微点交流论坛

标题: 请求帮忙解决这个病毒。不胜感激！ [打印本页]

作者: dlzk 时间: 2008-3-3 13:26 标题: 请求帮忙解决这个病毒。不胜感激！

最近电脑不知怎么中了一个很严重的病毒。症状如下：
1.首先，卡巴斯基等杀毒软件无法运行。
2.无法进入安全模式，总是出现蓝屏。
3.无法查看隐藏文件。
4.重装了N次系统后，终于发现除了C盘之外，其他盘的根目录也有病毒文件，分别是文件名为pagefile的dos图标样式的文件和autorun.inf的文件。该两个文件均是隐藏的。因为无法看到和无法进入安全模式，而无法删除。
5.系统进程有好多病毒程序，结束进程之后系统即崩溃，疯狂自动重启:(
基本的症状就这么多了，实在没办法解决了，已经装过5次系统了。但还是不行。因此，望各位高手、版主帮忙解决。
谢谢！

作者: y0365 时间: 2008-3-3 13:28
有没有安装微点试试看

作者: dlzk 时间: 2008-3-3 13:42
今天晚上回去装上试试，这几天电脑由于病毒，启动不起来，总是自动重启。我都没法用了。晚上回去装次系统。唉，希望能进入安全模式、。

作者: y0365 时间: 2008-3-3 13:43
恩，如果再有问题，可继续发帖

作者: images 时间: 2008-3-3 14:04
重装后先把其他盘符右键打开删除autorun.inf及pagefile文件，然后立即重启。

[ Last edited by images on 2008-3-3 at 14:38 ]

作者: dsl5 时间: 2008-3-3 18:57
楼主下次不用急着把autorun.inf及pagefile这类病毒文件删除,先打包样本发送给微点,如果重装系统后未装winrar,可以直接把扩展名改为rar发送即可!

作者: dsl5 时间: 2008-3-3 19:09
无法进入安全模式看这里http://bbs.micropoint.com.cn/showthread.asp?tid=11538&fpage=1

作者: dlzk 时间: 2008-3-3 19:21
还是不行啊 .无法进入安全模式

作者: Legend 时间: 2008-3-3 19:29

Quote:

Originally posted by dlzk at 2008-3-3 19:21:
还是不行啊 .无法进入安全模式

您可以加我们的官方在线管理员的QQ：466248167，附上您的这个帖子地址，让他协助您处理一下。

作者: dlzk 时间: 2008-3-3 19:32
谢谢您的回复.刚装过系统,就挂了.郁闷

作者: dlzk 时间: 2008-3-3 19:42
哇,崩溃了..我的qq跟他的聊天窗口打不开,,总是自动关闭.跟其他人的没事.这是为什么?

作者: Legend 时间: 2008-3-3 19:48

Quote:

Originally posted by dlzk at 2008-3-3 19:42:
哇,崩溃了..我的qq跟他的聊天窗口打不开,,总是自动关闭.跟其他人的没事.这是为什么?

您的邮箱地址是多少？通过论坛短消息发送给我。
我让他发送几个注册表文件给您，导入后，请尝试重启进安全模式，并使用我们官方网站上现在最新版的安装包安装微点试试（请先下载解压好，进入安全模式后安装）。

作者: dlzk 时间: 2008-3-3 20:03
哎.明天上班时再聊吧.今晚看来是打不开跟他的聊天窗口了.
我刚装完系统时,用cmd的命令删除了 d、e、f、g盘的pagefile.pif的文件。可是一打开d盘。病毒就全回来了，隐藏文件也无法察看了。

作者: Legend 时间: 2008-3-3 20:03
好的，请您在联系他的时候附上这个帖子的地址。

作者: tustin 时间: 2008-3-3 22:36
这是中了映像类劫持病毒

作者: dlzk 时间: 2008-3-4 09:58

Quote:

Originally posted by tustin at 2008-3-3 22:36:
这是中了映像类劫持病毒

请问应该如何解决呢？

我试了微点论坛上提供的解决进入安全模式的问题，可是电脑还是没能进入安全模式。病毒也无法查杀。
我的信箱是[email]libiaohn@***.com[/email]

[ Last edited by Legend on 2008-3-4 at 10:31 ]

