花葬

已经使用金山的专杀工具,然后再用瑞星查杀.现在基本的中毒症状没了,但是再用金山专杀杀,还是显示有3个病毒被查杀,试了N次都这样.还有每次专杀重启后,专杀软件让我下载个金山清理软件,可一进该网站,就被屏蔽了(这和AV终结者症状一样)
求助彻底查杀的方法~~~最好别格盘啊

hbyw

引用:

原帖由 花葬 于 2008-4-28 21:42 发表
已经使用金山的专杀工具,然后再用瑞星查杀.现在基本的中毒症状没了,但是再用金山专杀杀,还是显示有3个病毒被查杀,试了N次都这样.还有每次专杀重启后,专杀软件让我下载个金山清理软件,可一进该网站,就被屏蔽了(这和AV ...

有没有winpe的盘或可以启动的硬盘WINPE，只要不用原来的系统就可以，启动后再用杀毒软件进行查杀。因为这个病毒会加载在启动的关键进程中，所以不启动原来的系统而进行查杀是比较有效的方法之一。

可以试一下ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe，虽然效果不一定好，但是不会和任何已装的杀软冲突。当然也不会受其他条件制约，可以试试看。

下载sreng2.5.zip ，解压前把名字修改掉，不要用原来的名字和后缀名，以防被屏蔽，扫一个日志上来看一下。
下载AVSBKiller.rar，这个当初就是用来对付AV的IEFO劫持的。扫描一下IEFO，清理掉不属于你的劫持项。
下载wsyscheck0223.rar（同样请改名和后缀名） 和Wsyscheck中文版的Wdosdel.rar（不用改名，直接放入前面解压的文件夹里就可用了）。可以直接删除进程运行着的程序，对强力删除病毒，还有有好处的。


去年也碰到过AV终结者，也知道比较麻烦，但不要急。有点耐心，总是可以清理的。

[ 本帖最后由 hbyw 于 2008-4-29 09:12 编辑 ]

花葬

我还真是笨,呵呵..

911eva

1.用 IFEO映像挟持修复程序 或者用hbyw说的AVSBKiller  先修复
2.如果没有winpe    用sreng修复安全模式 和重置HOSTS文件 (如提示无权限  在C:\WINDOWS\system32\drivers\etc\hosts文件  用记事本打开 留下 127.0.0.1 localhost 其余全部删除)
3. .启动项目 ===〉服务 ===〉驱动程序 勾选 “隐藏微软服务” ===〉选中下面的项目===〉点选“删除服务” ===〉设置 ===〉(如果不能删除  把启动类型设置为DISABLED )

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\23.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp43.tmp
C:\WINDOWS\system32\drivers\4E.tmp
C:\WINDOWS\system32\drivers\msosmsfpfis64.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp46.tmp
E:\新建文件夹\KBaseZS.sys
SystemRoot\System32\Drivers\d347prt.sys
\SystemRoot\system32\DRIVERS\d347bus.sys
\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp49.tmp
4. 安全模式下 用强力删除软件 删除 c:\xue.exe (这东西最好再搜搜注册表里面  相关的都删除)
5.打开IE--工具--INTERNET选项--删除临时文件-勾上 删除所有脱机内容
6.用windows清理助手  做最后清理    再扫描个日志  帖上来

[ 本帖最后由 hbyw 于 2008-4-30 16:01 编辑 ]

花葬

引用:

原帖由 911eva 于 2008-4-29 14:26 发表
1.用 IFEO映像挟持修复程序 或者用hbyw说的AVSBKiller  先修复
2.如果没有winpe    用sreng修复安全模式 和重置HOSTS文件 (如提示无权限  在C:\WINDOWS\system32\drivers\etc\hosts文件  用记事本打开 留下 127.0.0 ...

有些不明白的地方
2我在修复安全模式时,已经把C:\WINDOWS\system32\drivers\etc\hosts文件  用记事本打开并留下该留下的.但提示说操作失败而不是没有权限.
3驱动程序 勾选 “隐藏微软服务”是不是这样

===〉选中下面的项目===〉 这下面的选项指哪里呢

对电脑没什么研究,中毒了才硬着头皮上的..请版主耐心指正!

[ 本帖最后由 花葬 于 2008-4-29 17:47 编辑 ]

911eva

2 和3  部分  在sreng里面操作 不是在msconfig里面...

hbyw

1、IEFO清理



2、用sreng修复hosts




别忘记保存


3、修复安全模式，其实用AVSBKiller比较好


4、修复服务



5、文件清理
ATF-Cleaner-cn系统清理工具：http://soft.sltx.com.cn/html/soft/xtgj/20071115/7574.html

6、强力删除工具
wsyscheck0223.rar  最近才发现用它的文件管理，可以直接运行中的程序。
如果无法删除，选择相应的文件，在右边的文件夹里选定相关的文件---选择直接删除

PowerRmv.rar --PowerRmv（数据病毒木马杀灭天王）

7、自己操作吧

8、清理助手： 正式版ZIP下载

[ 本帖最后由 hbyw 于 2008-4-30 16:38 编辑 ]

hbyw

但是事关后缀名为SYS的文件注意不要删除错了。