Hidden object的清除方法_病毒查杀

一、提问

C:\WINDOWS\system32\LgSym.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.fq 
C:\WINDOWS\system32\Qqzos.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.kr 
我按照您空间里一些帖子的方法进行了处理,虽然卡巴不出现上述提示了但是却有了新的麻烦,每次打开电脑卡巴首先会提示我: 
C:\WINDOWS\system32\winrpcs.exe: 检测到新变种 风险软件 Hidden object 
然后就是: 
C:\WINDOWS\system32\dfsdfsg.exe: 检测到新变种 风险软件 Hidden object 
接着各种各样的*.EXE 文件检测到这个风险软件 Hidden object .......卡巴也查不出毒来每隔一段时间就蹦出关于这个Hidden object提示来.是不是上次的病毒我没有处理干净还是又中新招。我是拿它没有办法了拜求崔老师给出一个解决的方案. 
补充:好长一段时间以来网络时常会莫名其妙的断掉网络连接里确是显示连接着.可无论网页或网路程序到找不到网络.只能断猫.我是铁通的开始以为是网络质量不好.可是我隔壁的从没出现过这种问题 
SREng的扫描日志略

二、分析

1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。 

关闭QQ等应用程序。进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。 

2.用强制删除工具XDelBox(文件删除终结者)删除下面列出的文件。 

【删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作,删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox1.2目录下help.chm。】 