作者: freedom11 时间: 2008-3-4 10:36
楼主可以按照以下步骤进行操作：
1、修复安全模式，首先建立一个文本文件（txt文件）将下边的信息复制到文本文件中然后保存
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot\\Minimal\\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@=\\\"DiskDrive\\\"
将保存的文本文件的扩展名修改成reg，然后双击导入注册表后重启机器
2、进安全模式下修复系统：
在一个正常的系统下将HKEY_LOCAL_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows
NT\\\\CurrentVersion\\\\Image File Execution
Options注册表项导出，再导入此注册表项到中病毒的机器，然后重启，微点应该就能起来了，最后可以利用微点的程序生成日志和注册表变更日志清除残余文件

作者: dsl5 时间: 2008-3-4 10:41
楼主打开进程管理器,把可疑进程的名字用记事本记录下来,然后打开系统的搜索功能搜索这些程序的位置,直接在搜索窗口里面添加压缩并复制压缩包出来桌面,发送到virus@micropoint.com.cn并附带这个连接

目前由于不清楚这个病毒是怎样封锁安全模式,所以抢样本出来为第一要务!

只要样本发了出来就不用怕了,后面如果没什么重要资料就直接全盘重新分区重装而不要简单地覆盖安装或者ghost!(当然前提是要准备好所有硬件的驱程那张碟)

QQ建议不要再上,如果是要远程协助就新申请一个号

[ Last edited by dsl5 on 2008-3-4 at 10:45 ]

作者: rota1224 时间: 2008-3-4 10:50
导入注册表后不要按平常的方法关机，直接冷启，或者立即拔掉电源，之后再开机，应该可以进入安全模式

作者: dsl5 时间: 2008-3-4 10:54

Quote:

Originally posted by rota1224 at 2008-3-4 10:50:
导入注册表后不要按平常的方法关机，直接冷启，或者立即拔掉电源，之后再开机，应该可以进入安全模式

同意;)直接按重启那个按钮入安全模式，成功几率应该有60%

[ Last edited by dsl5 on 2008-3-4 at 11:05 ]

作者: images 时间: 2008-3-4 11:11
rem 结束病毒进程
taskkill /f /im pagefile.exe /t

rem 删除系统目录下的病毒文件
del %SystemDrive%\autorun.inf /f /s /q /a:-
del %SystemDrive%\pagefile.exe /f /s /q /a:-

rem 删除其它非系统盘符根目录下的病毒文件
for %%f in (autorun.inf,pagefile.exe) do (
for /D %%d in (c,d,e,f,g,h,i,j,k) do (
   if exist %%d:%%f (
   attrib -s -h -r %%d:%%f
   del %%d:%%f /q
   )
)
)

rem 添加进入安全模式的注册表项
reg add "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /v @ /d DiskDrive /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /v @ /d DiskDrive /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}" /v @ /d DiskDrive /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}" /v @ /d DiskDrive /f
cls

rem 添加显示文件夹选项以及显示隐藏文件的注册表项
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoLogoff /t reg_dword /d 0 /f
reg add "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v NoFolderOptions /t reg_dword /d 0 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN" /v Text /d "@shell32.dll,-30501" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v CheckedValue /t reg_dword /d 1 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v DefaultValue /t reg_dword /d 2 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v HelpID /d "shell.hlp#51105" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v HKeyRoot /t reg_dword /d 2147483649 /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v RegPath /d "Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v Text /d "@shell32.dll,-30500" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v Type /d "radio" /f
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL" /v ValueName /d "Hidden" /f
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v Hidden /d 1 /f
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v HideFileExt /d 0 /f
reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowSuperHidden /d 1 /f
cls

rem 劫持并免疫病毒程序
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\pagefile.exe" /v debugger /t reg_sz /d pagefile.exe /f

作者: tustin 时间: 2008-3-4 19:47
我来晚了，已经有高手为你支招了，呵呵

作者: dlzk 时间: 2008-3-5 09:40
呵呵，感谢楼上好心兄弟们的解决方法，目前我的电脑已经彻底杀掉了病毒。
不过到现在我还是不清楚我的病毒是如何删除掉的，否则也可以把我的经过贴出来了。让大家有个借鉴。
总之，感谢微点社区！感谢好心的版主与社友！~

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn