|
|
主题: 有反病毒经验的人快来帮帮忙啊!!!我快疯啦!!!!!
|
幼狼
职务:普通成员
等级:3
金币:0.0
发贴:928
注册:2001/3/12 18:24:04
|
#12001/7/7 11:51:23
昨晚不幸被黑客袭击。免强凑合着关了机。本想着今天再彻底清除掉冰河了事。可是今天我在清除冰河的同时发现了一个在system下文件名为sys.exe的可疑文件,就是那个图标为文件夹模样的东东。于是我立刻到注册表查找。果然和冰河在同一目录下。于是删除了注册表文件。再到DOS下删除了那个东西。本以为万事大吉。于是重启。可万万没想到。再次打开system文件夹时,又出现了那个sys.exe。我想这文件删是肯定删了。但肯定还有另外一个自动恢复程序存在。又联想到黑客狡猾多端。于是查找了在7月6日~7日修改过和新建的文件。果然又一个windows下的wins.exe可疑文件出现,也是伪装成文件夹的模样。于是在注册表里查找有关项。没找到。又直接在MSDOS和DOS实模式下删除。结果都不能删除。并出现“file not found”的提示。文件不存在?可是在windows里面分明有它的存在,还正被windows占用着。瑞星最新版本里也查不到这东西。我把所知道的全部杀毒办法全用上了。可是那个wins.exe仍然顽固的呆在我的硬盘里赖着不走。上帝啊。。这是个什么东东呢?我该怎么办???有谁能帮帮我!!!难道一定要走format硬盘这一步吗?我不想啊!!!!!!!!!
|
我就是我
职务:版主
等级:6
金币:14.0
发贴:5466
注册:2004/1/13 17:02:03
|
#22001/7/7 11:56:47
这个大概不是病毒,大概是一种生成文件
|
ewind
职务:普通成员
等级:5
金币:10.0
发贴:3074
注册:2001/3/4 18:39:07
|
#32001/7/7 11:58:28
你拿个杀毒的软盘,用它启动再在DOS下杀!~
用KV3000效果就不错!~
|
幼狼
职务:普通成员
等级:3
金币:0.0
发贴:928
注册:2001/3/12 18:24:04
|
#42001/7/7 12:12:18
yuzhiqing在上个贴子中说 引用:
你拿个杀毒的软盘,用它启动再在DOS下杀!~
用KV3000效果就不错!~
唉。。。能试的我都试了啊。。DOS底下也没用啊。杀毒软件根本查不到。这肯定是个木马程序。而且是那种自动恢复的程序。KV3000我没有。但是用瑞星最新版本在DOS下杀了啊。根本查不到。直接删也不行。我现在正在瑞星BBS和天网上面在线检测呢。查出来了有一个端口开放。可关键是那东西删不掉啊。
|
幼狼
职务:普通成员
等级:3
金币:0.0
发贴:928
注册:2001/3/12 18:24:04
|
#52001/7/7 12:37:26
谁能告诉我为什么那个东西就不能删除呢?怎么样才能删除掉呢?
|
ewind
职务:普通成员
等级:5
金币:10.0
发贴:3074
注册:2001/3/4 18:39:07
|
#62001/7/7 13:05:03
木马客星4。0不行吗?
|
x_wolf
职务:普通成员
等级:1
金币:18.0
发贴:4242
注册:2004/8/1 16:08:24
|
#72001/7/7 13:21:06
去找找那种专门清楚木马的扫毒程序吧!上网时得注意点了!尤其是局域网用户!经常被种上木马并被扫描、操控!建议装个网络防火墙!天网的就很不错!有最新版的!直接去下吧!
|
幼狼
职务:普通成员
等级:3
金币:0.0
发贴:928
注册:2001/3/12 18:24:04
|
#82001/7/7 14:08:01
啊。。。终于找到一个暂时解决的办法了。但这也是权宜之计。我下了天网最新版2.41。装上后果然有效。它查到了几个开放的木马端口。并且禁止了它们访问网络。最重要的是。前面提到的那个用其它杀毒软件查不着删不掉的wins.exe。天网也发现了。并且禁止它访问网络。这下算是比较安全了。但是那东西毕竟还没删掉。木马克星也下载了。还不知道有没有效果。
|
城市孤星
职务:普通成员
等级:4
金币:10.0
发贴:1785
注册:2000/10/20 20:20:01
|
#92001/7/8 11:11:17
呵呵这就是冰河的特点!他可以自动恢复被你删掉的服务端的软件。当然通过注册表是可以完全删掉冰河的!但很可能用于恢复的关联程序是系统所需要的,所以不提倡手工删除!好象冰河有个自御载程序的(也是听说的)不过现在的杀毒软件一般都可以清除冰河了!你可以下载个安全之星试试。(它可是防病毒跟防火墙结合在一起的哦!我正用着呢!)
|
城市孤星
职务:普通成员
等级:4
金币:10.0
发贴:1785
注册:2000/10/20 20:20:01
|
#102001/7/8 11:31:48
“冰河”的手工清除办法: 1.安全模式重新启动计算机; 2.检查HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices两处是否有同名的可疑程序名(默认安装为KERNEL32.EXE),如果有则删除该键; 3.检查HKEY_LOCAL_MACHINE\Software\CLASSES\txtfile\shell\open\command处的键值是否为“ \notepad.exe %1”(是指您的WINDOWS所在目录,如“c:\windows”),“冰河”的默认设置是将该处键值修改为“sysexplr.exe %1”,请自行做相应修正;
4.检查HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command处的键值是否为“"%1" %*”,如果不是则进行修正;
5.删除上述找到的可疑程序(默认文件名是目录下的“KERNEL32.EXE”和“SYSEXPLR.EXE”,如果“SYSEXPLR.EXE”因正在运行而无法删除,可以在第6步完成之后立即删除);
6.若是98的机器,直接按两次++重新启动计算机;若是NT的机器,结束KERNEL32.EXE进程后重新启动计算机。
需要注意的是,应该在修改注册表之后再删除可疑程序,否则对方若将“冰河”设置为与EXE文件关联,那就连运行REGEDIT的机会都没有了。另外在修改注册表时你可能已经启动了与EXE文件关联的“冰河”,而“冰河”在正常关闭时将会再次修改注册表,所以在98下通过++来重新启动计算机是至关重要的一步。
很显然你的服务器端的程序名已经不是默认文件名了! 
|
幼狼
职务:普通成员
等级:3
金币:0.0
发贴:928
注册:2001/3/12 18:24:04
|
#112001/7/8 15:31:17
55555555555。。。。猩猩。。。你你你。。你真是让我太感动了。这些办法我是知道的。但这次中的木马却不同。那个自动修复的程序并不是和其它格式的文件关联的。而是和一个windows下的应用程序捆绑在一起了。要删就要把那程有用的程序也删了。。。。。我已经想办法删了。。谢谢你啊。
|
???
职务:普通成员
等级:2
金币:10.0
发贴:644
注册:2000/11/7 15:07:27
|
#122001/7/9 13:00:57
是自己的的主机吗?是的话,装unix得了,由于unix和NT的机理不同,大部分NT下的病毒和木马都失效了!赫赫
|
流浪的牧师
职务:普通成员
等级:7
金币:23.0
发贴:7973
注册:2001/5/12 13:44:46
|
#132001/7/9 17:49:22
sorry ,亲爱的狼,我才看到这个帖子, 你们说的方法都不行的,等你有时间和我联系吧!
|
幼狼
职务:普通成员
等级:3
金币:0.0
发贴:928
注册:2001/3/12 18:24:04
|
#142001/7/10 2:36:33
macromedia在上个贴子中说 引用:
sorry ,亲爱的狼,我才看到这个帖子, 你们说的方法都不行的,等你有时间和我联系吧!
呵呵。不用客气的。。。来了就好。。。这问题已经解决了。是用强制送闭其进程的方法,然后再删掉那个文件。现在的系统和以前到是没什么不同。只是每次开机都会出现一个文件丢失的对话框。麻烦一点而矣。
|
城市孤星
职务:普通成员
等级:4
金币:10.0
发贴:1785
注册:2000/10/20 20:20:01
|
#152001/7/10 11:59:04
好象已经有冰河清除软件了哦!:)
|
