手动清除病毒集锦 - 『青春校园』 - 会师楼中国甘肃白银会宁人家在线论坛

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

楼主

大中小

使用道具

发表于 2007-11-30 09:46 资料短消息加为好友

分享到：

手动清除病毒集锦

TxHmou.exe解决方案

TxHMou.exe的危害：
简单的说TxHou.exe是一款下载者，下载盗号木马(game.ol)我对游戏不精通。然后下载其他病毒，
1.Cnnic无忧上网工具条 2.U盘变种C
添加文件
c:\autorun.inf
c:\windows\system32\Autorun.inf
新增可执行挂钩：{A12C8D43-AC10-4C17-9136-E3E2FC9B3D21}
文件地址为：C:\Program Files\Internet Explorer\PLUGINS\Wn_Sys8x.Sys
注册表地址：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
并且在注册表启动项目HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows增加netapi16.dll
-----------------------------------------------------------
解决方案：
重新启动按F8到安全模式，用360扫描
修复之后的的残缺：
1.任务管理器被禁用
打开注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr 十六进制改为0
-----------------------------------
请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在c盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

regedit4

[hkey_current_user\oftware\olicies\icrosoft\nternet explorer\ontrol panel]
"homepage"=dword:00000000

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

沙发

大中小

使用道具

发表于 2007-11-30 09:48 资料短消息加为好友

print32.exe 病毒手工清除方法
1、病毒症状：
1）在各个盘符下发现大量的autorun.exe或inf的文件,或以recy开头的目录
2）在注册表中发现
我的电脑\HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit 的值被修改为 c:\windows\system32\userinit.exe,print32.exe
其中print32.exe就是病毒文件
3)windows启动剧慢无比
2、解决办法
1)运行"regedit"，将“我的电脑\HEKY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit 的值被修改为 c:\windows\system32\userinit.exe,print32.exe”中的print32.exe删除
2)强制关闭电脑电源
3)重新启动，按“F8”进入带命令行的安全模式
4)运行cd c:\windows\systewm32
5)运行 dir /a/x print32.exe ，显示print32.exe文件存在
6)del /f/p/a print32.exe ，提示删除，选择“Y”
7) 到各个盘符下删除autorun.exe/inf文件
del /f/p/a autorun.*
以及病毒目录：
运行 dir /a/x 显示目录的8.3文件格式
删除rd /s/q recyd~1 ,其他目录删除方法类似
8)删除完毕后，重新启动WINDOWS到正常模式，病毒清除掉。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

板凳

大中小

使用道具

发表于 2007-11-30 09:51 资料短消息加为好友

161816病毒处理
上网时，打天网页左下确提示161816网页的链接，杀毒无用，用360也不行
由于是局域网，我改了一下IP地址后，问题解决。此毒是局域网内的，真对特定IP地址，改一下就没事了。
改IP：
网上邻居--本地连接--属性--常规里面双击IP协议--里面改IP就可以了
局域网的IP在1--254之间都可以

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

地毯

大中小

使用道具

发表于 2007-11-30 09:54 资料短消息加为好友

DEATH病毒的分析以及专杀工具

症状：
杀毒软件被禁用、隐藏文件无法显示、开始命令msconfig无法运行、很多辅助软件也无法运行，运行EXE以及SCR 文件后被病毒的感染
===专杀工具地址：
http://nibapingping.ys168.com/ 工具区
kill_Death.rar 53KB DEATH专杀工具能查杀多数变种
====手动查杀用到的软件的下载地址：
http://nibapingping.ys168.com 工具区
会用到SRENG软件以及XDELBOX软件
病毒名称：Trojan-Downloader.Win32.Agent.****
病毒类型：木马
病毒MD5：2ccd81d7d358778b11de9303e0097d2d
加壳类型：UPX
编写语言：Borland Delphi 6.0 - 7.0
病毒运行
生成进程：
C:\WINDOWS\system32\Death.exe
C:\WINDOWS\system32\Supervise.exe
释放文件
C:\WINDOWS\system32\Supervise.exe（这个Supervise.exe调用net.exe执行局域网络的感染，并且创建文件：%system32%\Death.SiShen，将病毒信息写进此文件）
（此进程还会Supervise.exe开启端口连接网络下载木马！！！真是可恶）
C:\WINDOWS\system32\Death.SiShen
C:\WINDOWS\system32\Death.exe（这个进程生成Supervise.exe文件）
C:\WINDOWS\system32\Death.SiShen
以及每个盘根目录下有ANTO隐藏文件
双击硬盘也会导致病毒运行请大家点右键--打开
修改注册表
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Death.exe"="C:\WINDOWS\system32\Death.exe"
[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000
搜索尝试关闭杀毒软件以及辅助软件的窗口
尝试关闭杀毒软件以及辅助软件等进程
搜索感染除系统盘以外的 .exe/.scr 文件.
受感染的 .exe/.scr 文件直接被替换.. 大小为:81,928 字节 ..这样一来所有的 .exe/.scr 文件全部无法恢复.运行被感染的exe文件后，将释放病毒！
可以通过区域网传播(death.exe)
手动删除方法：
1：关闭系统还原清空IE临时文件夹
2：进安全模式
终止进程Death.exe进程
3：用XDELBOX软件钩上抑制再生后删除以下文件：
C:\WINDOWS\system32\Death.exe
C:\WINDOWS\system32\Supervise.exe
C:\WINDOWS\system32\Death.SiShen
C:\WINDOWS\system32\Death.SiShen
4：打开SRENG软件在启动中删除以下启动：
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Supervise.exe"="C:\WINDOWS\system32\Supervise.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
"Death.exe"="C:\WINDOWS\system32\Death.exe" .
------SRENG软件在系统修复--全选--修复
-----或者打开注册表开始运行--REGEDIT-修改项直
HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1
------有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了（步骤：删除此CheckedValue键值，单击右键新建——Dword值——命名为“CheckedValue”，修改键值为1）
--重起
------手动删除每个盘下面的AUTO隐藏文件
------重起（不要点被感染的EXE、SCR文件！！）
------安全模式下杀毒软件扫描删除病毒残留感染文件以及配合360修复系统
--重起 OK

