热点科技

标题: [求助] 奇怪的病毒.杀毒软件不能运行,任务管理器打不开!!!!我真不知道该怎么办了~呼叫高手~ [打印本页]

作者: pengpengji 时间: 2007-1-11 21:16
标题: [求助] 奇怪的病毒.杀毒软件不能运行,任务管理器打不开!!!!我真不知道该怎么办了~呼叫高手~
奇怪的病毒.杀毒软件不能运行,任务管理器打不开!!!!我真不知道该怎么办了~呼叫高手~
杀毒软件不能运行,任务管理器也打不开,我ghost一下系统还是这样,我真不知道该怎么办了!!!!!!
msconfig也运行不了,盘符也打不开,需要右击打开,才可以

我刚才发现C:\windows 目录下多了几个文件 zaq1到zaq10.exe

为了让大家更了解这个我再补充,我也是刚刚发现的
点工具里面的显示隐藏文件没用
自动变为不显示
每一个盘符双击都提示选择打开方式
右击多了一个auto选项

显示隐藏文件方法,只是显示,我到现在还没有找到病毒,谁教手工删毒
打开“记事本”，复制如下内容：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
保存文件名：“显示被隐藏的文件.REG”，（确保在“文件夹选项”中去掉“隐藏已知文件类型的扩展名”），双击运行此文件，再重新到“文件夹选项”中设置显示隐藏文件。

[ 本帖最后由 ~KISS~ 于 2007-1-11 21:28 编辑 ]

[ 本帖最后由 ~KISS~ 于 2007-1-11 21:41 编辑 ]

[ 本帖最后由 ~KISS~ 于 2007-1-11 21:42 编辑 ]

[ 本帖最后由 ~KISS~ 于 2007-1-11 22:20 编辑 ]

作者: szx4050 时间: 2007-1-11 21:17
和我以前一样！

我的方法是把全部数据都格式化了

然后再重装系统。。。

虽然麻烦点了。但是很安全。。
呵呵

作者: anzy 时间: 2007-1-11 21:17
..........这病毒猛,,,,,

作者: csli1980 时间: 2007-1-11 21:19

原帖由 missingu 于 2007-1-11 21:17 发表
和我以前一样！

我的方法是把全部数据都格式化了

然后再重装系统。。。

虽然麻烦点了。但是很安全。。
呵呵

全部数据,我不能呀!

作者: wanglu76 时间: 2007-1-11 21:23
这个没有遇到。

能说下这个是什么病毒吗？

作者: liwentao 时间: 2007-1-11 21:23
前几天我遇到好几个了
卸掉硬盘，安装到有开机自动运行的最新病毒库的机器上杀毒就可以了。

作者: ps1987 时间: 2007-1-11 21:27

原帖由 徐白白 于 2007-1-11 21:23 发表
这个没有遇到。

能说下这个是什么病毒吗？

我不知道这是什么病毒,刚才去网上查查,说是rose.exe
还有几个就是,msconfig也运行不了,盘符也打不开,需要右击打开,才可以

作者: yl1949101 时间: 2007-1-11 21:27
我在2007年元旦见到的
症状雷同，杀毒后开机会有找不到***.dll等对话框弹出，按确定后正常，那是病毒留下的垃圾，不影响使用。

作者: lyswcn 时间: 2007-1-11 21:28
病毒在其它盘,全部格式化

作者: Pandora 时间: 2007-1-11 21:28
我遇到的不是rose.exe
我遇到的不是rose.exe,我的方法应该可以试试看

作者: shiquziwo 时间: 2007-1-11 21:29

原帖由 cyeaaa 于 2007-1-11 21:27 发表
症状雷同，杀毒后开机会有找不到***.dll等对话框弹出，按确定后正常，那是病毒留下的垃圾，不影响使用。

你是怎么把毒给杀掉的,我这里连软件都运行不了

作者: oncewar998 时间: 2007-1-11 21:30

原帖由 黑色虾米 于 2007-1-11 21:28 发表
病毒在其它盘,全部格式化

全部格式化,然后重装系统,要是那样,我还上来问什么问~

作者: 34523352 时间: 2007-1-11 21:30
我在1个星期内搞定了6个
不用格式化硬盘，那多可惜！！网络杀毒也可以的啦

作者: mark981087 时间: 2007-1-11 21:31
方法1：
把硬盘卸下来，安装到有开机自动运行的最新病毒库的机器上杀毒就可以了。

作者: yang8964 时间: 2007-1-11 21:31

原帖由 cyeaaa 于 2007-1-11 21:30 发表
不用格式化硬盘，那多可惜！！网络杀毒也可以的啦

具体方法能不能说一下

作者: zhjcel 时间: 2007-1-11 21:35
方法2：
如果网络可用，还有另一台开机自动保护的杀毒软件并有新毒库的机器，可以连上网，把坏机器所有盘都共享可修改，在好机器上把那几个盘作成网络镜像盘，用杀毒软件查杀，然后别忘了把共享取消。

作者: wumingjs 时间: 2007-1-11 21:37
方法1来的彻底，干净。
方法2麻烦，有系统盘下正在使用的文件染毒了，会杀不干净。

作者: slxgz 时间: 2007-1-11 21:39
为了让大家更了解这个我再补充,我也是刚刚发现的
点工具里面的显示隐藏文件没用
自动变为不显示
每一个盘符双击都提示选择打开方式
右击多了一个auto选项

作者: sweetolo 时间: 2007-1-11 21:42
安全模式下带网络连接模式进去之后安装杀毒软件升级杀毒试试

作者: BZD666 时间: 2007-1-11 21:43
C盘系统重装，然后装杀毒软件，升到最新毒库，查杀后面的盘。

在操作过程中只要注意一点：杀毒之前不要用双击方式打开后面的D、E等盘，用资源管理器吧，病毒杀掉之后随便了。

作者: djkl12300 时间: 2007-1-11 21:44
KV2007 BOOTSCAN 开机扫描绿色版 (作者：钟铭)
装个这重启杀毒试试看能不能干掉
http://bbs.winzheng.com/viewthre ... mp;highlight=kv2007

作者: xiaojlei 时间: 2007-1-11 21:45

原帖由 openclosed 于 2007-1-11 21:42 发表
安全模式下带网络连接模式进去之后安装杀毒软件升级杀毒试试

安全模式一样打不开杀毒软件

原帖由村民于 2007-1-11 21:43 发表
C盘系统重装，然后装杀毒软件，升到最新毒库，查杀后面的盘。

在操作过程中只要注意一点：杀毒之前不要用双击方式打开后面的D、E等盘，用资源管理器吧，病毒杀掉之后随便了。

我刚才已经用过了,我已经ghost了,但还是打不开软件

作者: wang3717 时间: 2007-1-11 21:48

原帖由 openclosed 于 2007-1-11 21:44 发表
装个这重启杀毒试试看能不能干掉
http://bbs.winzheng.com/viewthre ... mp;highlight=kv2007

这个可能只扫描内存,范围很小!感觉起不了什么作用,这个病毒好像是2007年才出来的

作者: linux5367 时间: 2007-1-11 21:48
方法3：
光盘启动，把每个根目录下的autorun.ini都改了，运行的什么垃圾都去掉，每个对应autorun.ini提及的文件只要不是自己曾经安装过的信任的就都删除，然后ghost系统恢复以前的镜像。

作者: txwang 时间: 2007-1-11 21:48
好像是U盘病毒

作者: angelkaka 时间: 2007-1-11 21:52
这个病毒在06年底见到过，ghost系统后千万不要启动系统，一定要先把其它盘符下的毒处理了再启动，否则它会自动运行先于杀毒软件的更新的，这样你就又把系统搞倒了。

作者: xydz88 时间: 2007-1-11 21:52
那这么多问啊，要么挂到别的电脑杀毒，要么就进DOS杀毒，要么用PE盘进去KILL掉别的盘的病毒，然后格式化C盘，重装系统，别GHOST啊。
最后进入新系统，不打开别的盘，就直接上网下载卡巴斯基，杀毒去。

作者: huoyueri 时间: 2007-1-11 21:53

原帖由 ~KISS~ 于 2007-1-11 21:48 发表

这个可能只扫描内存,范围很小!感觉起不了什么作用,这个病毒好像是2007年才出来的

这个病毒库更新到了昨天，杀毒效果很好得只要把随机启动的病毒给杀了任务管理器还有杀毒软件什么的估计都能用了然后你再在windows下杀毒
用这个东西我曾经干掉过威金，所以印象不错

二、安装与使用：

　　(1) 本程序为绿色版本，下载后直接运行即可安装，安装目录为 C:\JiangMin；

　　(2) 桌面系统启动前会自动进入“BOOTSCAN”扫描界面；如果10 秒钟内无任何操作，则KV会自动扫描内存和系统目录；在扫描过程中可随时按“ESC”键终止扫描；

　　(3) 将安装目录的“@UnInstall.cmd”脚本拷贝到任意文件夹下运行，即可完全卸载 KV2007 BOOTSCAN；

　　(4) 程序运行密码为： ZhongMing

[ 本帖最后由 openclosed 于 2007-1-11 21:56 编辑 ]

作者: andylol 时间: 2007-1-11 21:57
上传个带毒的附件看看是什么毒

作者: xzy918 时间: 2007-1-11 22:12
偶知道是啥病毒哦.垃圾KV07只能查到,但是杀不了.
病毒关闭MSCONFIG,TASKMGR,所有杀毒软件.并在硬盘所有文件夹下生成_DESKTOP.INI,
DESKTOP.INI,DESKTOP_.INI.感染所有.EXE文件.不感染IE和WMP

