博威---云架构决胜云计算

 找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 7600|回复: 12

当杀毒软件无能为力时,手动杀毒也许是我的最后救命稻草!

[复制链接]
发表于 2007-5-2 20:01:33 | 显示全部楼层 |阅读模式
当杀毒软件无能为力时,手动杀毒也许是我的最后救命稻草!  

上网最恐怖的事莫过于新病毒出来的时候,尽管电脑上我们都装有各种强大的杀毒软件,也配置了定时自动更新病毒库,但病毒总是要先于病毒库的更新的,所以中招的每次都不会是少数,这里列举一些通用的杀毒方法,自己动手用系统自带的工具绞杀病毒
上网最恐怖的事莫过于新病毒出来的时候,尽管电脑上我们都装有各种强大的杀毒软件,也配置了定时自动更新病毒库,但病毒总是要先于病毒库的更新的,所以中招的每次都不会是少数,这里列举一些通用的杀毒方法,自己动手用系统自带的工具绞杀病毒:
一、自己动手前,切记有备无患——用tasklist备份系统进程
新型病毒都学会了用进程来隐藏自己,所以我们最好在系统正常的时候,备份一下电脑的进程列表,当然最好在刚进入windows时不要运行任何程序的情况下备份,样以后感觉电脑异常的时候可以通过比较进程列表,找出可能是病毒的进程。
在命令提示符下输入:
tasklist /fo:csv>g:zc.csv
上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中,g:为你要保存到的盘,可以用excel打开该文件.
二、自己动手时,必须火眼金睛——用fc比较进程列表文件 如果感觉电脑异常,或者知道最近有流行病毒,那么就有必要检查一下。
进入命令提示符下,输入下列命令:
tasklist /fo:csv>g:yc.csv
生成一个当前进程的yc.csv文件列表,然后输入:
fc g:zccsv g:yc.csy
回车后就可以看到前后列表文件的不同了,通过比较发现,电脑多了一个名为“winion0n.exe”(这里以这个进程为例)不是“winionon.exe”的异常进程。
三、进行判断时,切记证据确凿——用netstat查看开放端口 对这样的可疑进程,如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒,可以查看一下端口占有情况。
在命令提示符下输入:
netstat -a-n-o
参数含义如下:
a:显示所有与该主机建立连接的端口信息
n:显示打开端口进程pid代码
o:以数字格式显示地址和端口信息
回车后就可以看到所有开放端口和外部连接进程,这里一个pid为1756(以此为例)的进程最为可疑,它的状态是“established”,通过任务管理器可以知道这个进程就是“winion0n.exe”,通过查看本机运行网络程序,可以判断这是一个非法连接!
连接参数含义如下:
listeninc:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接,只有tcp协议的服务端口才能处于listeninc状态。
established的意思是建立连接。表示两台机器正在通信。time-wait意思是结束了这次连接。说明端口曾经有过访问,但访问结束了,用于判断是否有外部电脑连接到本机。
四:下手杀毒时,一定要心狠手辣——用ntsd终止进程
虽然知道 “winion0n.exe”是个非法进程,但是很多病毒的进程无法通过任务管理器终止,怎么办?
在命令提示符下输入下列命令:
ntsd ╟c q-p 1756
回车后可以顺利结束病毒进程。
提示:“1756”为进程pid值,如果不知道进程的id,打开任务管理器,单击“查看→选择列→勾上pid(进程标识符)即可。ntsd可以强行终止除sytem,smss.exe,csrss.exe外的所有进程。
五、断定病毒后,定要斩草除根——搜出病毒原文件 对于已经判断是病毒文件的“winion0n.exe”文件,通过搜索“本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”,找到该文件的藏身之所,将它删除。不过这样删除的只是病毒主文件,通过查看它的属性,依据它的文件创建日期、大小再次进行搜索,找出它的同伙并删除。如果你不确定还有那些文件是它的亲戚,通过网络搜索查找病毒信息获得帮助。
六、清除病毒后一定要打扫战场——手动修复注册表虽然把病毒文件删除了,但病毒都会在注册表留下垃圾键值,还需要把这些垃圾清除干净。1、用reg export备份自启动。由于自启动键值很多,发现病毒时手动查找很不方便。这里用reg export+批处理命令来备份。
启动记事本输入下列命令:
reg export hklmsoftwaremicrosoftwindows
currentversi fo:hklmrun.reg
reg export hkcusoftwaremicrosoftwindows
currentversi f:hklcu.reg
reg export hklmsoftwaremicrosoftwindows
currentversi hklml.reg
注:这里只列举几个常见键值的备份,其它键值请参照上述方法制作。
然后将它保存为ziqidong.bat在命令提示符下运行它,即可将所有自启动键值备份到相应的reg文件中,接着再输入:
copy f:*.reg ziqidong.txt
命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中,这样如果发现病毒新增自启动项,同上次导出自启动值,利用上面介绍的fc命令比较前后两个txt文件,即可快速找出新增自启动项目。
2、用reg delete删除新增自启动键值。比如:通过上面的方法在[hker_current_usersoftwaremicrosoft
windowscurrentversionrun],找到一个“logon”自启动项,启动程序为“c:windowswinlogon.exe”,现在输入下列命令即可删除病毒自启动键值:
reg delete hklmsoftwaremicrossoftwindows
currentversi /f
3、用reg import恢复注册表。reg de-lete删除是的是整个run键值,现在用备份好的reg文件恢复即可,输入下列命令即可迅速还原注册表:
reg import f:hklmrun.reg
上面介绍手动杀毒的几个系统命令,其实只要用好这些命令,我们基本可以kill掉大部分的病毒,当然平时就一定要做好备份工作。
提示:上述操作也可以在注册表编辑器里手动操作,但是reg命令有个好处,那就是即使注册表编辑器被病毒设置为禁用,也可以通过上述命令导出/删除/导入操作,而且速度更快!
七、捆绑木马克星——find
上面介绍利用系统命令查杀一般病毒,下面再介绍一个检测捆绑木马的“find”命令。相信很很多网虫都遭遇过捆绑木刀,这些“批着羊皮的狼”常常躲在图片、flash、甚至音乐文件后面。当我们打开这些文件的时候,虽然在当前窗口显示的确实是一幅图片(或是播放的flash),但可恶的木马却已经在后台悄悄地运行了。比如近日我就收到一张好友从qq传来的超女壁纸,但是当我打开图片时却发现:图片已经用“图片和传真查看器”打开了,硬盘的指示灯却一直在狂闪。显然在我打开图片的同时,有不明的程序在后台运行。现在用find命令检测图片是否捆绑木马,在命令提示符输入:
find /c /i〝this program〞g:chaonv.jpe.exe
其中:
g:chaonv.jpe.exe表示需要检测的文件
find命令返回的提示是“___g:chaonv.exe: 2”,这表明“g:、chaonv.exe”确实捆绑了其它文件。因为find命令的检测:如果是exe文件,正常情况下返回值应该为“1”;如果是不可执行文件,正常情况下返回值应该为“0”,其它结果就要注意了。
提示:其实很多捆绑木马是利用windows默认的“隐藏已知类型文件扩展名”来迷惑我们,比如本例的“chaonv.jpe.exe”,由于这个文件采用了jpg文件的图标,才导致上当。打开“我的电脑”,单击“工具→文件夹选项”,“单击”“查看”,去除“隐藏已知类型文件扩展名”前的小勾,即可看清“狼”的真面目。
八、总结最后我们再来总结一下手动毒的流程:
用tsklist备份好进程列表→通过fc比较文件找出病毒→用netstat判断进程→用find终止进程→搜索找出病毒并删除→用reg命令修复注册表。这样从发现病毒、删除病毒、修复注册表,这完成整个手动查毒、杀毒过程。

