返回列表 发帖

近期较常见的病毒查杀解决办法

近期较常见的病毒查杀解决办法

近日中了个系统木马,在诺顿(我用诺顿2003)中定义为Trojan.Cachecachekit,在system32文件夹下生成rvrid.sys病毒文件。在我机器上的表现:开机正常,数小时后影响内存,放歌放电影会有轻微停顿现象;影响网速,很多网页需要不断刷新后才能打开,比如GOOGLE;IE的安全设置被修改成自定义。升级诺顿后在安全模式下可以杀掉,但在注册表中某些键值无法删除。重启到正常模式后病毒重新出现。 解决方法:1.用hijackthis扫描,找到O23 - Service: ssms - Unknown owner - C:\WINNT\ssms.exe删除掉(这一步因人而异,我查到的是一个w开头的.exe程序) 2.删除windows或者winnt目录下ssms.exe-up.txt 和\system32\rdriv.sys(在我机器内未查到*up.txt文件,因此只删掉了rdviv.sys文件) 3.运行regedit,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\OLE 里把EnableDCOM改为Y(应该是改成Y,N是病毒改的) 找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa把restrictanonymous改为0 找到并删除 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ssms(这项我的电脑里没找到) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\rdriv HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc 重新设定你的ie安全选项 病毒可能还会改一些其他东西,待查。。 hijackthis的下载地址: ist&ID=7439" target="_blank" >http://www.hanzify.org/index.php?Go=Show:ist&ID=7439 注:不要随便修改hijackthis查到的东西,最好把活动日志发给懂的人看一下,随便改的话可能造成系统瘫痪。 再推荐一个很好的软件,可以扫描后门程序和木马——微软的反间谍软件,下载地址: http://bbs.zol.com.cn/new/static_book2/218/784/218_7784.shtml 杀毒手册(送给对英文不太了解的人士): 1、象普通软件那样一直安装后,点finish,并启动该软件。 2、前两项要选有yes的选项,最后一项是问你是否加入微软社区,要选no,否则又是一堆注册。 3、选择update now,进行版本更新,更新到5715版本(5月8日最新升级版) 4、选run quick scan now 进行检测!!!检测的时候右边会显示Item detected:数字。数字就表示你有多少文件或者键中了间谍软件。 5、检测完毕后,点view results详细查看内容。如我的电脑检测完后显示两项目 Cydoor (adware) Shopnav(Browser Modifier) 可以根据你的意愿选择他们左边的项:remove(清除或卸载)、Ignore(忽略)、Quarantine(隔离)、alwayse Ignore(总是忽略) 我通常都是remove 6、点左下角的continue. OK,3721和一些恶性间谍软件可以彻底清除了!!! 补充:通常,flashget也会被当作间谍软件查出来,但不要惊慌,flashget确实有间谍软件的成分,因为里面有在线广告等对外出口!!!选择Ignore就可以了。

补充: 用hijackthis先找到病毒执行文件extel.exe、mapi32.exe或edit.exe等等,然后执行下列操作: 1、在正常模式下进入注册表,搜索extel.exe和mapi32.exe等,删除。 2、进入安全模式,删掉winnt下的extel.exe,system32下的mapi32.dll、mapi32.exe。皆为系统隐藏文件。如果有rdriv.sys存在,也删掉!


欢迎光临世纪疾控论坛

返回列表