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第5楼

大中小

使用道具

发表于 2007-11-30 09:58 资料短消息加为好友

auto.exe病毒

AUTO病毒又称“落雪病毒”。症状如下：
症状1：每个盘符双击都打不开，点鼠标右键出现“AUTO”字样
症状2：用了AUTO专杀工具后，每个盘符出现“拒绝访问”字样。
症状3：同时按【Ctrl】【Alt】【Del】三个键，在出现的菜单中选择【任务管理器】，在打开的任务管理器菜单中，选择【进程】，在【进程】菜单中，仔细查找SXS或者SVOHOST（注意不是SVCHOST），然后结束这两个文件的进程，此时马上可以使用较新的杀毒软件查杀该项病毒了。
症状4：每个盘符中出现sys.exe文件。（直接删掉）
解决方法：
attrib -h -r -s c:\sxs.exe
del c:\sxs.exe
attrib -h -s -r c:\autorun.inf
del c:\autorun.inf
attrib -h -r -s d:\sxs.exe
del d:\sxs.exe
attrib -h -s -r d:\autorun.inf
del d:\autorun.inf
attrib -h -r -s e:\sxs.exe
del e:\sxs.exe
attrib -h -s -r e:\autorun.inf
del e:\autorun.inf
attrib -h -r -s f:\sxs.exe
del f:\sxs.exe
attrib -h -s -r f:\autorun.inf
del f:\autorun.inf
attrib -h -r -s g:\sxs.exe
del g:\sxs.exe
attrib -h -s -r g:\autorun.inf
del g:\autorun.inf
把这个复制到记事本下，另存为*.bat批处理文件，然后执行
希望能帮到你

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第6楼

大中小

使用道具

发表于 2007-11-30 10:03 资料短消息加为好友

跟5楼：
现在网上主要的专杀工具有两个:RavMonE Killer和江民的落雪专杀TrojanKiller。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第7楼

大中小

使用道具

发表于 2007-11-30 10:10 资料短消息加为好友

杀virus.vbs.agent.r

关闭系统还原清空临时文件夹；重启，安全模式下删除*.vbs；还原注册表,重启～

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第8楼

大中小

使用道具

发表于 2007-11-30 10:13 资料短消息加为好友

清除Trojan.DL.Script.JS.Agent.lpv

症状：
每次杀完毒后,一打开IE又瑞星又报告发现Trojan.DL.Script.JS.Agent.lpv了,随后还有个Trojan.DL.Script.JS.Small.a
Trojan.DL.IEFrame.ay
Hack.SuspiciousAui等病毒
路径是:
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\
C:\Documents and Settings\Administrator\Local Settings\Temp\...到现在为止我还被他虐待中呀．每次打开IE或刷新都会弹出这个．

解决方法：
将window-system32中的wscript.exe文件删掉！

[ 本帖最后由钱車于 2007-11-30 10:15 编辑 ]

