quietbug
新手上路
积分 7
发帖 7
注册 2007-6-21
|
#1 厉害的vffwmo+haol23(终获解决)
木马nuphh.dll删除不掉,超厉害的病毒!
我也遇到了类似的问题!
不过我个人觉得那个文件名应该是随机产生的,在我的机器里,那个文件叫做vffwmo.dll。
事情是这样的:
现在这台机器因为经常有家人使用,所以系统中我同时安装了瑞星和微点,经升级都是最新版本。
因为最近加班比较多,经常不在家,机器疏于打理!这几天在家使用时,发现机器运行速度比较慢,感觉在每打开什么窗口时,好像因为两个杀软都在描述所以速度非常慢!
这应该说是一个很正常的猜想!但其实不然,因为我做过很多次试验,瑞星和微点放在同一个系统中一般没有什么影响,虽然有时候速度会变慢,但决不是我遇到的这个样子!
同时,我发现,机器默认主页不再是空白页,而是这个什么 http://www.*****/?a02//
而且瑞星防火墙和卡卡上网助手无法升级,总是提示无法下载索引,要求换一个时间,且无法通过ID号访问瑞星服务专区以下载更新版文件,卡卡社区也无法访问,经查应该是病毒通过什么途径将这些内容给屏蔽了!
每次开机,微点提示发现vffwmo.dll为病毒,提示删除,但怎么也删不掉,不断弹出提示,随后提示微点的一个什么M什么2的常驻文件出错。
瑞星杀毒可以正常升级,因为整个机器速度慢,终于艰难又手动升级为最高版本后,将微点反安装!
重起后,瑞星发现病毒vffwmo.dll,但无法删除,机器速度恢复正常!
使用Unlocker终于将其解锁后删除,但故事未完。
被恶意修改的主页,不论怎么清除注册表、使用卡卡上网助手、解除应用程序劫持项,都不行!
甚至终止"Remote Registry"服务选项,但是到现在也未果!
[ Last edited by quietbug on 2007-6-21 at 08:54 ]
| |
※ ※ ※ 本文纯属【quietbug】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-6-21 02:38 |
|
gh_80000
注册用户
积分 192
发帖 174
注册 2007-2-4
|
#2
1.域名劫持,当访问一些安全站点时将自动跳转到一个仿hao123的页面
2.自动保护,常规方法有可能无法彻底删除.
3.隐藏启动
解决方法:
1:打开微点主界面,系统分析→系统自启动信息→在页面点右键→隐藏已知的启动信息→右键点你认为有可疑的其他自启动项→删除文件与自启动项或者仅删除自启动项.然后重新启动电脑.
2:如果还不能解决的话下个专杀工具,下载地址:http://bbs.360safe.com/viewthrea ... &extra=page%3D1 查杀完毕重新启动电脑.
3:下个360安全卫士,把电脑里的恶意流氓软件彻底清理一次.下载地址:http://www.360safe.com/?uid=1&pid=h_home
[ Last edited by gh_80000 on 2007-6-21 at 03:39 ]
| |
※ ※ ※ 本文纯属【gh_80000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
[size=3][color=red]XP_SP2电脑公司经典版8.0 CPU1.7GHz256MB 微点程序版本:最新[/color][/size] |
|
|
|
2007-6-21 03:13 |
|
gh_80000
注册用户
积分 192
发帖 174
注册 2007-2-4
|
#3
建议LZ试下:
1:关闭瑞星防火墙和卡卡助手.(为了系统运行更流畅,最好删了瑞星及卡卡,说白了中看不中用还占系统资源.).单用微点并且打开微点自带的防火墙,把防火墙规则包设置成五(微点完全能够胜任保护你的电脑).
2:如果安装了360安全卫士也设置不随机启动,用时打开清理下电脑里的恶意流氓软件和插件.
3:养成良好的上网习惯,每次(或几天)关机前清理下系统.
以上只是建议,谨供LZ参考.
