用户
 找回密码
 立即注册
搜索

[求助] 奇怪的病毒.杀毒软件不能运行,任务管理器打不开!!!!我真不知道该怎么办了~呼叫高手~

[复制链接]
发表于 2007-1-11 22:53:00
雨林木风 PE 工具箱 Y1.1
http://soft.ylmf.com/downinfo/882.html
这个不用刻盘的
使用道具 举报 回复 支持 反对
发表于 2007-1-11 22:55:00
我知道是什么病毒了 熊猫三柱香
使用道具 举报 回复 支持 反对
发表于 2007-1-11 22:55:00
  • 瑞星橙色八月提取工具
使用道具 举报 回复 支持 反对
发表于 2007-1-11 22:56:00
另外还有超级巡警熊猫专杀,在下面帖子的8楼
http://bbs.winzheng.com/viewthre ... &extra=page%3D1
使用道具 举报 回复 支持 反对
发表于 2007-1-11 23:01:00
RAR我现在也打不开了
使用道具 举报 回复 支持 反对
发表于 2007-1-11 23:05:00
原帖由 ~KISS~ 于 2007-1-11 23:01 发表
RAR我现在也打不开了
你先下下来,然后进安全模式看看
使用道具 举报 回复 支持 反对
发表于 2007-1-11 23:15:00
buyiding 可能使进程把资源占用完了!  多等会 在搜索查杀!
使用道具 举报 回复 支持 反对
发表于 2007-1-11 23:56:00
运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这样就可以选择“显示所有隐藏文件”和“显示系统文件”。 删AUTORUN.INF,FUN.XLS,最后用杀软,包你杀出不少东东!祝好运!千万不要双击打开,用右键开哦.
使用道具 举报 回复 支持 反对
发表于 2007-1-12 00:02:00
原帖由 夏利7100 于 2007-1-11 23:56 发表
运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL,将CheckedValue键值修改为1
这样就可以选择“显示所有隐藏文件”和“显示系统 ...
你可能还不知道这个东西,注册表,msconfig,任务管理器,安全摸式,都不能用了,我是身受其害,也不知道是谁弄的这个病毒,真想骂他
使用道具 举报 回复 支持 反对
发表于 2007-1-12 00:54:00
很可能是mmc.exe病毒。

下面是具体介绍:
文件名称: tel.xls.exe

File size: 110592 bytes
MD5: 3dc040cb3a352a8577f44a1ff8ef8ca8
SHA1: acf12d3a843126cc98efd9f8e77c1cf14b027a70
packers: BINARYRES
packers: embedded
编写语言: vb
杀软报为:
Kaspersky:Trojan.Win32.Agent.abu
DrWeb:BACKDOOR.Trojan packed by BINARYRES


详细资料:   
文件变化:
释放文件
%SystemRoot%\system32\FileKan.exe
%SystemRoot%\system32\SocksA.exe
%SystemRoot%\BACKINF.TAB
%SystemRoot%\Session.exe
%SystemRoot%\svchost.exe(隐藏)
%SystemRoot%\ufdata2000.log
%Temp%下释放两个随机名的临时文件(*.tmp)
释放每个盘符下
AUTORUN.INF (隐藏)
tel.xls.exe(隐藏)
替换系统文件%SystemRoot%\system32\mmc.exe(隐藏)



注册表变化:
注册表中添加
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
ASocksrv=SocksA.exe
/*实现随系统启动自动运行*/
HKLM\SYSTEM\ControlSet001\Services\mmc\ImagePath: "C:\WINDOWS\system32\mmc.exe"
HKLM\SYSTEM\ControlSet001\Services\mmc\DisplayName: "Smart Card Supervisor"
HKLM\SYSTEM\ControlSet001\Services\mmc\ObjectName: "LocalSystem"
/*添加服务[Smart Card Supervisor / mmc]
<C:\WINDOWS\system32\mmc.exe><N/A>*/

删除注册表
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue: 0x00000001
/*把隐藏给删除*/

文件动作
连接本地127.0.0.1:3000



系统症状:
双击盘符不能进入盘符
windows任务管理器出现了一个kill的程序


鼠标右键点盘符出现"Auto"字样
无法显示隐藏文件
系统变慢,CPU经常100%


解决方法:
1.Ctrl + Alt + Del 打开任务管理器
结束应用程序中的kill和进程中的mmc.exe

2.删除注册表中添加
下载sreng
用sreng
下载地址:
http://www.kztechs.com/sreng/sreng2.zip
删除启动项目
  <ASocksrv><SocksA.exe> [1]
删除服务
Win32服务应用程序=>删除服务=>设置=>删除
[Smart Card Supervisor / mmc]
<C:\WINDOWS\system32\mmc.exe><N/A>

3.下载killbox,复制以下路径删除文件
下载地址:
http://www.killbox.net/downloads/KillBox.exe

C:\WINDOWS\system32\FileKan.exe
C:\WINDOWS\system32\SocksA.exe
C:\WINDOWS\BACKINF.TAB
C:\WINDOWS\Session.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\ufdata2000.log
C:\WINDOWS\system32\mmc.exe

4.恢复显示所有的文件项
开始=>运行=>regedit找到HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL单击右键"新建" - "Dword值",并命名为CheckedValue,然后修改它的键值为1
或者你直接复制到以下代码到记事本,然后保存文件格式为.reg,最后双击导入即可
CODE:Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105[Copy to clipboard]

5.打开任意文件夹窗口=》工具=》文件夹选项=》查看----取消隐藏受保护的系统文件前面的钩(出现提示点是)----选中显示所有文件和文件----取消隐藏已知文件类型扩展名前面的勾

6.右键=>打开进入每个盘符 依次删除每个盘符里的文件
AUTORUN.INF
tel.xls.exe

7.复制自己机子里的C:\WINDOWS\system32\dllcache\mmc.exe复制到C:\WINDOWS\system32里,如果机子里没有

也可以

复制别人机子里的正常文件到自己的相同路径
C:\WINDOWS\system32\mmc.exe

也可以下载以下连接复制到自己的系统下(下载后请自行验证md5值)
简体中文版本xp2
http://hzqedison.mm9mm.com/virus ... 18BCA1BF6CC7F56D1B)
繁体中文版本xp2
http://hzqedison.mm9mm.com/virus/chinese-trad/mmc.exe
(md5:C658D7038BFE5BD47D7C4730C364854E)
英文版本xp2
http://hzqedison.mm9mm.com/virus/english/mmc.exe
(md5:808A9C735682FA8F23747F7E3E765C3B)
使用道具 举报 回复 支持 反对
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则