特洛伊 特洛伊发现 这次比较特殊!

fehling

最近染上了病毒 一开机 active virus shield就发现有病毒、然后提示neuralize、neutralize之后好像电脑也没事的样子
。但是这次特殊之处是这个病毒只要一开机或者log off之后再开机还会出来。
我又用AVG anti-spyware杀了之后还是杀不彻底 只要一开机就重新出来。
拜托了 我的招儿已经用完了

特洛伊 特洛伊发现 这次比较特殊!

[此贴子已经被作者于2007-4-12 21:20:09编辑过]

小剛

把系统还原关掉
进入安全模式里再杀一下试试

fehling

QUOTE:以下是引用小剛在2007-4-12 21:14:00的发言：把系统还原关掉
进入安全模式里再杀一下试试
我截了一个图 你也顺便看看。
非常感谢!!

fehling

QUOTE:以下是引用小剛在2007-4-12 21:14:00的发言：把系统还原关掉
进入安全模式里再杀一下试试
进入安全模式又杀了一边、没有发现。
重新正常开机后再查发现还有、再请高人了

fehling

QUOTE:以下是引用Nicole-Lei在2007-4-13 8:22:00的发言：给你查了一下，找了你看看，以后有问题自己先可以试试搜索解决的办法
(f)cmdbc(s).dll(exe)winform.dll(exe)msccrt.dll(exe)mppds.dll(exe)upxdnd.dll(exe)nortones.dll(exe)nortonp.dll(exe)
    最近可能有不少人领教了这几个木马文件的厉害了吧，特别是装了卡巴的电脑，不停地出现杀猪声报警，其他杀毒软件很可能无声无息。还是卡巴实在啊，看不见的东西它也是存在的啊，但卡巴能“看见”，而其他的根本“看不见”。遗憾的是，面对这些无耻到极点的木马文件卡巴也望洋兴叹、无能为力啊：提示有病毒但杀不了，不断地提示你重启后杀。看着电脑不断的重新启动，你很可能气急败坏地想把它给砸了。没办法，用最狠的一招吧，重装系统。经过漫长的等待终于看到那片熟悉的绿色windows草地了，再熟练地装上卡巴，更新病毒库，重新启动，什么，又在杀猪—晕了吧。     我今天真是被这些家伙给整晕了。同事家电脑进不了系统了，让我去看看，启动之后能看到桌面但没有任何图标，这简单啊，任务管理里新建任务运行一下explorer不就行了吗，常见错误，我熟练地敲进了这条命令，等着桌面出来呢，半晌，还是那样，怎么搞的，我又打开任务管理器查看进程，发现多了个可疑进程:nortones.exe，结束之，桌面出来了。原来是这家伙捣鬼，出这么大的事怎么瑞星一点反映都没有，还在那睡大觉。卸之，卡巴上阵，查之，情况便如前面所述了。请卡巴搭档360上场，发现14个恶意软件，简直是“恶罐满营”啊。杀之，重新启动，还有四个，再杀，再启，一个没少。重装系统，结果如故。上网，输入"nortones.dll"查询，结果出乎意料，只查到两条消息，还都是求助帖子。不错，我是第三个吃螃蟹的。没辄了，自己动手吧。     经过几番努力，终于找到了破解法门，现只将方法及原理简述如下：1.所用工具:360安全卫士、卡巴斯基、sre(系统扫描)、windows清理助手、落雪专杀(清楚自启动恶意文件关联)、powerrm (活动文件粉碎)v2.0(所有工具均可在网上找到,因当时匆忙未记下载地址,在此不再提供.http://peaset.5upan.com/这里提供的有几个.各软件的使用方法都很简单,一看就明白,这里不再提供教程截图)2.进入安全模式,所有操作均在此模式下进行.3.首先用"落雪专杀"查杀.inf文件,一般每个磁盘都会有一到两个这样的病毒文件.查杀时,记下文件名,这一点很重要.然后打开注册表编辑器,输入文件名，查找，找到便删除.4.用sre进行扫描,可以看到hosts文件被修改,本机地址127.0.0.1后对应许多陌生网址,全部删除.然后恢复为localhost.5.用360扫描恶意软件,记下其.exe和.dll文件的目录,然后打开powerrm,输入其目录,选择"抑止文件生成并删除",逐一进行此操作。对应的注册表项也相应删之.再用windows清理助手扫描,会发现主文件目录,继续用powerrm删除，包括注册表项.6.重新启动进入正常模式,启动卡巴查杀，顺利杀死余毒.    注意:1.其中有些木马文件会利用卡巴的自身保护功能这个"漏洞"而用和卡巴的文件名相同的文件夹做为木马文件名,此时卡巴查到病毒时会自动退出.如果完全按照上述六个步骤的话,不会出现这个问题.    2.木马变种有很多,这里的几个恶意软件只是其中变身的一部分,当然还有很多其他形式的.不过一台电脑里中这么多也够难得了.
     这些恶意文件的"头目"是一款叫做"trojan-psw.win32.onlinegames.nb(s)"的木马程序,从名字看也知道它的主要企图就是盗取网络游戏的账号和密码.无耻的软件多的是，可无耻到这种地步的真是头一次见。它利用自启动文件启动木马本身所需要的.dll文件,并加载注册表启动项(包括current user 和local machine),而且还修改hosts文件联络网络文件,真是处心积虑啊。
     不过最终还是搞定了,云开雾散啊。估计比这更无耻的木马不会有多少了，这也算是对付这类病毒的绝杀之法吧.当然这只是我的个人理解,希望能向大家学习,交流、提高。错误之处，敬请指正。
看来我是遇到这个头目了啊 怪不得这么难杀。
不过你的这个步骤和所用软件也真多啊 哈哈
估计我自己搞不定。还有什么一招止敌的方法没?
顺便问一下 在此期间我曾经用信用卡在网上购物一次、是不是狠危险?

狮子座流星雨

这木马也太狠了吧

fehling

QUOTE:以下是引用狮子座流星雨在2007-4-16 0:22:00的发言：这木马也太狠了吧是啊 哪位高人能提供点线索?

shashou

两个月前我也发生过同样事，已经解决了。愿意的话可以帮你  联系电话090－9811－3823

fehling

QUOTE:以下是引用shashou在2007-4-16 11:17:00的发言：两个月前我也发生过同样事，已经解决了。愿意的话可以帮你  联系电话090－9811－3823
好人啊 你啥时候有时间?
我打电话给你