另:将文件vffwmo.dll压缩发到virus@micropoint.com.cn,让微点的技术人员具体测试分析下。
[ Last edited by gh_80000 on 2007-6-21 at 04:27 ]
| |
※ ※ ※ 本文纯属【gh_80000】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
[size=3][color=red]XP_SP2电脑公司经典版8.0 CPU1.7GHz256MB 微点程序版本:最新[/color][/size] |
|
|
|
2007-6-21 04:09 |
|
quietbug
新手上路
积分 7
发帖 7
注册 2007-6-21
|
#4
感谢楼上朋友的热心:)
但老实说,这些都是常规办法……
昨天弄到四点,也没有什么眉目!
现在已经使用多个杀软扫描机器(也摊上单位正版软件多,都是最新版),也都没有发现病毒。
现在机器除了首页被改,其他异常倒没有发现什么,呵,这感觉就好像机器被劫持过,但是解救下来后,那种恐怖的经历始终烙印在了记忆里!
不知道除了重装系统,现在这样的问题,是否还有什么能够解决的办法。
我也是微点的支持者!
呵,但现在有些病毒的手段简直到了令人发指的地步……
安全领域任重而道远!
| |
※ ※ ※ 本文纯属【quietbug】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-6-21 07:31 |
|
quietbug
新手上路
积分 7
发帖 7
注册 2007-6-21
|
#5
楼上的4199变种专杀工具提示没有发现恶意文件
这家伙厉害啊
几乎屏蔽了所有的杀软升级地址和相关网址
先前毒霸识别为飘雪变种P,经他不知所以的杀出后,情况依旧,不过他倒是不报警了!
[ Last edited by quietbug on 2007-6-21 at 08:03 ]
| |
※ ※ ※ 本文纯属【quietbug】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-6-21 07:51 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-6-21 08:02 |
|
quietbug
新手上路
积分 7
发帖 7
注册 2007-6-21
|
#7
感谢版主的回复!
现在情况被我弄得有点复杂,首先病毒文件因为删除已经不在了。
可能众多杀软还是起了些作用的,现在机器不管用谁,基本都提示无毒,也没有什么恶意文件。
但是主页被修改,却怎么也解决不了!
现在系统中,RUNNING / AUTO START 中也未见异常……
:)抓狂
(版主前面所说的通过微点修复注册表,是最早先试验过,没有效果)
[ Last edited by quietbug on 2007-6-21 at 08:13 ]
| |
※ ※ ※ 本文纯属【quietbug】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-6-21 08:12 |
|
quietbug
新手上路
积分 7
发帖 7
注册 2007-6-21
|
#8
C:\WINDOWS\system32\drivers\etc下的HOSTS文件都给删除掉了
情况依旧~~~
| |
※ ※ ※ 本文纯属【quietbug】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-6-21 08:28 |
|
quietbug
新手上路
积分 7
发帖 7
注册 2007-6-21
|
#9
无意中发现居然是这样的
狗东西
请原谅粗口
刚才看桌面
无意中发现桌面上IE的快捷方式图标大小居然有1,607字节
将现在的IE快捷方式转移到其它目录,再重新复制一个IE快捷出来,现在745 字节。
原来他把自己隐藏为IE的形式了,现在主页恢复正常!
:)真是有些佩服这些人了,搞笑!
| |
※ ※ ※ 本文纯属【quietbug】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-6-21 08:34 |
|
quietbug
新手上路
积分 7
发帖 7
注册 2007-6-21
|
#10
经过重起后,现在一切恢复正常!
杀软的升级也都正常,看上去也没有主页被篡改和程序被劫持的现象了。
专门抽时间搞这个,现在估计累计也用了十个小时,方法也用了很多,试验无所不及,呵,都不知道那些步骤起了作用。
但综合来看,现在问题基本得到解决!
:)
希望上面的步骤,对大家也能够有个参考!
现在的这些东西,实在是厉害,大家上网,多留心!
| |
※ ※ ※ 本文纯属【quietbug】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-6-21 08:52 |
|
