病毒求助

lliang

下个进程分析工具看看进程里还有那些病毒进程，然后看看启动项之类的

InterShine

搜到的方法一：

方法:  

第一步.
F8,先进入安全模式,将上面WINDOWS文件夹内的cmdbcs.exe，mppds.exe，msccrt.exe，upxdnd.exe， winform.exe之类文件手动删除,把TEMP文件夹下的upxdnd.exe和upxdnd.dll文件手动删除,然后选择取消隐藏受保护文件, 将C:下的SYS...之类包含ghook.dll和svchost.exe的2个文的文件夹删除;  

第二步.
这里是关键,进入到C:/WINDOWS/SYSTEM32下,选择取消隐藏受保护文件,将文件按照修改时间顺序排列,查看最后的几个文件的属性,从最后一个往前查,如果创建时间为2008年或者更离谱的时间(我想这就是卡巴查不到的原因)...如果是EXE结尾的8位随机名称可执行文件,一般是2个,先把名字复制下来(一定要复制下来,不管贴在哪),然后再删除,一直删到创建文件时间正常为止的那个文件,千万别删多了.否则你的系统多了些什么功能本人不负责.....-_-!!  

第三步.
清理注册表  
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Policies\Explorer\run]   
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\run]   
对应病毒名称的项删除

第四步
清除服务
还记得复制下来的文件名称吗,在控制面板-管理工具-服务里面找到它们,禁止使用,然后开始-运行REGEDIT,搜索那文件名,然后删除(注意:可能有删不掉的,不用管它,跳过,把能删的都删)


最后.............重启,世界清静了!!

InterShine

搜到的方法二：

关于Trojan-PSW.Win32.OnLineGames木马病毒清除方法


Trojan-PSW.Win32.OnLineGames.kw 病毒清除办法清除步骤:www.inis.cn"`v
R8de$o
1、关闭系统还原(Win2000系统可以忽略）：右键"我的电脑"—>属性—>系统还原—>"在所有驱动器上关闭系统还原" 打勾即可。
清除IE的临时文件：打开IE 点工具—>Internet选项—>Internet临时文件—>点“删除文件”按钮—>将 "删除所有脱机内容" 打勾—>点"确定"。
p,c2D%d-mu9h
2、开始--运行--regedit，打开注册表，点注册表中的"我的电脑"—>点"编辑"—>查找，输入rundl132.exe ，找到的项目就点右键--删除，按F3继续，直到查找完毕. inS,inis,广州至in社区,潮流发源地,潮民学堂,潮店SHOW,街头艺术馆,网络型人馆,吹水堂,至IN味道,情感诊疗所,PG18区,体育馆,IN文学,音乐屋,游戏模式,时尚设计,流行元素,广州时尚互动社区+re'f6w8PL5To
（用同样的方法查找并删除c0nime.exe 、iexpl0re.exe 、winlog0n.exe）
3、显示“受保护的操作系统文件”（如果不会，请看http://hi.baidu.com/peaset/blog/ ... e8286035a80fad.html）

unlocker下载及使用方法：http://hi.baidu.com/peaset/blog/ ... 49d4ec09fa93d2.html    - http://www.inis.cn
k\$IF*U
jC
   
使用unlocker删除以下文件：（不一定都有）
C:\DOCUME~1\用户名\LOCALS~1\Temp\Rav20.dll
C:\DOCUME~1\用户名\LOCALS~1\Temp\Rav21.dllinS,广州至in社区w"i"N6P        T-J,A*a6seU
C:\DOCUME~1\用户名\LOCALS~1\Temp\Gjzo0.dllinS,inis,广州至in社区,潮流发源地,潮民学堂,潮店SHOW,街头艺术馆,网络型人馆,吹水堂,至IN味道,情感诊疗所,PG18区,体育馆,IN文学,音乐屋,游戏模式,时尚设计,流行元素,广州时尚互动社区2n+w5W~
J{
C:\DOCUME~1\用户名\LOCALS~1\Temp\LgSy2.dll
C:\DOCUME~1\用户名\LOCALS~1\Temp\LgSy1.dll
  C:\DOCUME~1\用户名\LOCALS~1\Temp\rundl132.exe
C:\DOCUME~1\用户名\LOCALS~1\Temp\c0nime.exe
C:\DOCUME~1\用户名\LOCALS~1\Temp\iexpl0re.exe
C:\DOCUME~1\用户名\LOCALS~1\Temp\winlog0n.exeinS - 广州至in社区K~#F!l7B.D(D
4、重启计算机，病毒清除完毕。

马拉拉

找到病毒感染文件   用unlocker~~~或者冰刃 咔嚓掉~~~然后删掉注册表相关的文件

碧咸8590

这个我刚刚也搜到了
不知道有用没有

meng1987

这个啊,上个月偶也中过,也发过铁求救.
进程中是有CMDB  MSTTRS之类吧
是个盗号马
因为它侵入到了系统还原的文件夹里,所以偶当时也是手动杀不清
最后下了EWIDO,联合卡巴才搞定

hexingchen11938

首先我要告诉你你中了非常麻烦的病毒,MS卡巴斯基6能杀，我没中过，但是应该是特洛伊木马的变种。建议你升级成卡巴斯基6，更新最新病毒库，去下载最新的firefox火狐浏览器，这个浏览器内嵌一个针对这个病毒漏洞的补丁不用这个补丁是不能杀光的。不要去微软官方升级，最近有好多人升级了KB7的补丁被查出是盗版。这是火狐浏览器。http://firefox.andylan.cn/b1.htm
方法:  
1、关闭系统还原，结束两个进程rundll32.exe，如果有3个或者更多就全部结束，反正这东西不是好的
2、显示“受保护的操作系统文件”
3、去下载一个软件unlocker（我帮你上传到附件了）
使用unlocker删除以下三个文件：
C:\WINDOWS\Microsoft\ undll32.exe
C:\program files\internet\ exploreruse6.dll
C:\WINDOWS\system32\dt.dll
4、修改注册表，删除以下两项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Micro><C:WINDOWSMicrosoft undll32.exe>

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<main><rundll32.exe "C:program filesinternet exploreruse6.dll" mymain>

5、使用unlocker删除C:\WINDOWSsystem32driversetchosts
6、很关键的
使用资源管理器（开始-所有程序-附件-windows资源管理器）打开各个分区，删除所有分区下面的Autorun.inf及mplay.com
（这步为关键一步，请小心，否则前功尽弃）

SHorace

安全模式下杀啊,还杀不掉就在BAIDU找找方法..
还不行重装吧

大卫王碧咸仔

原帖由 须根洛夫 于 2007-4-23 07:36 PM 发表
不上H网和六仔网才安全

哎~~~偏偏是我和我阿妈分别需要的两种网页~~~~~~KK

神猪猪

..什么叫六仔网......
小万..你看不止我一个人不晓得六月的..............
PS:百度吧...方法一个一个试......不行就...不行就...........(为完待续)