上网最恐怖的事莫过于新病毒出来的时候,尽管电脑上我们都装有各种强大的杀毒软件,也配置了定时自动更新病毒库,但病毒总是要先于病毒库的更新的,所以中招的每次都不会是少数,这里列举一些通用的杀毒方法,自己动手用系统自带的工具绞杀病毒
上网最恐怖的事莫过于新病毒出来的时候,尽管电脑上我们都装有各种强大的杀毒软件,也配置了定时自动更新病毒库,但病毒总是要先于病毒库的更新的,所以中招的每次都不会是少数,这里列举一些通用的杀毒方法,自己动手用系统自带的工具绞杀病毒:
一、自己动手前,切记有备无患——用tasklist备份系统进程
新型病毒都学会了用进程来隐藏自己,所以我们最好在系统正常的时候,备份一下电脑的进程列表,当然最好在刚进入windows时不要运行任何程序的情况下备份,样以后感觉电脑异常的时候可以通过比较进程列表,找出可能是病毒的进程。
在命令提示符下输入:
tasklist /fo:csv>g:zc.csv
上述命令的作用是将当前进程列表以csv格式输出到“zc.csv”文件中,g:为你要保存到的盘,可以用excel打开该文件.
二、自己动手时,必须火眼金睛——用fc比较进程列表文件 如果感觉电脑异常,或者知道最近有流行病毒,那么就有必要检查一下。
进入命令提示符下,输入下列命令:
tasklist /fo:csv>g:yc.csv
生成一个当前进程的yc.csv文件列表,然后输入:
fc g:zccsv g:yc.csy
回车后就可以看到前后列表文件的不同了,通过比较发现,电脑多了一个名为“winion0n.exe”(这里以这个进程为例)不是“winionon.exe”的异常进程。
三、进行判断时,切记证据确凿——用netstat查看开放端口 对这样的可疑进程,如何判断它是否是病毒呢?根据大部分病毒(特别是木马)会通过端口进行对外连接来传播病毒,可以查看一下端口占有情况。
在命令提示符下输入:
netstat -a-n-o
参数含义如下:
a:显示所有与该主机建立连接的端口信息
n:显示打开端口进程pid代码
o:以数字格式显示地址和端口信息
回车后就可以看到所有开放端口和外部连接进程,这里一个pid为1756(以此为例)的进程最为可疑,它的状态是“established”,通过任务管理器可以知道这个进程就是“winion0n.exe”,通过查看本机运行网络程序,可以判断这是一个非法连接!
连接参数含义如下:
listeninc:表示处于侦听状态,就是说该端口是开放的,等待连接,但还没有被连接,只有tcp协议的服务端口才能处于listeninc状态。
established的意思是建立连接。表示两台机器正在通信。time-wait意思是结束了这次连接。说明端口曾经有过访问,但访问结束了,用于判断是否有外部电脑连接到本机。
四:下手杀毒时,一定要心狠手辣——用ntsd终止进程
虽然知道 “winion0n.exe”是个非法进程,但是很多病毒的进程无法通过任务管理器终止,怎么办?
在命令提示符下输入下列命令:
ntsd ╟c q-p 1756
回车后可以顺利结束病毒进程。
提示:“1756”为进程pid值,如果不知道进程的id,打开任务管理器,单击“查看→选择列→勾上pid(进程标识符)即可。ntsd可以强行终止除sytem,smss.exe,csrss.exe外的所有进程。
五、断定病毒后,定要斩草除根——搜出病毒原文件 对于已经判断是病毒文件的“winion0n.exe”文件,通过搜索“本地所有分区”、“搜索系统文件夹和隐藏的文件和文件夹”,找到该文件的藏身之所,将它删除。不过这样删除的只是病毒主文件,通过查看它的属性,依据它的文件创建日期、大小再次进行搜索,找出它的同伙并删除。如果你不确定还有那些文件是它的亲戚,通过网络搜索查找病毒信息获得帮助。
六、清除病毒后一定要打扫战场——手动修复注册表虽然把病毒文件删除了,但病毒都会在注册表留下垃圾键值,还需要把这些垃圾清除干净。1、用reg export备份自启动。由于自启动键值很多,发现病毒时手动查找很不方便。这里用reg export+批处理命令来备份。
启动记事本输入下列命令:
