超级军网俺的机器也中毒了
来源:百度文库 编辑:超级军网 时间:2024/04/28 17:17:28
俺的机器很荣幸的中毒了(W32.RONTOKBRO@MM),正版的诺顿却只能压制,不能根本清除。大家行个好,出个招吧俺的机器很荣幸的中毒了(W32.RONTOKBRO@MM),正版的诺顿却只能压制,不能根本清除。大家行个好,出个招吧
看盘子给乃滴shoushou视频 是要付出代价滴 :D 恭喜发财...
FORMAT[:a4:]
寂寞高手 发表于 2010-3-2 23:14 
不成,有用的文件里也有毒
不成,有用的文件里也有毒
我的机器从来就没干净过,最多杀出500个木马:D
用企业版的麦咖啡实验一哈
不为人知 发表于 2010-3-2 23:17
请购买国产正版江民
请购买国产正版江民
备份重要信息然后把硬盘装到别的机子上用avast试试
备份重要信息然后把硬盘装到别的机子上用avast试试
下了个江民,查出来7544个坏蛋。。。
用360…它会帮你把文件全删掉…
不为人知 发表于 2010-3-3 01:53
夜不为!!
夜不为!!
这就是没有备份的下场哈{:jian:} 同情一下{:cha:}
首先,进入“带命令行的安全模式”
删除下面列出的所有文件或文件夹:
删除c:\WINDOWS\prefetch文件夹
删除下列文件:
C:\WINDOWS\
目录下的:eksplorasi.exe
C:\WINDOWS\system32
目录下的三个文件(有则删,无则PASS):
winword.exe
winlog.dat
计算机用户名's Setting.scr (注:文件名因机子而异,注意分辨,其伪装成的是屏幕保护程序,可按类型排列文件后容易找出)
C:\Documents and Settings\Administrator\Local Settings\Application Data\
目录下的这六个文件(注意:这六个文件的图标为文件夹图标,不仔细看双击后即会启动病毒文件,前功尽弃!!!须从头再来……):
csrss.exe
inetinfo.exe
lsass.exe
services.exe
smss.exe
winlogon.exe
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\
目录下的:Empty.pif
C:\Documents and Settings\Administrator\Templates\
目录下的:Brengkolang.com
C:\Windows\ShellNew\
目录下的:sempalong.exe
然后,点“开始”——“运行”,在输入栏中输入:regedit
打开注册表,删除下面的相应键值:
删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]主键下的如下键值(有则删,无则PASS):
"Bron-Spizaetus" = ""%Windir%\ShellNew\sempalong.exe""
"Tok-Cirrhatus" = "%UserProfile%\Local Settings\Application Data\smss.exe""
"OSA" = "%System%\winword.exe"
"LoadService" = "Rest In Peace"
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]主键下的如下键值(有则删,无则PASS):
"Shell" = "Explorer.exe "%Windir%\eksplorasi.exe"
删除[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]主键下的如下键值(有则删,无则PASS):
"C:\\WINDOWS\\eksplorasi.exe"="eksplorasi"
删除[HKEY_USERS\S-1-5-21-448539723-1409082233-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]主键下的如下键值
(有则删,无则PASS):
"C:\\WINDOWS\\eksplorasi.exe"="eksplorasi"
删除[HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Pradana]的Pradana主键
删除[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]主键下的如下键值(有则删,无则PASS):
"DisableRegistryTools" = "1"
"DisableTaskMgr" = "1"
最后重新启动计算机,应该就会好了。
其他方法:(似乎只是不受病毒骚扰,但没有删除病毒文件……)
方法二
1.先在任务管理器中结束所有winword.exe的进程,特别是你没有打开任何word文档,却有这个进程时。
2.然后搜索所有名为kangen的文件,找到后全都删除。还有在c:\windows\prefetch这个文件夹中也删了。
3.然后就没问题了。
对于染此病毒后“文件夹选项”会消失这点:
杀毒后可以在开始运行中输入gpedit.msc
点击左边“用户配置”中的“管理模板”——“Windows组件”——“Windows资源管理器”,然后双击右边“从“工具”菜单删除“文件夹选项”菜单”一项。
点击“已禁用”,然后确定即可恢复“文件夹选项”。
删除下面列出的所有文件或文件夹:
删除c:\WINDOWS\prefetch文件夹
删除下列文件:
C:\WINDOWS\
目录下的:eksplorasi.exe
C:\WINDOWS\system32
目录下的三个文件(有则删,无则PASS):
winword.exe
winlog.dat
计算机用户名's Setting.scr (注:文件名因机子而异,注意分辨,其伪装成的是屏幕保护程序,可按类型排列文件后容易找出)
C:\Documents and Settings\Administrator\Local Settings\Application Data\
目录下的这六个文件(注意:这六个文件的图标为文件夹图标,不仔细看双击后即会启动病毒文件,前功尽弃!!!须从头再来……):
csrss.exe
inetinfo.exe
lsass.exe
services.exe
smss.exe
winlogon.exe
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\
目录下的:Empty.pif
C:\Documents and Settings\Administrator\Templates\
目录下的:Brengkolang.com
C:\Windows\ShellNew\
目录下的:sempalong.exe
然后,点“开始”——“运行”,在输入栏中输入:regedit
打开注册表,删除下面的相应键值:
删除[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]主键下的如下键值(有则删,无则PASS):
"Bron-Spizaetus" = ""%Windir%\ShellNew\sempalong.exe""
"Tok-Cirrhatus" = "%UserProfile%\Local Settings\Application Data\smss.exe""
"OSA" = "%System%\winword.exe"
"LoadService" = "Rest In Peace"
删除[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]主键下的如下键值(有则删,无则PASS):
"Shell" = "Explorer.exe "%Windir%\eksplorasi.exe"
删除[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]主键下的如下键值(有则删,无则PASS):
"C:\\WINDOWS\\eksplorasi.exe"="eksplorasi"
删除[HKEY_USERS\S-1-5-21-448539723-1409082233-725345543-500\Software\Microsoft\Windows\ShellNoRoam\MUICache]主键下的如下键值
(有则删,无则PASS):
"C:\\WINDOWS\\eksplorasi.exe"="eksplorasi"
删除[HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Pradana]的Pradana主键
删除[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]主键下的如下键值(有则删,无则PASS):
"DisableRegistryTools" = "1"
"DisableTaskMgr" = "1"
最后重新启动计算机,应该就会好了。
其他方法:(似乎只是不受病毒骚扰,但没有删除病毒文件……)
方法二
1.先在任务管理器中结束所有winword.exe的进程,特别是你没有打开任何word文档,却有这个进程时。
2.然后搜索所有名为kangen的文件,找到后全都删除。还有在c:\windows\prefetch这个文件夹中也删了。
3.然后就没问题了。
对于染此病毒后“文件夹选项”会消失这点:
杀毒后可以在开始运行中输入gpedit.msc
点击左边“用户配置”中的“管理模板”——“Windows组件”——“Windows资源管理器”,然后双击右边“从“工具”菜单删除“文件夹选项”菜单”一项。
点击“已禁用”,然后确定即可恢复“文件夹选项”。
多谢12楼
不行再说.
