Board logo

标题: 中了Virus.Win32.Xorer.kc,寻求解决方法 [打印本页]
作者: 剑倚红尘     时间: 2008-3-17 15:27    标题: 中了Virus.Win32.Xorer.kc,寻求解决方法

正常模式下安装微点就死机,安全模式进不去(一进就重启)。
按照论坛里的方法:

首先建立一个文本文件(txt文件)将下边的信息复制到文本文件中然后保存

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@=\"DiskDrive\"

将保存的文本文件的扩展名修改成reg,然后双击导入注册表后重启机器。

还是进不了安全模式
其它装有微点的机器报Virus.Win32.Xorer.kc
有什么办法解决么?机器里有很多专业软件,没法重装。
作者: images     时间: 2008-3-17 15:39
把HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager下的PendingFileRenameOperations 值删除掉,让它的重启重命名失效!
然后直接冷启动,把内存中的病毒杀死;
重启后,先别双击打开盘符
CMD 命令行下
attrib -a-s-h c:\autorun.inf
del c:\autorun.inf
attrib -a-s-h c:\pagefile.pif
del c:\pagefile.pif
循环输入你的d: e: f: h:等
文件删除。
再次重启尝试安装微点。
作者: jimice     时间: 2008-3-17 16:36
呵呵,又学了一点,不错!~
作者: 剑倚红尘     时间: 2008-3-18 09:22
不管用啊
把HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager下的PendingFileRenameOperations 值删除掉
还是进安全模式重启
进正常模式病毒运行,注册表里又有那个了。
作者: 剑倚红尘     时间: 2008-3-18 09:40
救命啊,谁有啥好办法?
作者: vilanden     时间: 2008-3-18 09:44
试一下这个方法:
先下载avast安装,在安装的提示里面选择开机预处理,等它重启成功后再安微点。
作者: 046569     时间: 2008-3-18 09:47
用wsyscheck最新的版本构建安全环境,然后修复安全模式。接着导入那个注册表文件并重启至安全模式安装微点。如果还有困难,PM我。
如果之前就安装微点做好防御的话,恐怕就没那么多事了。
作者: images     时间: 2008-3-18 09:51


  Quote:
Originally posted by 剑倚红尘 at 2008-3-18 09:22:
不管用啊
把HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager下的PendingFileRenameOperations 值删除掉
还是进安全模式重启
进正常模式病毒运行,注册表里又有那个了。

这个不是处理进安全模式的,这几个步骤要一起做,你只做了第一步当然没用。
按照顺序把那几个步骤全部操作。
作者: dsl5     时间: 2008-3-18 10:31
楼主请到http://www.zhulinfeng.com/bbs/ShowPost.asp?ThreadID=31下个狙剑

带-w参数启动,作用:启动时开启禁止窗口查询,以防恶意程序通过发送消息来关闭狙剑。

用狙剑里带的注册表编辑器修改HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}

然后利用狙剑的冰封系统功能封锁系统(或者选锁定注册表),期间如果狙剑提示有任何程序修改注册表都统统拦截下来!

冷重启,看看能不能进安全模式!
作者: 剑倚红尘     时间: 2008-3-18 15:00


  Quote:
Originally posted by images at 2008-3-18 09:51:


这个不是处理进安全模式的,这几个步骤要一起做,你只做了第一步当然没用。
按照顺序把那几个步骤全部操作。

:(全部做完也没用
冷启动后注册表里又多出那个键值
病毒仍驻留内存,简单的DOS命令无法将其删除。
作者: 剑倚红尘     时间: 2008-3-18 15:05
:lol:我用一个笨办法解决了
拿优盘在中毒机上用一下,再插到装有微点的机器上
报病毒名称,经查询为磁碟机
下载磁碟机专杀
病毒很狡猾,专杀启动几秒内就会被关闭。

:lol:

我手比病毒快,还没被关掉就点了查杀,病毒在内存中拒绝被删除,专杀建议重启杀毒,然后第一时间点确定(连查带确定在一秒内完成,晕)

重启后专杀干得很好,explore加载前就启动并杀毒了。

搞定后装微点,重启,不断报毒,点确定手都麻了,改为静默处理。。。。

:P
作者: 剑倚红尘     时间: 2008-3-18 15:08


  Quote:
Originally posted by 046569 at 2008-3-18 09:47:
用wsyscheck最新的版本构建安全环境,然后修复安全模式。接着导入那个注册表文件并重启至安全模式安装微点。如果还有困难,PM我。
如果之前就安装微点做好防御的话,恐怕就没那么多事了。

装微点的机器上运行病毒,不会中毒,但安全模式似乎不行了,还得下专杀修复。。。。。。
作者: senw123     时间: 2008-3-18 15:22    标题: 好样的,都是高手

又学到点东东啊.你的方法是个很好的办法哦
作者: tommy     时间: 2008-3-21 14:14
不知道用光盘启动WIN PE系统进去有没有办法解决??



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn