您的位置:程序门 -> windows专区 -> 安全技术/病毒



最新病毒,现在没有哪个杀毒软件能解决


[收藏此页] [打印本页]选择字色:背景色:字体:[][][]


最新病毒,现在没有哪个杀毒软件能解决[已结贴,结贴人:kof1000]
发表于:2007-07-02 10:36:28 楼主
这几天卡巴提示我中了virus.win32.delf.bz病毒,后来上baidu去查解决方法,没想到那么多朋友都中了这个病毒,而且现在还没有哪个杀毒软件能完全清除此病毒,卡巴也只能杀掉被感染的exe文件.

中了此病毒后的现象:
(1)双击被感染的exe文件后运行不了,且随后生成一个0_.ii文件,开机后就多了个
winlogon.exe进程,如果强行用ntsd   -c   q   -p   pid关闭此进程的话,机器会自动重启
(2)在c:\windows\system\   和   c:\windows\system\dllcache       发现有个奇怪的   winlogon.exe文件,在每个分区和一些文件夹下多了这两个隐藏文件:autorun.inf和setup.exe
(3)我曾用卡巴全盘扫描过,但是不知道为什么并不是所有的exe文件都被感染,
网上有的朋友说中了这个病毒后qq都不能用了,奇怪的是我的qq却没事,可能是因为我重装系统后直接用上一次系统装好的qq吧,也就是我重装系统后没有重装qq,而是用上一次系统装好的qq,因为重装系统前我没把它删掉.
(4)重装系统也没用

求救一:不知道有没有手动删除此病毒的方法,有朋友能做专杀工具更好.
求救二:(最重要的一点)被感染的exe文件能修复吗?如果不能修复,那还不如用卡巴把感染的exe文件全杀掉好了,或者全盘格式化算了.

发表于:2007-07-02 12:35:381楼 得分:0
楼主以前没看到过   winlogon.exe     ???   除非你是win9x系统.这是正常的.问题是autorun.inf和setup.exe这两个文件,还有注册表也被改过了.

重装系统没用是因为做得不彻底,把整个盘所有分区都格掉再装就行了.  
原因就是你没有把autorun.inf和setup.exe删干净(在带毒情况下也很难删干净,删掉可能又自动出来),所以重装系统后马上又被感染.
发表于:2007-07-02 12:38:282楼 得分:0
我在做完系统后,第一件事就是到 "我的电脑\工具\文件夹选项\查看 "中,把文件夹视图选项设置一下.正确的设置可以减少不少感染病毒的机会.很多弱智病毒就是利用菜手喜欢用默认设置来传播的.
发表于:2007-07-02 13:08:143楼 得分:0
不到万不得已不想全格盘啊,因为有好多软件都是我这几年收集来的,现在有的在网上都很难找到了.
发表于:2007-07-02 13:16:444楼 得分:10
建议进安全模式修改注册表,然后对病毒进行粉碎并抑制再生,对于以感染的文件可以进行提取
相关工具在http://free.ys168.com/?xcx573的“文件相关”下的“文件粉碎.rar”和“捆绑检测工具集.rar”
发表于:2007-07-02 13:19:395楼 得分:0
分离不能保证成功得到你想要的   该工具做的也不是很完美
注意顺序
发表于:2007-07-02 16:43:536楼 得分:60
1.   winlogo.exe-windows   logon   process,是windows   nt   用户登陆程序,管理用户登录和退出。该进程的正常路径应是   c:\windows\system32   且是以   system   用户运行,若不是以上路径且不以   system   用户运行,则可能蠕虫病毒或木马程序,极有可能的是 "灰鸽子 ",可到网上搜索专杀工具查查;

2.请检查系统启动项及注册表启动项有没有什么可疑的启动项目,或是用360安全卫士查看,需查看注册表启动项键值如下:

[hkey_local_machine\software\microsoft\windows\currentversion\run]  

[hkey_local_machine\software\microsoft\windows\currentversion\runonce]  

[hkey_local_machine\software\microsoft\windows\currentversion\runonceex]  

[hkey_local_machine\software\microsoft\windows\currentversion\runservice]  

[hkey_local_user\software\microsoft\windows\currentversion\run]  

[hkey_local_user\software\microsoft\windows\currentversion\runonce]  

[hkey_local_user\software\microsoft\windows\currentversion\runonceex]  