不为人知 发表于 2010-3-2 14:49
不客气哈{:jian:}
不客气哈{:jian:}
清理了。截至目前为止还没有再犯
借机BS一下16楼GDH!:D
借机BS一下16楼GDH!:D
{:3_86:}路过
绊倒...
爬起……
拍黑砖
狗娃净在捞分,呼唤大版手抖狗娃!
不为人知 发表于 2010-3-2 16:07
不用BS,注意备份哈,比如这个。。。 {:Bingo:}
不用BS,注意备份哈,比如这个。。。 {:Bingo:}
赛门铁克的产品都是只隔离不删除(防止数据和重要文件丢失),楼主用sreng扫一个log贴出来,我再告诉你怎么删除病毒
备份,格了吧~
诺顿其实不咋地
天气预报 发表于 2010-3-3 03:44
偶X
你个gdh也用这个?
安装了,又删了
现在用Synctoy手动备份
偶X
你个gdh也用这个?
安装了,又删了
现在用Synctoy手动备份
换硬盘,低格:D
imccainiao 发表于 2010-3-3 17:32
{:jian:}诺顿最强大的功能就是让你知道你的计算机中毒了
{:jian:}诺顿最强大的功能就是让你知道你的计算机中毒了
qianjizhao 发表于 2010-3-3 03:37
很好用啊,用Intel SS4200-E 装上WHS,再配上Lights-Out Add-In,又省电又方便。WHS 2.0 今年就要发布了,准备把另一台 SS4200-E 也换下 EMC。
很好用啊,用Intel SS4200-E 装上WHS,再配上Lights-Out Add-In,又省电又方便。WHS 2.0 今年就要发布了,准备把另一台 SS4200-E 也换下 EMC。
天气预报 发表于 2010-3-3 13:48
我是用t2400+aopen i945gmm-hl+8400gs{:jian:}
WHS是买的oem版{:hao:}
高清server2不误
等我买了新硬盘就再装whs{:yan:}
我是用t2400+aopen i945gmm-hl+8400gs{:jian:}
WHS是买的oem版{:hao:}
高清server2不误
等我买了新硬盘就再装whs{:yan:}
俺没撒方法
不过楼主为啥不解释一下是咋中毒的捏 :D
不过楼主为啥不解释一下是咋中毒的捏 :D
公司的机器哈
俺就帮着看着
俺就帮着看着
一个月格一次盘的飘过
qianjizhao 发表于 2010-3-3 07:51
这个不太好吧。第一WHS好像不喜欢多媒体数据直接在服务器DataDrivePool里修改,会有Corruption。第二,服务器常开,最好用地耗电的专业设计硬件。第三,服务器当台式机用对于数据安全不好啊。:handshake
这个不太好吧。第一WHS好像不喜欢多媒体数据直接在服务器DataDrivePool里修改,会有Corruption。第二,服务器常开,最好用地耗电的专业设计硬件。第三,服务器当台式机用对于数据安全不好啊。:handshake
天气预报 发表于 2010-3-3 16:37
所以我现在不用whs
用xp了
备份也就用synctoy{:3_87:}
所以我现在不用whs
用xp了
备份也就用synctoy{:3_87:}
回复 36# qianjizhao
用WHS还原十分方便(Win7除外,要多几个步骤)。我笔记本硬盘升级,就用WHS先备份,然后换上新硬盘,WHS RecoverDVD一启动,2个小时就把原来所有的程序和数据还原,还连带自动扩展硬盘。这个最好要在Gigabit Network 里运行,快多了。我主要用WHS做两个功能,备份和Streaming Bluray 到 PS3。{:jian:}
用WHS还原十分方便(Win7除外,要多几个步骤)。我笔记本硬盘升级,就用WHS先备份,然后换上新硬盘,WHS RecoverDVD一启动,2个小时就把原来所有的程序和数据还原,还连带自动扩展硬盘。这个最好要在Gigabit Network 里运行,快多了。我主要用WHS做两个功能,备份和Streaming Bluray 到 PS3。{:jian:}