人在德国社区 - Powered by Discuz! Board

标题: [其他] 紧急求助，电脑高手请进！ [打印本页]

作者: lilyn01 时间: 2007-6-22 14:16 标题: 紧急求助，电脑高手请进！

中了木马，不搭理它也自己下载东西。

诺顿和卡巴都无法清除，好像启动就带入。
哪位大侠推荐个什么软件能杀的？总不会必须重新装系统吧？当时买的时候装好系统后分区的，不知重装系统是不是连分区也没了，我往哪里储存那么多数据啊。

另外，如果真的要重装系统，怎么能只格C盘不影响其它呢？拜托告诉下步骤，好久之前自己鼓捣过，都忘了的说~~~

作者: ||| 时间: 2007-6-22 14:29

杀毒不会。。。

只知道重装系统只要不选重新分区，就只格C盘的

作者: sagood 时间: 2007-6-22 14:32 标题: 回复 #1 lilyn01 的帖子

安全模式下面杀，找专杀工具

作者: ||| 时间: 2007-6-22 14:33

什么是专杀工具

作者: lilyn01 时间: 2007-6-22 14:39

安全模式？我记得界面很怪异的样子。
找过一个专杀工具，结果被告诉那工具就是一个木马。

作者: sagood 时间: 2007-6-22 14:59

呵呵，先说一下病毒的名称

作者: zhouhenry 时间: 2007-6-22 15:02

现在很多都是NORTON 什么专业杀毒无法杀的，记住告诉你的病毒名称，然后自己GOOGLE一下，就能有很多专杀，一边下一边杀，肯定能杀了。
如果自己电脑太慢，找朋友的电脑都下了，然后杀。
我几次感染都是这样搞的

作者: lilyn01 时间: 2007-6-22 15:32

Trojan-Downloader.win32.Agent.bbb
Trojan.win32.Agent.abe

作者: m2p 时间: 2007-6-22 15:48

杀干净很难，因为你很难一下子找到所有被感染文件。根据计算中心的要求，你应该格式化重装。

作者: sagood 时间: 2007-6-22 15:48

Trojan-Downloader.Win32.Agent.bbb是继“熊猫烧香”后又一破坏性极强的病毒，此木马病毒会注入explorer.exe进程，并且写进注册表。病毒根据电脑随机生成6位字母+2位数字的dll文件，dll文件位于system32文件夹下，另有一个同名的sys文件位于system32\drivers文件夹下（本人电脑中毒后文件名为bmdjh.sys）。虽然用卡巴可以查出此病毒，并提示“计算机重启后再删除”，但重启后再次查杀，病毒仍然存在，进入安全模式查杀也是如此，且无法手动删除。通过借鉴网上一些查杀方法，已完全清除Trojan-Downloader.Win32.Agent.bbb木马病毒。现简要介绍对此病毒的处理办法：
（1）采用360安全卫士对电脑进行查杀及修复，以便清除此木马病毒自动下载的流氓插件。然后断开网络，进入到注册表中把关于此木马病毒的核心模块名字的各个项目清除，这样做可避免在清除过程中此木马病毒在后台下载另外的木马。
（2）利用软件unlocker（一款能强行删除正在被系统调用文件的工具），下载安装完后分别解锁system32文件夹下的病毒文件名dll文件和system32\drivers文件夹下的同名sys文件（安装完unlocker软件后会在右键菜单上自动生成一个unlocker的菜单项），然后就可以把病毒文件删除了（不用unlocker解锁是删不掉的，两个都要删除，否则进入桌面会提示找不到文件）。到这一步可以说已经把这个木马完全的控制住了。
（3）用卡巴对电脑做一次完全的扫描清除遗留痕迹，重启之后系统回到了正常的状态。
附：
软件unlocker的下载地址http://www.crsky.com/soft/5890.html

作者: sagood 时间: 2007-6-22 15:49

abeTrojan.Win32.Agent.abe病毒清除/删除方法及解决方案 http://zhidao.baidu.com/question/15302671.html

这个QQ病毒和以往的此类病毒最大的区别就是不是通过发送网址来让人点击进入，而是染毒计算机会自动向QQ好友发送病毒文件，而且病毒文件大小不定，发送的病毒文件名具有一定诱惑性，诸如：

今年过年不收礼，收礼只收白骨精（搞笑版广告）.exe
啊哈，网友发的超级搞笑FLASH，你看得懂吗.exe
接啊，快接啊，推荐给你看看.exe
一个对你目前工作很有帮助的东东.exe
网上电视（20个CCTV频道+36个省台+50个英文台，极力推荐）.exe
等等。