关于如何清除,偶先卖个关子,并重新开个主题讨论.哈哈~~
这年头弄点分不容易,楼主原谅俺吧

作者: netspy 时间: 2007-1-11 22:16
我也碰到过这种情况，还有就算GHOST完后，运行除C盘任一盘下的exe文件，就会在每个盘下的根目录生成一个图标跟你刚才运行的exe图标完全一样的setup.exe文件，好像EXE文件全部感染。还有就算你把根目录下的AUTO.inf文件删掉，双击还是打不开。
我是这样处理的，希望对楼主有帮助。
GHOST完系统后（别运行除c盘下的任一exe文件），把（除系统盘）其它盘中所有exe文件都删了，然后先把D盘的文件移到其它盘，格式化后（windows下格式化就行），再把文件移回。E，F盘也是这样做。

作者: 0123asd 时间: 2007-1-11 22:19
这样比较麻烦我刚才发现C:\windows 目录下多了几个文件 zaq1到zaq10.exe

作者: cywqh69 时间: 2007-1-11 22:22
收藏的专杀工具（注：自己没有用过，效果未知，软件来自深度论坛）

作者: dujiacheng 时间: 2007-1-11 22:32
用深山红叶进系统，把多余的，可疑的文件删除，然后再注册表厘米把相关键值也删除！然后进安全模式，再次删除！
然后就差不多了！
不过那个显示隐藏文件的键值我不会改，呵呵！不过在网上能搜索到相关办法的

作者: suyuan 时间: 2007-1-11 22:37
我没有深山红叶,你们谁说就快告诉我吧,越来越多的软件不能用了

作者: fogtime 时间: 2007-1-11 22:41
看来还是挺强的病毒啊,,,不过没碰到过,,可惜楼主没深山红叶,,,那还是想想其它办法吧,,,

作者: hsdyh520123 时间: 2007-1-11 22:44
金微
熊猫
你电脑上就是它了........搜索一下BBS.

作者: wslwwhwh 时间: 2007-1-11 22:46

原帖由 ~KISS~ 于 2007-1-11 22:37 发表
我没有深山红叶,你们谁说就快告诉我吧,越来越多的软件不能用了

KV2007 BOOTSCAN 是不是不能用啊

作者: edit223 时间: 2007-1-11 22:47

原帖由 Dark.N.AngeL 于 2007-1-11 22:44 发表
金微
熊猫
你电脑上就是它了........搜索一下BBS.

熊猫我现在恨它了,EXE图标,全是它了

作者: hutian512 时间: 2007-1-11 22:50

原帖由 Dark.N.AngeL 于 2007-1-11 22:44 发表
金微
熊猫
你电脑上就是它了........搜索一下BBS.

帮帮忙吧,你一定会弄的

作者: wj45zj 时间: 2007-1-11 22:53
雨林木风 PE 工具箱 Y1.1
http://soft.ylmf.com/downinfo/882.html
这个不用刻盘的

作者: qfdong 时间: 2007-1-11 22:55
我知道是什么病毒了熊猫三柱香

作者: diwleijiechu 时间: 2007-1-11 22:55

瑞星橙色八月提取工具

作者: lswjs555 时间: 2007-1-11 22:56
另外还有超级巡警熊猫专杀,在下面帖子的8楼
http://bbs.winzheng.com/viewthre ... &extra=page%3D1

作者: kj504 时间: 2007-1-11 23:01
RAR我现在也打不开了

作者: rakle 时间: 2007-1-11 23:05

原帖由 ~KISS~ 于 2007-1-11 23:01 发表
RAR我现在也打不开了

你先下下来,然后进安全模式看看

作者: wenjiech 时间: 2007-1-11 23:15
buyiding 可能使进程把资源占用完了！多等会在搜索查杀！

作者: Fibre 时间: 2007-1-11 23:56
运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1
这样就可以选择“显示所有隐藏文件”和“显示系统文件”。删AUTORUN.INF,FUN.XLS,最后用杀软,包你杀出不少东东!祝好运!千万不要双击打开,用右键开哦.

作者: rfpc 时间: 2007-1-12 00:02

原帖由 夏利7100 于 2007-1-11 23:56 发表
运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1
这样就可以选择“显示所有隐藏文件”和“显示系统 ...