reg export hklmsoftwaremicrosoftwindows
currentversi fo:hklmrun.reg
reg export hkcusoftwaremicrosoftwindows
currentversi f:hklcu.reg
reg export hklmsoftwaremicrosoftwindows
currentversi hklml.reg
注:这里只列举几个常见键值的备份,其它键值请参照上述方法制作。
然后将它保存为ziqidong.bat在命令提示符下运行它,即可将所有自启动键值备份到相应的reg文件中,接着再输入:
copy f:*.reg ziqidong.txt
命令的作用是将所有备份的reg文件输出到“ziqidong.txt”中,这样如果发现病毒新增自启动项,同上次导出自启动值,利用上面介绍的fc命令比较前后两个txt文件,即可快速找出新增自启动项目。
2、用reg delete删除新增自启动键值。比如:通过上面的方法在[hker_current_usersoftwaremicrosoft
windowscurrentversionrun],找到一个“logon”自启动项,启动程序为“c:windowswinlogon.exe”,现在输入下列命令即可删除病毒自启动键值:
reg delete hklmsoftwaremicrossoftwindows
currentversi /f
3、用reg import恢复注册表。reg de-lete删除是的是整个run键值,现在用备份好的reg文件恢复即可,输入下列命令即可迅速还原注册表:
reg import f:hklmrun.reg
上面介绍手动杀毒的几个系统命令,其实只要用好这些命令,我们基本可以kill掉大部分的病毒,当然平时就一定要做好备份工作。
提示:上述操作也可以在注册表编辑器里手动操作,但是reg命令有个好处,那就是即使注册表编辑器被病毒设置为禁用,也可以通过上述命令导出/删除/导入操作,而且速度更快!
七、捆绑木马克星——find
上面介绍利用系统命令查杀一般病毒,下面再介绍一个检测捆绑木马的“find”命令。相信很很多网虫都遭遇过捆绑木刀,这些“批着羊皮的狼”常常躲在图片、flash、甚至音乐文件后面。当我们打开这些文件的时候,虽然在当前窗口显示的确实是一幅图片(或是播放的flash),但可恶的木马却已经在后台悄悄地运行了。比如近日我就收到一张好友从qq传来的超女壁纸,但是当我打开图片时却发现:图片已经用“图片和传真查看器”打开了,硬盘的指示灯却一直在狂闪。显然在我打开图片的同时,有不明的程序在后台运行。现在用find命令检测图片是否捆绑木马,在命令提示符输入:
find /c /i〝this program〞g:chaonv.jpe.exe
其中:
g:chaonv.jpe.exe表示需要检测的文件
find命令返回的提示是“___g:chaonv.exe: 2”,这表明“g:、chaonv.exe”确实捆绑了其它文件。因为find命令的检测:如果是exe文件,正常情况下返回值应该为“1”;如果是不可执行文件,正常情况下返回值应该为“0”,其它结果就要注意了。
提示:其实很多捆绑木马是利用windows默认的“隐藏已知类型文件扩展名”来迷惑我们,比如本例的“chaonv.jpe.exe”,由于这个文件采用了jpg文件的图标,才导致上当。打开“我的电脑”,单击“工具→文件夹选项”,“单击”“查看”,去除“隐藏已知类型文件扩展名”前的小勾,即可看清“狼”的真面目。
八、总结最后我们再来总结一下手动毒的流程:
用tsklist备份好进程列表→通过fc比较文件找出病毒→用netstat判断进程→用find终止进程→搜索找出病毒并删除→用reg命令修复注册表。这样从发现病毒、删除病毒、修复注册表,这完成整个手动查毒、杀毒过程。
出自 51CTO.COM博客
 楼主| 发表于 2007-5-2 20:39:36 | 显示全部楼层
清除severe.exe病毒 2007-02-26 23:41:53
 标签:病毒 severe.exe病毒 360安全卫士 regedit.exe 



一、severe.exe病毒现象: starger 51cto技术博客
(1)无法显示所有文件和文件夹.
(2)无法打开regedit.exe等众多安全相关程序,提示“windows找不到文件'c:\windows\regedit.exe'.....”
starger 51cto技术博客
二、如何清除severe.exe病毒? starger 51cto技术博客
(说明:DOS下运行的也可在安全模式《电脑启动时按F8进入安全模式》下直 接进入文件夹删除) starger 51cto技术博客
(1)dos下将\system32和\system32\driver两个文件夹中的相关文件severe.exe去掉隐starger 51cto技术博客
藏,attrib -s -h
(2)dos下将各盘符根目录下的OSO.exe,autorun.inf文件去掉隐藏
(3)dos下删除\system32文件夹下的severe.exe,各盘符根目录下的OSO.exe,autorun.infstarger 51cto技术博客
文件
(4)修改regedit.exe为regedit.scr(打开我的电脑,进入windows文件夹,将工具-文件夹starger 51cto技术博客
选项的扩展名项勾去掉,有一个regedit.exe将exe改为SCR即可。)
(5)运行regedit.scr
(6)删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\severe.exe] Debugger.......tcmebr.exe
举例:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\starger 51cto技术博客
Image File Execution Options\regedit.exe]
"Debugger"="C:\\WINDOWS\\system32\\drivers\\tcmebr.exe"
(7)在注册表中查找以上几个程序的注册表项,删除
(8)修改注册表下HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\starger 51cto技术博客
Advanced\Folder\Hidden\SHOWALL下的checkedvalue值为1(注意是双字节值dword),恢starger 51cto技术博客
复显示所有文件和文件夹功能.starger 51cto技术博客
starger 51cto技术博客
另,未杀毒之前可配合360safe,kaka之类软件进行查找修复,将kaka.exe,360.exe主程starger 51cto技术博客
序改为kaka.com,360.com即可(改成别的名称没有试)。
考虑到该病毒今后可能出现变种,修改regedit.exe为regedit.scr可能失效,故建议配备starger 51cto技术博客
dos下能修改注册表的工具。以深山红叶的win xp(pe)光盘为例,运行其中的ERD 2003starger 51cto技术博客
可在内存环境中直接修改注册表。starger 51cto技术博客
starger 51cto技术博客
我认为清除此病毒关键之处在于恢复regedit.exe的使用 starger 51cto技术博客
可用以下方法: starger 51cto技术博客
(1)将regedit.exe改名,任意,直接运行 starger 51cto技术博客
软件: starger 51cto技术博客
360安全卫士下载 starger 51cto技术博客
下载地址:[url=http://www.cisko.cn/Soft/ShowSoft.asp?SoftID=8]http://www.cisko.cn/Soft/ShowSoft.asp?SoftID=8[/url]