病毒文件图标是WINRAR的压缩包的图样。

病毒运行后首先建立HKLM\Software\Classes\MSipv项，然后病毒创建自身副本到系统目录下：
%System%\ .exe
%System%\notepad .exe
%Windows%\System\RUNDLL32.EXE（如果是Windows 2000/XP）
%Windows%\System32\RUNDLL32.EXE（如果是Windows 9x）

并修改EXE和TXT的文件关联：
HKLM\Software\Classes\exefile\shell\open\command
EXE文件关联被修改为“ %1 %*”
HKLM\Software\Classes\txtfile\shell\open\command
TXT文件关联被修改为“notepad %1”

注：其中“ ”不是单纯的一个空格，而是一个字符,是双字节ASCII码为“41643”。病毒感染系统后会显示一个提示框：“安装时检测到系统中某程序与本软件发生冲突，请先纠正该冲突，或选择另一台电脑上安装！”
再注：病毒文件大小不固定，从文件内容来看好像是通过一些重复的信息来改变文件大小。

此外，病毒还会检查被感染系统是否安装QQ，如果安装有QQ，病毒则通过注册表找到QQ.EXE所在路径，把正常的TIMPlatform.exe改名为TIMP1atform.exe，将病毒自身复制为TIMPlatform.exe。

最后在注册表建立病毒标记：
HKLM\Software\Classes\MSipv\MainSetup
HKLM\Software\Classes\MSipv\MainUp
HKLM\Software\Classes\MSipv\MainVer
其中MainSetup和MainUp值相同，但不固定。

病毒的清除
由于病毒关联了EXE文件，我们建议这样处理：
首先打开注册表编辑器或用来恢复文件关联的工具（如RegFix），先不要关闭（否则再次启动应用程序的时候使病毒又重新加载，或者将“.exe”的后缀名改为“.com”也可以。），然后通过任务管理器或KillBox或者是TroyanFindInfo等进程管理工具结束病毒Rundll32.exe的进程，接下来恢复EXE和TXT文件关联，最后再找到病毒文件删除掉：
%System%\ .exe
%System%\notepad .exe
%Windows%\System\RUNDLL32.EXE（如果是Windows 2000/XP）
%Windows%\System32\RUNDLL32.EXE（如果是Windows 9x）
还有一步，到QQ安装目录下，把病毒生成的TIMPlatform.exe删除，然后把TIMP1atform.exe改名为TIMPlatform.exe即可。
注：推荐使用工具来恢复TXT文件关联。
木马可以把自己改为系统启动时必定会调用的某个文件名，并复制到比原文件要浅一级以上的目录里。Windows系统搜寻一个不带路径信息的文件时遵循一种“从外到里”的规则，这就意味着，如果有两个同样名称的文件分别放在C:\和C:\Windows下，Windows会执行C:\下的程序，而不是C:\Windows下的，这就是木马运行起来的方式。但关键是如果你以为删除掉这些木马程序就万事大吉的话，你会发现在删除之后哭都来不及：系统也出了故障，所有应用程序都打不开了。因为在Windows系统里，文件的打开操作是通过注册表内相应键值指定的应用程序来执行的，这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内。而应用程序自身也被视为一个文件，它也属于一种文件类型，同样可以用其他方式开启，只不过Windows设置它的调用程序为“"%1" %*”，但是木马程序则修改了应用程序(EXE文件)的并联方式,它将EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %*”，也就是说，系统是通过调用木马程序将原来的.exe程序打开。所以当你把木马杀死后，没有东西给被改变并联方式的.exe文件传递参数，就没法启动这些程序，自然你的电脑的应用程序就打不开了。
一种最最最方便简捷有效的方法来恢复.exe文件的关联文件：新建一个记事本文件，把下面的复制进去
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
直接保存，然后右键点此文件，选打开方式-〉选择程序-〉浏览到windows文件夹里双击regedit,把信息加到注册表就可以了。

如果你们的确看不懂那我就给你们个补丁连接打上补丁一般没事了
我的一些客户就是我给打的补丁一直没出现什么问题
http://hi.baidu.com/pinkrare/blo ... 5e8c8fa1ec9c7f.html

Trojan.Win32.StartPage最新解决方法已经出台：http://hi.baidu.com/pinkrare/blo ... 4ab3faae51337d.html
希望能给你们帮助。

作者: lilyn01 时间: 2007-6-22 16:10

还是重新装系统吧，太复杂了。虽然俺会先试着杀杀——为了解恨！但恐怕不容易弄净。
请问诸位大侠，怎样格掉C盘后从光盘启动重装系统？是否Dos下format C:
然后呢？从哪里怎么设置成光盘启动？
另外，原来装好系统后分区的只格C装系统行么？会不会光盘自动把所有盘都覆盖掉？

作者: sagood 时间: 2007-6-22 16:20

1 看说明不是很难清除
2 开机一般按del进入cmos，改变机器第一引导顺序为 cd-rom
3 放入光盘，安装xp的话，可以在安装之前选择格式化c盘

作者: lilyn01 时间: 2007-6-22 16:36

就是安XP。那个格式化C盘是在哪里选择？用光盘启动之后还是进cmos之前？

作者: sunbird10 时间: 2007-6-22 16:47

原帖由 lilyn01 于 2007-6-22 17:36 发表
就是安XP。那个格式化C盘是在哪里选择？用光盘启动之后还是进cmos之前？

启动之后。选择从光盘启动后，保存设置，电脑重启，光驱读盘，电脑提示按任意键从光盘启动，然后读盘，稍等片刻，这时会提取乱七八糟的文件，然后出来个协议，按F8同意，再就出来个选项，问你是修复（按R）还是要安装（忘了是什么字母了，看提示吧）还是取消，选安装，又出来个提示，问要在哪个分区下安装，或者要删除一个分区，或者取消，选你想格式化的分区，然后按提示，点相应的字母，最后又出来个选项，是NTFS还是NTFS 快速，还是FAT或FAT 快速，如果你没啥特殊要求就选NTFS快速吧。稍等片刻，电脑提示15秒后自动重启还是立即重启。重启后什么都不用管，自动进入XP安装阶段

作者: 会员18888 时间: 2007-6-22 16:50

光盘启动之后进入XP安装程序.走到某一步会显示你硬盘上分了几个区,问你系统装在哪里. 也有选相可以先消掉C区,在空的地方装XP系统. C跟D别搞混就行. 选错D就被覆盖了.:astonishment: :astonishment:

作者: lilyn01 时间: 2007-6-22 16:56

多谢大家的热心帮忙！感动ing

只是听说我们那个笔记本自带的windowsXP家庭版会由于原本系统是在分区前装的而直接覆盖掉所有分区，一直没敢擅动。
实在不行就只好备份下那另外50G的数据再装系统了——大多都是电影电视的，实在舍不得丢啊。这年头儿，在这里找点娱乐内容不容易啊。

作者: 会员18888 时间: 2007-6-22 17:00

原帖由 lilyn01 于 2007-6-22 17:56 发表
多谢大家的热心帮忙！感动ing
只是听说我们那个笔记本自带的windowsXP家庭版会由于原本系统是在分区前装的而直接覆盖掉所有分区，一直没敢擅动。
实在不行就只好备份下那另外50G的数据再装系统了 ...

我说的是用正版XP安装盘的情况.
笔记本自带的叫恢复光盘, 用它装,分区可能就没了. 恢复到你买来时的情况.聪明的恢复盘只恢复C区. 笨的就全盖住了.

作者: wawa 时间: 2007-6-22 17:53

如果感染的话，还是危险。别的分区上也有可能有复制的病毒文件，以后还是有隐患。最好能硬盘全部格式化。不行的话，还是先杀毒吧。

作者: -现任上帝- 时间: 2007-6-22 19:33

跟你电脑说bye bye吧，没希望了。重新分区再重装一次。以前的照片或其他存档文件可以考出来。所有exe，rar, zip，自解压安装文件，这些全部不能再要了。他们都被感染了，这些被感染的文件根本无法将它们跟病毒分离。杀掉系统和内存里的病毒又有什么用。你只要一运行被感染过的任何文件，马上病毒重现.......超级恶心。

作者: 驴子 时间: 2007-6-22 19:48

原帖由 lilyn01 于 2007-6-22 16:56 发表
多谢大家的热心帮忙！感动ing
只是听说我们那个笔记本自带的windowsXP家庭版会由于原本系统是在分区前装的而直接覆盖掉所有分区，一直没敢擅动。
实在不行就只好备份下那另外50G的数据再装系统了 ...

片子赶紧看掉删掉

真有好片子留个名字以后买碟收藏

欢迎光临人在德国社区 (http://csuchen.de/bbs/)