你可能还不知道这个东西,注册表,msconfig,任务管理器,安全摸式,都不能用了,我是身受其害,也不知道是谁弄的这个病毒,真想骂他

作者: lulanqin 时间: 2007-1-12 00:54
很可能是mmc.exe病毒。

下面是具体介绍：
文件名称: tel.xls.exe

File size: 110592 bytes
MD5: 3dc040cb3a352a8577f44a1ff8ef8ca8
SHA1: acf12d3a843126cc98efd9f8e77c1cf14b027a70
packers: BINARYRES
packers: embedded
编写语言: vb
杀软报为:
Kaspersky:Trojan.Win32.Agent.abu
DrWeb:BACKDOOR.Trojan packed by BINARYRES

详细资料:
文件变化:
释放文件
%SystemRoot%\system32\FileKan.exe
%SystemRoot%\system32\SocksA.exe
%SystemRoot%\BACKINF.TAB
%SystemRoot%\Session.exe
%SystemRoot%\svchost.exe(隐藏)
%SystemRoot%\ufdata2000.log
%Temp%下释放两个随机名的临时文件(*.tmp)
释放每个盘符下
AUTORUN.INF (隐藏)
tel.xls.exe(隐藏)
替换系统文件%SystemRoot%\system32\mmc.exe(隐藏)

注册表变化:
注册表中添加
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
ASocksrv=SocksA.exe
/*实现随系统启动自动运行*/
HKLM\SYSTEM\ControlSet001\Services\mmc\ImagePath: "C:\WINDOWS\system32\mmc.exe"
HKLM\SYSTEM\ControlSet001\Services\mmc\DisplayName: "Smart Card Supervisor"
HKLM\SYSTEM\ControlSet001\Services\mmc\ObjectName: "LocalSystem"
/*添加服务[Smart Card Supervisor / mmc]
<C:\WINDOWS\system32\mmc.exe><N/A>*/

删除注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
/*把隐藏给删除*/

文件动作
连接本地127.0.0.1:3000

系统症状:
双击盘符不能进入盘符
windows任务管理器出现了一个kill的程序

鼠标右键点盘符出现"Auto"字样
无法显示隐藏文件
系统变慢,CPU经常100％

解决方法:
1.Ctrl + Alt + Del 打开任务管理器
结束应用程序中的kill和进程中的mmc.exe

2.删除注册表中添加
下载sreng
用sreng
下载地址:
http://www.kztechs.com/sreng/sreng2.zip
删除启动项目
<ASocksrv><SocksA.exe> [1]
删除服务
Win32服务应用程序=>删除服务=>设置=>删除
[Smart Card Supervisor / mmc]
<C:\WINDOWS\system32\mmc.exe><N/A>

3.下载killbox,复制以下路径删除文件
下载地址:
http://www.killbox.net/downloads/KillBox.exe

C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\WINDOWS\BACKINF.TAB
C:\WINDOWS\Session.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\ufdata2000.log
C:\WINDOWS\system32\mmc.exe

4.恢复显示所有的文件项
开始=>运行=>regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL单击右键"新建" - "Dword值"，并命名为CheckedValue,然后修改它的键值为1
或者你直接复制到以下代码到记事本,然后保存文件格式为.reg,最后双击导入即可
CODE:Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105[Copy to clipboard]

5.打开任意文件夹窗口=》工具=》文件夹选项=》查看----取消隐藏受保护的系统文件前面的钩(出现提示点是)----选中显示所有文件和文件----取消隐藏已知文件类型扩展名前面的勾

6.右键=>打开进入每个盘符依次删除每个盘符里的文件
AUTORUN.INF
tel.xls.exe

7.复制自己机子里的C:\WINDOWS\system32\dllcache\mmc.exe复制到C:\WINDOWS\system32里,如果机子里没有

也可以

复制别人机子里的正常文件到自己的相同路径
C:\WINDOWS\system32\mmc.exe

也可以下载以下连接复制到自己的系统下(下载后请自行验证md5值)
简体中文版本xp2
http://hzqedison.mm9mm.com/virus ... 18BCA1BF6CC7F56D1B)
繁体中文版本xp2
http://hzqedison.mm9mm.com/virus/chinese-trad/mmc.exe
(md5:C658D7038BFE5BD47D7C4730C364854E)
英文版本xp2
http://hzqedison.mm9mm.com/virus/english/mmc.exe
(md5:808A9C735682FA8F23747F7E3E765C3B)

作者: zjlq 时间: 2007-1-12 01:45

原帖由 ~KISS~ 于 2007-1-12 00:02 发表

你可能还不知道这个东西,注册表,msconfig,任务管理器,安全摸式,都不能用了,我是身受其害,也不知道是谁弄的这个病毒,真想骂他

如果不是专门搞研究的话,重装下系统相对省事多了!

作者: hjfeng6 时间: 2007-1-12 12:29
看着真是累啊，替楼主着急。

上面不是很多兄弟有解决方案了嘛，先重装系统啊！重装后再来弄其它的事。

这些破病毒又不是没遇到过，很容易就杀得了的。

欢迎光临热点科技 (http://www.itheat.com/activity/)