Code:
D:\Autorun.inf 
D:\pagefile.pif 
e:\Autorun.inf 
e:\pagefile.pif 
C:\DOCUME~1\GLG\LOCALS~1\Temp\Servere.exe 
C:\DOCUME~1\GLG\LOCALS~1\Temp\cftmon.exe 
C:\DOCUME~1\GLG\LOCALS~1\Temp\crasos.exe 
C:\WINDOWS\servicea.exe 
C:\WINDOWS\system32\dfsdfsg.exe 
C:\WINDOWS\system32\rpcsddos.exe 
C:\WINDOWS\system32\winrpcs.exe 
C:\DOCUME~1\GLG\LOCALS~1\Temp\xpe.sys 

~~~注意 文中的GLG是这位求助者的用户名,也可能是王小丫/Administrator等。 要看中毒者的具体用户名了。。

3. 用工具 SREng 删除如下各项 

【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。】 
================================== 

Code:
启动项目 -->注册表 的如下项删除[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
<wu1jz><C:\DOCUME~1\GLG\LOCALS~1\Temp\Servere.exe> [N/A] 
<dlf67keir><C:\DOCUME~1\GLG\LOCALS~1\Temp\cftmon.exe> [N/A] 
<64qq0fg020gw7><C:\DOCUME~1\GLG\LOCALS~1\Temp\crasos.exe> [N/A] 
<uewhqm4x8><C:\WINDOWS\servicea.exe> [N/A] 

================================== 
启动项目 -->服务-->Win32服务应用程序 的如下项删除 
[sadsaads / afdsfsgg][Stopped/Auto Start] 
<C:\WINDOWS\system32\dfsdfsg.exe><Microsoft Corporation> 
[Remote Procedure Call System(RPCSDDOS) / RpcSDDOS][Stopped/Auto Start] 
<C:\WINDOWS\system32\rpcsddos.exe><N/A> 
[Windows RPCS / WINRPCS][Stopped/Auto Start] 
<C:\WINDOWS\system32\winrpcs.exe><N/A> 

================================== 
启动项目 -->服务-->驱动程序的如下项删除(如果删不掉,就设置类型为disabled!) 
[king001 / king001][Stopped/Manual Start] 
<\??\C:\DOCUME~1\GLG\LOCALS~1\Temp\xpe.sys><N/A> 

时间: 2024-09-07 12:08:26

Hidden object的清除方法_病毒查杀的相关文章

开机CPU就是100%cmd.exe病毒进程清除方法_病毒查杀

发布时间:2007-02-09  中毒症状:      开机CPU就是100%,查进程,原来是cmd.exe 占用了绝大部分的CPU.关闭cmd.exe后,CPU实用率恢复正常.但是再次开机的时候,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 1.装了ewido 查杀木马,查出了几个感染目标,已删除.但是今 天早上开机,CPU又是100%,cmd.exe 依然占用了绝大部分的CPU. 2.再装"木马清除专家2006",查杀,结果没有发现木马. 3.查system 3

桌面不显示图标的盗号木马清除方法_病毒查杀

上周,金山反病毒中心截获一个以盗取"魔域"."完美世界"和"浩方游戏平台"为目的的木马病毒,该病毒名为Win32.Troj.OnlineGames.ms.18432,自上周四出现以来已经衍生多个变种.金山客服中心接到大量用户投诉,反映系统重启无法显示桌面.金山毒霸(病毒库版本2007.04.07.16)已经可以查杀该病毒目前所有变种. 病毒分析报告: 这是一个盗取"魔域"."完美世界"和"浩方游戏

autorun.inf+无法显示隐藏文件+病毒的清除方法_病毒查杀

情况 所有盘符右键都有运行,各个盘下都会出现随机的8位的XXXXXXXX.exe和autorun.inf文件 上网搜索病毒.木马等都会被病毒关掉,无法打开nod32等杀毒 软件 无法查看隐藏文件,解决方法: 方法一:修改注册表文件(将下面的文件保存位ok.reg)运行即可 复制代码 代码如下: Windows Registry Editor Version 5.00  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ex

各分区根目录释放shell.exe,autorun.inf 的病毒清除方法_病毒查杀

病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星  文件变化:  释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic 各分区根目录释放 shell.exe autorun.inf autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\com

木马程序Trojan-Spy.Win32.Agent.cfu清除方法_病毒查杀

木马程序Trojan-Spy.Win32.Agent.cfu 该样本程序是一个使用Delphi编写的程序,程序采用MEW 1.x加壳企图躲避特征码扫描,长度为67,908字节,图标为windows默认图标,病毒扩展名为exe,主要传播途径网页挂马.文件捆绑.黑客攻击. 病毒分析 该样本程序被激活后释放systen.dll文件到%systemroot%\system32目录下,释放451062.dll文件(该文件名为6位或7位随机数字)到%systemroot%目录下,运行批处理删除自身: 添加注

SysLoad3.exe木马病毒的分析及清除方法_病毒查杀

使用前,请先断网,删除系统目录下的SysLoad3.exe以及1.exe,2.exe,...,7.exe,用IceSword删除临时目录下的那几个动态库.当任务管理器里没有iexplore.exe和notepad.exe的进程时,就可以运行这个恢复程序了.        特别注意:运行过程中,不要去运行其他程序,有可能你运行的那个程序就是带毒的!!  [b]二:以下是分析和手动清除方法:      昨天下午加班回来,发现本本的行为相当诡异.看了看任务管理器,有几个Ie的进程和几个Notepad的

autorun.inf和sbl.exe之U盘病毒的清除方法_病毒查杀

病毒生成如下文件: Code: C:\WINDOWS\system32\1.inf C:\WINDOWS\system32\chostbl.exe C:\WINDOWS\system32\lovesbl.dll 在每个分区下面创建autorun.inf和sbl.exe,并不断检测chostbl.exe的属性是否为隐藏 注册服务AnHao_VIP_CAHW 指向C:\WINDOWS\system32\chostbl.exe,达到开机启动的目的. 启动类型:自动 显示名称:A GooD DownLo

cdsdf.exe,kl.exe,explorcr.exe等病毒清除方法_病毒查杀

一:问题和症状: 中病毒,其它的病毒文件都好杀.就C:\WINDOWS\system32\cdsdf.exe杀毒软件杀不掉.用PowerRmv杀灭后抑制再生成也没有用.请帮忙解决 二:分析解决: 1. 杀毒前关闭系统还原(Win2000系统可以忽略): 右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可.  清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点"删除文件"按钮 ,将 删除所有脱机内容 打勾,点确定删除

AutoRun.wp(gg.exe)U盘木马清除方法_病毒查杀

文件名称:gg.exe 文件大小:65607 byte AV命名: Worm.Win32.AutoRun.wp  卡巴斯基 Worm.Delf.65607  金山毒霸 Win32.HLLW.Autoruner.548   Dr.WEB 加壳方式:未 编写语言:Microsoft Visual C++ 6.0 文件MD5:33d493af096ef2fa6e1885a08ab201e6 行为分析: 1.  释放病毒文件: C:\WINDOWS\gg.exe  65607 字节 2.  添加启动项: