东方红旗
注册用户
积分 158
发帖 158
注册 2007-5-10 来自 北京东城
|
#1 如何解除对[下载者监视器]的病毒误报?[应该不是]
这几天,红旗发现电脑中SVCHOST.EXE进程有一个占用资源达100%,随即到百度中搜索解决之道,引用百度中的解决方法
Quote: | 如何清除svchost.exe病毒
svchost.exe本是一个系统进程,但是有N多病毒木马来伪装这个进程.以前网上说的svchost.exe这个病毒,是一个很简单的,但是今天这个是复杂的.也很难清理掉.
svchost.exe病毒症状:
1、刚开始,我发现进程里有N多svchost.exe,其中system为用户的是正常的,但是也有好多以administrator为用户的。
2、系统速度异常的慢,没有开任何IE,但是却有iexplore这个进程。重新启动还是有。
3、重装了系统之后(只格了C盘),以为问题解决,驱动装好后可问题依然存在。
4、在进程里把所有的以administrator为用户的svchost.exe进程结束,观察一段时间进程没有出来。然后我开我的FTP软件(flashFxp),进程马上就出来,而且ie进程也出来。
清除
svchost.exe
1、svchost.exe很恶意的病毒,用金山,江民,瑞星,虽然都显示已经清除,重启之后问题还是没解决。
2、我觉得肯定有一个文件是自己复制病毒,如:病毒被查的时候马上复制到另一个文件加,杀毒软件也没法,从svchost.exe病毒症状4来看,我觉得他自己可以自动下载网络上的病毒。
3、在用过一些专杀工具之后,问题还是没解决。
4、最后一招了:下载一个[下载者监视器](很好用的软件哦,
用他来监视有没有下载,运行这个下载者监视器之后,才知道每隔一段时间这个病毒会在网上自己下载病毒到用户电脑上来。当然,监视器会提示这种下载者是通过还是拒绝,我们选“否”。这下可以安心的杀毒了。
5、用在线杀毒功能,查出病毒所在,他的主要功能是可以找出一些病毒的路径(将记录的路径用一个记事本记下来,放桌面)
6、下载一个瑞星(用最新版的,下载地址:http://www.cisko.cn/Soft/ShowSoft.asp?SoftID=61 没有最新的版本,但是可以升级的,详细的看这个下载地址里的软件介绍)。
7、然后把其他的http://www.cisko.cn/Soft/ShowClass.asp?ClassID=1杀毒软件卸载掉。安装上瑞星,然后按瑞星杀毒软件里的说明来升级,破解的,可以升到最新版。可能后面会用到这些软件,请备一下:360安全卫士落雪专杀 以及其他一些专杀工具(下载地址:http://www.cisko.cn/Soft/Index.asp)
8、拔了网线(不怕一万,只怕万一),重新启动电脑,进入安全模式(电脑启动时按F8,有的板子不同请看主板说明书),进入按全模式之后,先根据步骤5里记录的病毒的路径将所以的病毒文件都删除掉。然后用上瑞星,卡卡助手和http://www.cisko.cn/Soft/ShowSoft.asp?SoftID=37 360安全卫士,和其他专杀工具(绝对有必要,因为svchost.exe下载了网络上的好多病毒,我们根本无法判断是些什么病毒)。其中有一个软件可以查出svchost.exe的,将他删除去。
9、仍然是在安全模式里:我们手动开始清除svchost.exe,首先进入到C:WINDOWS下,将svchost.exe删除去。(下一步小心)然后在电脑里搜索Sys。将Sys后面为自由组合的文件加全部删除,如:Sysdj2,C:\Syswm1i、C:\SysAd5D等等,这些文件夹有个共同特点,就是名称为 Sys*** (***是三到五位的随机字母),这种根本就不是系统的文件。打开注册表,展开注册表到以下位置:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run 54pe.com 删除右边所有用纯数字为名的键,如C:\SysDayN6\svchost.exe
C:\Syswm1i\svchost.exe
10、重新启动电脑,进入正常模式。看还有没有问题???
以上是我弄了好几天才搞出来的,麻烦死了。不知道有没有步骤没记住的。要是杀不了希望大家在网站上留言,说详细点。我可以帮助大家的。 |
|
其中[下载者监视器]被微点认为是病毒给干掉了
[ Last edited by 东方红旗 on 2007-5-30 at 20:48 ]
附件
1:
下载者监视器.jpg
(2007-5-21 17:28, 17.44 K,下载次数: 29)
附件
2:
微点容量.jpg
(2007-5-21 17:28, 71.3 K,下载次数: 44)
|
※ ※ ※ 本文纯属【东方红旗】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2007-5-21 17:28 |
|
segourigh
中级用户
新手上路
积分 251
发帖 237
注册 2006-2-19
|
#2
没中过这种,不过看了帖子觉得利用微点的进程分析可以轻易查出,予以删除,没这么麻烦吧?
|
※ ※ ※ 本文纯属【segourigh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2007-5-21 17:43 |
|
东方红旗
注册用户
积分 158
发帖 158
注册 2007-5-10 来自 北京东城
|
#3
红旗的意思是让微点设置一个信任软件管理的功能,不要删除[下载者管理器],否则不能对电脑在后台下载的程序进行监视
|
※ ※ ※ 本文纯属【东方红旗】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2007-5-21 17:58 |
|
segourigh
中级用户
新手上路
积分 251
发帖 237
注册 2006-2-19
|
#4
好像超版说过凡是微点报为已知木马的都是经过反复验证的确认的木马病毒,你看图片上已经报出确认的木马名称,为安全起见还是不要用这个吧。另外,微点有信任软件管理的功能,你点设置----可信程序设置----添加
|
※ ※ ※ 本文纯属【segourigh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2007-5-21 18:09 |
|
segourigh
中级用户
新手上路
积分 251
发帖 237
注册 2006-2-19
|
#5
不过,不清楚是否对已知木马有效....汗~~~~~~~~
|
※ ※ ※ 本文纯属【segourigh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2007-5-21 18:18 |
|
东方红旗
注册用户
积分 158
发帖 158
注册 2007-5-10 来自 北京东城
|
#6
谢谢你的答复,请版主测试一下这个才314K的小软件到底具备病毒特征吗?
下载地址
http://www.*****.html
[ Last edited by Legend on 2007-5-21 at 18:25 ]
|
※ ※ ※ 本文纯属【东方红旗】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2007-5-21 18:19 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
2007-5-21 18:24 |
|
东方红旗
注册用户
积分 158
发帖 158
注册 2007-5-10 来自 北京东城
|
|
2007-5-21 18:26 |
|
segourigh
中级用户
新手上路
积分 251
发帖 237
注册 2006-2-19
|
#9
点程序行为实时监控策略
|
※ ※ ※ 本文纯属【segourigh】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2007-5-21 18:31 |
|
y0365
版主
使用与技巧版主
积分 1603
发帖 1571
注册 2007-1-27
|
#10
可信程序的添加方法:微点主界面->安全防护与策略->程序行为实时监控策略->可信程序设置 微点报为已知木马的都是经过反复验证的确认的木马病毒,我看图片上已经报出确认的木马名称。是无法添加可信程序的
|
※ ※ ※ 本文纯属【y0365】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
2007-5-21 18:54 |
|