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第9楼

大中小

使用道具

发表于 2007-11-30 10:21 资料短消息加为好友

搞定fltuai.exe和kpuhdxi.exe病毒

ffltuai.exe和kpuhdxi.exe解决方法，中毒后开机提示ie内存错误，ＩＥ打开自动关闭，进程里ffltuai.exe和kpuhdxi.exe，两个进程，结束后有自动启动，有杀毒软件屏蔽，程序打开错误，什么程序都启不动，硬盘点击右键盘，有自动播放，用usb专杀工具是杀不了（因为根本就启不动），电脑自动关闭，重装操作系统无效，除非全部格式化硬盘（太不划算了），文件全部破坏（我的80G有50G破坏）娃娃我在网上找了1天找到最合适的解决方法，
1.打开IE后结束ffltuai.exe和kpuhdxi.exe的进程树(是进程树而不是进程,因为这两个进程互相保护,你无法结束进程。你试着结束其中的一个进程树，不行就结束另一个的进程树，保证已经将其进程结束）选择其中一个进程，点击右键，可以结束。
2.现在到网上去找个能修复进入安全模式的东东吧(不进行第一步会关IE,因为此病毒镜像劫持很多的exe和dll文件。如果你电脑里已经有了,可以不进行第一步)下载一个修复安全模式的文件，如果不下载安全模式修复绝对不去。开机是不停的按F8。
（注意要先结束树形进程,然后修复安全模式，不然先修复安全然后结束进程，病毒会破坏修复安全模式的文件。）
3.重启进入带命令提示符的安全模式。
4.执行如下操作
cd c:\program files\common files\microsoft shared
del /s/f/q/a kpuhdxi.exe
cd c:\program files\common files\system
del /s/f/q/a ffltuai.exe
这些命令像我这种菜鸟不会输入，在输入的时候不知道那些地方有空格，经常错误，命令提示找不到指定的盘符，害我从没进图书馆在图书馆里找了一大早资料，终于早到了解决方法，先复制命令，然后新建文件文本文档粘贴进去保存
然后改名，改成1.bat.。放在u盘里，记住（u）盘的盘符（如I, f,看你自己电脑是什么咯）
然后重复1，2，3，步。
进入带命令的安全模式后，不要动
输入cd\按回车
输入cd\i:1.bat(i:是看自己的盘符了)
如果成功后就可以看见有删除成功的提示
完成后重启电脑，用360安全卫视查杀，有很多ed什么的木马（没记错应该有13个木马），删除。Ok
最后还有，到金山网站下载一个av木马专杀工具，查杀。有2个木马，搞定。

钱車

超级版主

UID 2
精华 62
积分 12439
帖子 3995
威望 1377
金钱 605
贡献 71
阅读权限 150
注册 2007-6-5
来自会宁头寨
状态离线

第10楼

大中小

使用道具

发表于 2007-11-30 10:22 资料短消息加为好友

搞定fltuai.exe和kpuhdxi.exe病毒

ffltuai.exe和kpuhdxi.exe解决方法，中毒后开机提示ie内存错误，ＩＥ打开自动关闭，进程里ffltuai.exe和kpuhdxi.exe，两个进程，结束后有自动启动，有杀毒软件屏蔽，程序打开错误，什么程序都启不动，硬盘点击右键盘，有自动播放，用usb专杀工具是杀不了（因为根本就启不动），电脑自动关闭，重装操作系统无效，除非全部格式化硬盘（太不划算了），文件全部破坏（我的80G有50G破坏）娃娃我在网上找了1天找到最合适的解决方法，
1.打开IE后结束ffltuai.exe和kpuhdxi.exe的进程树(是进程树而不是进程,因为这两个进程互相保护,你无法结束进程。你试着结束其中的一个进程树，不行就结束另一个的进程树，保证已经将其进程结束）选择其中一个进程，点击右键，可以结束。
2.现在到网上去找个能修复进入安全模式的东东吧(不进行第一步会关IE,因为此病毒镜像劫持很多的exe和dll文件。如果你电脑里已经有了,可以不进行第一步)下载一个修复安全模式的文件，如果不下载安全模式修复绝对不去。开机是不停的按F8。
（注意要先结束树形进程,然后修复安全模式，不然先修复安全然后结束进程，病毒会破坏修复安全模式的文件。）
3.重启进入带命令提示符的安全模式。
4.执行如下操作
cd c:\program files\common files\microsoft shared
del /s/f/q/a kpuhdxi.exe
cd c:\program files\common files\system
del /s/f/q/a ffltuai.exe
这些命令像我这种菜鸟不会输入，在输入的时候不知道那些地方有空格，经常错误，命令提示找不到指定的盘符，害我从没进图书馆在图书馆里找了一大早资料，终于早到了解决方法，先复制命令，然后新建文件文本文档粘贴进去保存
然后改名，改成1.bat.。放在u盘里，记住（u）盘的盘符（如I, f,看你自己电脑是什么咯）
然后重复1，2，3，步。
进入带命令的安全模式后，不要动
输入cd\按回车
输入cd\i:1.bat(i:是看自己的盘符了)
如果成功后就可以看见有删除成功的提示
完成后重启电脑，用360安全卫视查杀，有很多ed什么的木马（没记错应该有13个木马），删除。Ok
最后还有，到金山网站下载一个av木马专杀工具，查杀。有2个木马，搞定。