 楼主| 发表于 2007-5-2 20:49:00 | 显示全部楼层
查杀rundll2000.exe

--------------------------------------------------------------------------------

2007-03-14 08:19:07 标签:病毒 rundll2000.exe 


今天发现进程里多了一个rundll2000.exe,以前是没有过的,就算有也不是这个,正常的是rundll32.exe。但是今天的却是一个rundll2000.exe,不用说,明显就是一个病毒,下一步就是杀毒程序了。
关于rundll2000.exe,也不知道是一个什么的病毒。在电脑里也没发现其他怪象,也没有不正常,就是心里看着有点不舒服,下面给出一套杀毒方法。
第一步,用杀毒软件全盘扫描后,没有发现病毒的影子,然而进程里确实有这个怪进程。下一步只好手动了。
第二步、用强制删除工具(下载地址:http://www.cisko.cn/Soft/cq/200702/37.html)删除以下文件:C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk
C:\WINDOWS\winlog0a.exe
C:\WINDOWS\rundll2000.exe
如果没有找到以上文件,则可跳过吧。
第三步、重启电脑,进入安全模式(电脑启动时按F8键),在安全模式下检测,看电脑中是否还有第二步中谈到的几个文件。如有,继续删除。没有。则进入第四步。
第四步、进入注册表(开始-运行 输入regedit),在注册表里查找以下值项:
systemkb、newinfo、rundll2000。三个,将查找到的值项全部删除。
第五步、OK。重启电脑。故障解决了。
 楼主| 发表于 2007-5-2 20:51:39 | 显示全部楼层
odbcasvc.exe导致CPU使用100%问题的解决




1. 杀毒前关闭系统还原(Win2000系统可以忽略):

右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。  
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。

关闭QQ等应用程序。进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。

2.用强制删除工具

PowerRMV 下载地址:  http://post.baidu.com/f?kz=158203765
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【有找不到提示的请忽略错误继续】

Code:
C:\WINNT\system32\msqgsqajy.exe
C:\WINNT\SYSTEM32\odbcasvc.EXE
D:\Autorun.inf
D:\recycled\info.exe
E:\Autorun.inf
E:\recycled\info.exe
F:\Autorun.inf
F:\recycled\info.exe
G:\Autorun.inf
G:\recycled\info.exestarger


重启计算机 然后再进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
3. 用工具 SREng 删除如下各项
下载及其使用方法看下面的链接【有图解】,看懂再下手操作!
SREng常用操作说明(2.0 RC2)http://www.pxue.com/Html/893.html
【如下操作有风险,必须看懂上面的方法再操作。】
【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。】
==================================
启动项目 -->注册表 的如下项删除

Code:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <msqgsqajy><C:\WINNT\system32\msqgsqajy.exe>  [N/A]starger 51cto技术博客


==================================
启动项目 -->服务-->Win32服务应用程序  的如下项删除

Code:starger 51cto技术博客
[ODBC Administration Service / odbcasvc][Running/Auto Start]
  <C:\WINNT\SYSTEM32\odbcasvc.EXE><Microsoft Corporation>
 楼主| 发表于 2007-5-2 20:54:46 | 显示全部楼层
彻底清除 mplay.com与mplay.exe病毒

--------------------------------------------------------------------------------

2007-03-05 19:10:22 标签:病毒 


中毒后的症状:
  在D盘下会发现一个隐藏的mplay.pif 且双击D盘不能打开

查杀流程:
1:结束进程AlxRes061209.exe
2:删除以下文件

病毒会释放以下文件
c:\             释放myDelm.bat
C:\WINDOWS\         释放winsys.ini
C:\WINDOWS\system32\   释放
AlxRes061209.exe
scrsys061209.scr
scrsys16_061209.dll
scrsys16_061209.scr
winsys12_061209.scr
winsys12_061209.dll

当mplay.pif再次运行还会在 C:\WINDOWS\system32 释放
winsys32_061209.dll
scrsys16_061209.scr
scrsys16_061209.dll

3:修改注册表HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit 为userinit.exe,
在注册表中搜索mplay.pif,将搜索到的结果删除。

4.清空HKLM\SOFTWARE\Microsoft\Command Processor\AutoRun
mplay.com感染后,执行任何DOS命令均先执行mplay.com。
如果删除了mplay.com,会导致找不到mplay.com,任何DOS外部命令均无法执行。
mplay.com is not recognized as an internal or external command
这一步要修改的就是注册表,删除SOFTWARE\Microsoft\Command Processor\AutoRun即可。

切记!没有完全删除前不要双击D盘,不然会再次生成病毒文件.

清除 mplay.com病毒同上,只不过要改一下名字。
starger 51cto技术博客
 楼主| 发表于 2007-5-2 20:54:50 | 显示全部楼层
查杀rundll2000.exe

--------------------------------------------------------------------------------



今天发现进程里多了一个rundll2000.exe,以前是没有过的,就算有也不是这个,正常的是rundll32.exe。但是今天的却是一个rundll2000.exe,不用说,明显就是一个病毒,下一步就是杀毒程序了。starger 51cto技术博客
关于rundll2000.exe,也不知道是一个什么的病毒。在电脑里也没发现其他怪象,也没有不正常,就是心里看着有点不舒服,下面给出一套杀毒方法。
第一步,用杀毒软件全盘扫描后,没有发现病毒的影子,然而进程里确实有这个怪进程。下一步只好手动了。
第二步、用强制删除工具(下载地址:http://www.cisko.cn/Soft/cq/200702/37.html)删除以下文件:
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
C:\Program Files\Common Files\Microsoft Shared\MSINFO\NewInfo.rxk
C:\WINDOWS\winlog0a.exe
C:\WINDOWS\rundll2000.exe
如果没有找到以上文件,则可跳过吧。
第三步、重启电脑,进入安全模式(电脑启动时按F8键),在安全模式下检测,看电脑中是否还有第二步中谈到的几个文件。如有,继续删除。没有。则进入第四步。
第四步、进入注册表(开始-运行 输入regedit),在注册表里查找以下值项:systemkb、newinfo、rundll2000。三个,将查找到的值项全部删除。starger 51cto技术博客
第五步、OK。重启电脑。故障解决了。
 楼主| 发表于 2007-5-2 20:56:28 | 显示全部楼层
sxs.exe病毒及清理办法

--------------------------------------------------------------------------------

2006-10-30 22:05:47 标签:病毒 


许多朋友都是通过移动盘拷贝东西时被感染的,特别是U盘,特别是在网吧,当你拷完东西是,利用DOS进入你的移动盘dir/a显示所有文件,如果发现中招,有sxs.exe和autorun.inf那么在非根目录下建立一个记事本,命名为sxs.exe建立一个autorun.inf内容可以为空,也可以添加[autorun]shutdown=sxs.exe将移动盘的sxs.exe和autorun.inf替换。回家就不会被感染了
我中的很奇怪,好不容易用卡巴斯基查出来D和E根目录下有这个东西,而且四五还有其他的木马,连隐藏文件夹也打不开,SVCHOST怎么也删不掉(一动就重启),也没有netcount这样的东西~郁闷……
浏览网页的时候未经许可就后台安装了(我还设一高的安全级别),超级播霸和忆多多以及还有三四种bar什么搜索什么工具的,自动弹出乱七八糟的网页,系统性能迅速下降,慢得连我的电脑都打不开,导致诺顿无法在线升级,注册表里写了无数yok.com和其他信息,卸载以后仍然不时的自动弹出网页,这简直就是流氓软件,所谓的忆多多叫什么亿龙还是忆龙公司的,居然还在软件上留了电话,010-64311335,打电话过去询问他们还腆着脸说是自己不是病毒,在九仙桥星科大厦C座,据说C座整个都是他们公司,我就觉得纳闷,你一“大”公司,怎么能做出这么恶心的事,捆绑一个流氓软件也就罢了,还后台安装~~悄没声儿的就驻扎进了别人的系统,还捆绑了N个一样流氓的软件,并且在系统的每个盘的根目录下产生两个隐藏文件,一个是什么ini文件,另一个叫“sxs.exe”的文件,双击后没有任何反应。程序管理器里面会有几个可疑进程,其中有两个是模仿系统进程的,叫什么SVOHOST.EXE跟系统进程svchost.exe很像吧,另一个模仿系统进程的文件忘了叫啥了,还有一sysmini.exe,就在我写这贴子的过程中又弹出无数次网页打断我的控诉,那些进程手动结束后过一会儿又会自己运行。