[hkey_local_user\software\microsoft\windows\currentversion\runservice]

3.清除autorun.inf
    点击开始-> 运行,在文本框中输入regedit或者regedt32。依次展开hkey_current_user\software\microsoft\windows\currentversion\policies\exploer,将nodrivetypeautorun改为255
nodrivetypeautorun子键限制着autorun的作用范围,设为255即禁止了无法识别的设备、可移动的设备、硬盘、网络设备、cdrom、虚拟存储设备(ram)等自动运行;

    设置完之后将下面内容保存为.bat文件,重启后到安全模式下运行:
    @echo   off
set   alldrive=c   d   e   f   g   h   i   j   k   l   m   n   o   p   q   r   s   t   u   v   w   x   y   z
for   %%a   in   (%alldrive%)   do   (
    attrib   %%a:\autorun.inf   -r   -h   -s   -a
    attrib   %%a:\auto.exe   -r   -h   -s   -a
    attrib   %%a:\argh.   -r   -h   -s   -a
    attrib   %%a:\autorun.inf\lszf.   -r   -h   -s   -a
    attrib   %%a:\autorun.inf\antiautorun..     -r   -h   -s   -a
    del   %%a:\autorun.inf\lszf.
    del   %%a:\autorun.inf\antiautorun..
    del   %%a:\autorun.inf
    del   %%a:\auto.exe
    del   %%a:\argh.
    md   %%a:\autorun.inf\lszf
    md   %%a:\autorun.inf\antiautorun..
    md   %%a:\autorun.inf
    md   %%a:\autorun.inf\lszf.\
    md   %%a:\argh.
    del   /f   /s   /q   %%a:\recycler\*.*
    )
reg   add   "hkey_current_user\software\microsoft\windows\currentversion\policies\explorer "   /v   nodrivetypeautorun   /t   reg_binary   /d   03ffffff   /f

4.关于setup.exe程序你得先查看进度表,有没有什么特殊的,特别陌生的进程,建议用360安全卫士查看,最大的可能是熊猫烧香,下个专杀工具扫扫看;

发表于:2007-07-07 13:16:327楼 得分:0
学了!谢谢上述分析家.
发表于:2007-07-07 23:40:178楼 得分:0
xcx573()   朋友 "建议进安全模式修改注册表 "
怎么个修改法呢
发表于:2007-07-11 10:20:329楼 得分:30
其实就是简单的硬盘ie病毒而已.你重做系统以后也没回复的原因是你只format了c:,而别的驱动器中也有样本,当你再进别的驱动器(比如d:),就会重新感染。
    介绍我的方法给你。一般这种病毒监视注册表的时间间隔比较长,所以先把注册表清理干净,运行regedit,然后找到系统项,把病毒那个启动项删除,然后重新启动计算机,保证病毒不在内存。
    重新启动后,千万不要去打开硬盘驱动器,以前此类病毒都是右键驱动器,出现两个open,选择下面那个open,就可以了,前天在公司发现一个,即使开资源管理器,也会运行病毒样本。
    避开这个的方法(纯属己见),运行-打开-然后通过这个打开,访问硬盘驱动器,这个时候就不会触发病毒样本了,然后将所有驱动器下的病毒可执行程序*.exe删除,最后进入我的电脑,双击相应驱动器(比如c:),这个时候因为找不到autorun中的exe程序,ie会弹出个窗口,选择   ie,然后enter进入,将antorun.inf删除掉即可!

  补充下,别人qq不能用,可能是中的是病毒包:)别的virus在搞怪吧~哈哈
发表于:2007-07-11 14:44:5010楼 得分:0
在我的注册表里
[hkey_local_machine\software\microsoft\windows\currentversion\run]  

[hkey_local_machine\software\microsoft\windows\currentversion\runonce]  

[hkey_local_machine\software\microsoft\windows\currentversion\runonceex]  

只有run里有3个启动项,都是我要用的.没发现有其他的启动项.

这是不是说明启动后病毒并没有有启动呢

到安全模式下删除能否保证内存中没有病毒呢

最重要的一个问题是被感染的exe文件还有救吗

如果没救了我干脆全格了重新分区算了
发表于:2007-07-18 16:27:2411楼 得分:0
使出我的杀手锏:
装机后安装冰点还原精灵,此后你的机器可以百毒不侵了!

相关文章
其他资讯

快速检索
分类导航标签a

最新资讯
热门点击