术于一身，而且破坏过程经过了严密的“策划”，普通用户一旦感染该病毒，从病毒进入电脑，到实施破坏，四步就可导致用户电脑彻底崩溃：

　　1、 禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障；
2 H! v5 k4 Q- E9 g
% {1 J0 ]% n2 j' x) O: d# }" `　　2、 破坏安全模式，致使用户根本无法进入安全模式清除病毒；

　　3、 强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法；

' v0 d, i# O. \) {, K/ F+ X$ ^　　4、 格式化系统盘重装后很容易被再次感染。用户格式化后，只要双击其他盘符，病毒将再次运行。

- p* r( w; u& A　　经过“AV终结者”的精心“策划”，用户电脑的安全防御体系被彻底摧毁，安全性几乎为零，而“AV终结者”并未就此罢手，自动连接到某网站，大量下载数百种木马病毒，各类盗号木马、广告木马、风险程序用用户电脑毫无抵抗力的情况下，鱼贯而来，用户的网银、网游、QQ帐号密码以及机密文件都处于极度危险之中。

　　据了解，“AV终结者”变种仍在不断更新，如果不即及时进行查杀，广大用户利益将面临更大威胁。基于“AV终结者”危害的严重性，金山毒霸呼吁所有反病毒厂商对该病毒进行联合绞杀，金山毒霸反病毒处理中心第一时间推出了专杀工具，用户可登陆http://duba-011.duba.net/duba/kavtools/DubaTool_AV_Killer.COM进行下载，此外由于遭遇该病毒破坏的电脑无法登陆反病毒网站，用户可到正常电脑或全国各大软件专卖店下载“AV终结者”专杀工具，然后接到中毒电脑中进行查杀。

huwenjie

多谢斑竹，我用AV终结者专杀杀出了三个，可回头再杀又杀出两个，再杀又杀出三个，好像都是那么几个木马，杀不了根！

binghe0233

节哀顺便。。。。。。。。

ibory

费这里大力气装杀软，还不如在其他电脑上升级好杀毒软件，把你这个硬盘挂过去杀。

wych75

原帖由 huwenjie 于 2007-6-13 17:00 发表 http://www.3dportal.cn/discuz/images/common/back.gif
多谢斑竹，我用AV终结者专杀杀出了三个，可回头再杀又杀出两个，再杀又杀出三个，好像都是那么几个木马，杀不了根！

7 E! E8 L" D9 M% P9 Y9 r' z不知你怎么操作的，用av终结者专杀工具杀毒时应全盘进行。结束后再启动卡巴斯基或金山、瑞星进行全盘杀毒，这样应该就可以了。
  w2 H+ k7 U; `4 f另外，11楼的方法也是一个不错的办法，你可以试试。

shengshi

不行的话我介绍个笨的方法,在DOS下全盘格式化,然后装系统

huwenjie

金山的AV终结者专杀好像没有全盘不全盘的选项，只有一个开始扫描，然后就是等它杀完为止。～～～

hy2002freemail

AV终结者从可以自下载许多木马和病毒..建议先重装C盘系统..再用金山的AV终结者专杀杀毒..然后用杀毒软件检查其他盘..我机子也是也样弄的

esom

我中过“sxs.exe”病毒，和这似乎差不多，后来格掉了
3 M: `* S* ?" M+ o像这种有重要系统的机器，一定要做个ghost备份
有条件的话还要把ghost刻盘，因为有的病毒还会感染.gho文件

zyc1979

查杀时应该断掉网线，不然会出现交叉感染!