sxs.exe是什么病毒
你这是修改过的ROSE病毒
可以结束SXS的进程删除,记住,用鼠标右键进入硬盘 achuan 51cto技术博客
同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器
选择里面的“进程”标签
在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”
一定要结束所有的“sxs.exe”进程
打开我的电脑 单击 工具菜单下的“文件夹选项”
单击“查看”标签 把“高级设置”中的
“隐藏受保护的操作系统文件(推荐)”前面的勾取消
并选择下面的“显示所有文件和文件夹”选项
单击“确定”
用鼠标右键点C盘(不能双击!) 选择 “打开”
删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件
用鼠标右键点D盘 选择 “打开”
删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件(另外有个文件也是,是个.exe 同样删了它)
……
以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件
单击开始 选择“运行” 输入 "regedit"(没有引号) ,回车
依次展开注册表编辑器左边的 我的电脑>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
删除Run项中的 ROSE (c:\windows\system32\SXS.exe)这个项目
关闭注册表编辑器
然后重新启动计算机 achuan 51cto技术博客
删除硬盘上是ROSE:
按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”
打开我的电脑
这时在U盘的图标上点鼠标右键 选择“打开” (不要点自动播放或者是双击!)
删除 SXS.exe和autorun.inf文件 病毒就没有了
有史以来第一次遭遇如此顽固的病毒,网上找了找,没有统一的名字,瑞星称为 Trojan.PSW.QQPass.pqb 病毒,我就叫它 sxs.exe病毒吧 achuan 51cto技术博客
重装系统后,双击分区盘又中了,郁闷,瑞星自动关闭无法打开,决定手动将其删除 achuan 51cto技术博客
现象:系统文件隐藏无法显示,双击盘符无反映,任务管理器发现 sxs.exe 或者 svohost.exe (与系统进程 svchost.exe 一字之差),杀毒软件实时监控自动关闭并无法打开 achuan 51cto技术博客
找了网上许多方法,无法有效删除,并且没有专杀工具 achuan 51cto技术博客
http://cctv1cn.comachuan 51cto技术博客
手动删除“sxs.exe病毒”方法: achuan 51cto技术博客
在以下整个过程中不得双击分区盘,需要打开时用鼠标右键——打开 achuan 51cto技术博客
一、关闭病毒进程 achuan 51cto技术博客
Ctrl + Alt + Del 任务管理器,在进程中查找 sxs 或 SVOHOST(不是SVCHOST,相差一个字母),有的话就将它结束掉 achuan 51cto技术博客
二、显示出被隐藏的系统文件 achuan 51cto技术博客
运行——regedit achuan 51cto技术博客
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1 achuan 51cto技术博客
这里要注意,病毒会把本来有效的DWORD值CheckedValue删除掉,新建了一个无效的字符串值CheckedValue,并且把键值改为0!我们将这个改为1是毫无作用的。(有部分病毒变种会直接把这个CheckedValue给删掉,只需和下面一样,自己再重新建一个就可以了) achuan 51cto技术博客
方法:删除此CheckedValue键值,单击右键 新建——Dword值——命名为CheckedValue,然后修改它的键值为1,这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 achuan 51cto技术博客
在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示 achuan 51cto技术博客
三、删除病毒 achuan 51cto技术博客
在分区盘上单击鼠标右键——打开,看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件,将其删除。 achuan 51cto技术博客
四、删除病毒的自动运行项 achuan 51cto技术博客
打开注册表 运行——regedit achuan 51cto技术博客
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run achuan 51cto技术博客
下找到 SoundMam 键值,可能有两个,删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe 的 achuan 51cto技术博客
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe achuan 51cto技术博客
重启电脑后,发现杀毒软件可以打开,分区盘双击可以打开了。 achuan 51cto技术博客
五、后续 achuan 51cto技术博客
杀毒软件实时监控可以打开,但开机无法自动运行 achuan 51cto技术博客
最简单的办法,执行杀毒软件的添加删除组件——修复,即可
achuan 51cto技术博客
出自 51CTO.COM博客
 楼主| 发表于 2007-5-2 20:57:22 | 显示全部楼层
彻底清除lsass.exe病毒及runatuo..文件夹  

--------------------------------------------------------------------------------

2007-04-13 00:26:32 标签:病毒 安全 lsass runatuo.. 


终于把可恶的病毒干掉了,把杀毒过程记录如下,帮助中招的朋友们。wuxing 51cto技术博客
wuxing 51cto技术博客
病毒症状:wuxing 51cto技术博客
1-各个盘根目录下出现runauto.. 文件夹,无法删除wuxing 51cto技术博客
2-调用mmc的窗口管理器打开后自动关闭wuxing 51cto技术博客

解决方案:(部分内容来自网络,不保留版权)wuxing 51cto技术博客
1. 杀毒前关闭系统还原(Win2003系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除wuxing 51cto技术博客
。 wuxing 51cto技术博客
关闭QQ等应用程序。进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。 wuxing 51cto技术博客
2.用强制删除工具 PowerRMV
下载地址: http://post.baidu.com/f?kz=158203765
分别填入下面的文件(包括完整的路径) ,勾选“抑止杀灭对象再次生成”,点杀灭 【有找不到提示的请忽略错误继续】
C:\WINDOWS\lsass.exe wuxing 51cto技术博客
重启计算机 然后 按F8 选择进入安全模式执行如下的操作
--------------------------------------------------------------
以下的操作都要求安全模式下进行。
[安全模式?重启电脑时按住F8 选择进入安全模式]
--------------------------------------------------------------
3. 用工具 SREng 进行如下的操作:
下载及其使用方法看下面的链接【有图解】,看懂再下手操作!
http://hi.baidu.com/teyqiu/blog/ ... 2346ec54e72351.html
【如下操作有风险,必须看懂上面的方法再操作。】
【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。】
==================================
启动项目 -->服务-->Win32服务应用程序 的如下项删除
(运行SRENG--->启动项目--->服务--->win32服务应用程序--->选择要删除的服务--->选择删除服务--->点击设置--->出现提示里选择No(否)wuxing 51cto技术博客
,确认删除。)
[Kerberos Key Distribution Centers / kkdc][Stopped/Auto Start]
<C:\WINDOWS\lsass.exe -netsvcs><N/A> wuxing 51cto技术博客
4.删不了的runauto.. 文件夹,我都用名为unlocker的强杀工具杀了,不过是个安装版本.(另外可用普通方法删除autorun.inf,wuxing 51cto技术博客
autorun.inf.tem文件)wuxing 51cto技术博客
注意修改帐号密码等。
 楼主| 发表于 2007-5-3 04:34:52 | 显示全部楼层
关于kernel32.sys病毒的问题

--------------------------------------------------------------------------------

2007-01-31 22:53:43 标签:病毒 


今天给一个朋友查看电脑,突然发现kernel32.sys这个启动项,觉得可疑,居然还删不掉,于是搜索了下,把相关的资料整理如下:

xiong2127 51cto技术博客
  

xiong2127 51cto技术博客
     

xiong2127 51cto技术博客
1. 症状
  (1) 如果系统中安装有WinRAR(一种很好的压缩解压工具,很多电脑上有安转),在任务管理器中会出现一个以SYSTEM方式运行的rar.exe,偶尔占用CPU达到100%. 经过确认,rar.exe本身是WinRar附带的一个命令行工具,并不是病毒,只是被病毒利用了而已。
  (2) 无法显示隐藏的系统文件:在文件夹选项中将“显示受保护的操作系统文件”前面的勾去掉后,再次打开文件夹选项,发现刚才的操作无用。
  (3) 感染U盘,在U盘下创建如下文件(设U盘的盘符为U:):
   U:\autorun.inf
   U:\RECYCLER\RECYCLER\desktop.ini
   U:\RECYCLER\RECYCLER\autorun.exe
  注意,以上文件的属性均为系统、隐藏,在感染了该病毒的机器上是没有办法通过资源管理器看见的

xiong2127 51cto技术博客
         (4) 该病毒会在系统中创建如下文件:
   c:\windows\system32\kernel32.sys
   c:\windows\system32\mfc48.dll
   c:\windows\java\classes\java.dll
   %temp%\dfssetup.tmp,其中%temp%为当前用户的临时文件夹,例如C:\Documents and Settings\User\Local Settings\Temp
  (5) 该病毒还会修改注册表:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"UncheckedValue"=dword:00000001
将其值修改为dword:00000000
  修改该值实现在资源管理器中无法显示“隐藏的系统文件”的功能。

xiong2127 51cto技术博客
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
将其值修改为kernel32.sys
  修改该值实现自动加载kernel32.sys的功能。注意,该加载项在msconfig中是看不见的!

xiong2127 51cto技术博客
  

xiong2127 51cto技术博客
  

xiong2127 51cto技术博客
2 .   清除办法:

xiong2127 51cto技术博客
  

xiong2127 51cto技术博客
清除方案1:
MS-DOS引导,删除 系统盘:\系统目录\system32\mfc48.dll,系统盘:\系统目录\system32\kernel32.sys,系统盘:\系统目录\java\java.dll,重启。
将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls键值清空。

清除方案2:
用IceSword逐一卸掉各个进程中的上述模块(先把无关进程结束以减轻工作量,不要使用强制卸除)
然后删除对应文件。如果删不掉就用强制删除。重启。
将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls键值清空。

SSM暴力杀灭法(未经多次试验):
在SSM的规则中将svchost.exe的规则删掉。
将HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls键值清空
这时SSM提示svchost.exe要修改注册表,永久拒绝。
保存所有未完成的工作,按下机箱上的Reset键重启。
删除kernel32.sys,java.dll,mfc48.dll
删除svchost.exe的规则。
 楼主| 发表于 2007-5-3 04:36:16 | 显示全部楼层
wsp_fix.dll病毒导致不能上网  

--------------------------------------------------------------------------------



版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 、作者信息和本声明。否则将追究法律责任。http://tianhong.51cto.com/blog/115458/17037
电脑中了病毒,上不了网,用杀毒软件杀好了几次,能发现但重启后又有病毒了,杀也杀不掉
--------------------------------------------------------------------------------
这病毒删除了是会再反复出现的,因为它不仅在注册表中生成,而且C盘下生成文件.
解决: 第一步:是在DOS下删除 system32目录中 wsp*.*
第二步:删除HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock和  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2
第三步:用软件自动修复winsock spi,注意检查完整性,如果检查问题,让他自动修复
第四步:安装 TCP/IP   
1. 右键单击网络连接,然后单击“属性”。
  2. 单击“安装”。
3. 单击“协议”,然后单击“添加”。
4. 单击“从磁盘安装”。
5. 键入 C:\Windows\inf,会出现很多协议让你选择  
6.选择netip6下面
7.在可用协议列表中,单击“Internet 协议 (TCP/IP)”,然后单击“确定”。
8. 重新启动计算机。chan_henry 51cto技术博客

chan_henry 51cto技术博客

我自己的解决方法是:在安全模式下把别的机器上的WSP_FIX.DLL文件覆盖到中毒的机器上。...可以保证上网!但杀毒软件还有提示...chan_henry 51cto技术博客

出自 51CTO.COM博客
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|boway Inc. ( 冀ICP备10011147号 )

GMT+8, 2024-11-23 16:43 , Processed in 0.104428 second(s), 16 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表