微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 发现新的病毒专门对付杀毒软件  

 11  1/2  1  2  > 
作者:
标题: 发现新的病毒专门对付杀毒软件
hortra
注册用户





积分 127
发帖 117
注册 2007-1-11
#1  发现新的病毒专门对付杀毒软件

同学的电脑中毒了。
基本上就是除了C盘以外其他盘都无法双击打开。采用internant浏览器打开

开始装的卡巴斯基无法启动,今天装了微点安装以后,微点发现木马病毒然后提示重新启动,重新启动以后,微点也无法启动了。

现在他的电脑该怎么办?

※ ※ ※ 本文纯属【hortra】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-16 13:51
查看资料  发送邮件  发短消息   编辑帖子
hortra
注册用户





积分 127
发帖 117
注册 2007-1-11
#2  

补充一下卸载卡巴斯基的时候在卸载的第二步的时候,闪一下就什么界面也没有了。
视频文件可以正常播放。
版主帮忙想想办法。

※ ※ ※ 本文纯属【hortra】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-16 13:58
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#3  

请让他手动重启下微点服务,看微点能否正常启动?
尝试使用一下办法修复:
首先建立一个文本文件(txt文件)将下边的信息复制到文本文件中然后保存

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@=\"DiskDrive\"

将保存的文本文件的扩展名修改成reg,然后双击导入注册表后重启机器。

如仍有问题,请让他加入微点的技术交流群:16998902,直接找群管理员给他处理下。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-6-16 14:00
查看资料  发短消息   编辑帖子
小可
新手上路





积分 9
发帖 9
注册 2007-6-15
#4  

重装系统,自己救自己

※ ※ ※ 本文纯属【小可】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-16 14:02
查看资料  发短消息   编辑帖子
hortra
注册用户





积分 127
发帖 117
注册 2007-1-11
#5  

刚才看网友说使用卡巴斯基可以通过安装目录点击 AVP.exe解决,结果第一次是刚到了他的安装目录 就闪了一下,回到桌面了,后来重新尝试找到了avp.exe是访问被决绝,说我没有权限访问

※ ※ ※ 本文纯属【hortra】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-16 14:03
查看资料  发送邮件  发短消息   编辑帖子
hortra
注册用户





积分 127
发帖 117
注册 2007-1-11
#6  



  Quote:
Originally posted by 小可 at 2007-6-16 14:02:
重装系统,自己救自己

这样多没意义啊。要花时间研究研究才好玩!


版主
现在他的机子我不做处理了,导入那段注册信息以后当时就可以双击打开盘符,但是重新启动以后就又不能打开了。

手动无法启动 微点卡巴都是这样


现在那些东西是有用的 版主帮提示一下,我留意保存下来。不然到时候 许多珍贵的病毒文件,重要信息就可能找不到了


※ ※ ※ 本文纯属【hortra】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-16 14:12
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#7  

建议您让他加入微点的qq群: 16998902,直接找微点群管理员帮他远程处理下。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-6-16 14:15
查看资料  发短消息   编辑帖子
一个人的旅行
中级用户

新手上路


积分 379
发帖 365
注册 2005-11-2
#8  

到注册表下找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Image File Execution Options
手工删除,然后重启计算机看下.

※ ※ ※ 本文纯属【一个人的旅行】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

纯属个人意见,欢迎参考
2007-6-16 14:17
查看资料  发短消息   编辑帖子
Dr_Bo
新手上路





积分 35
发帖 35
注册 2007-5-5
#9  

看看regedit.exe能否运行
如果不能,找到C:\WINDOWS\regedit.exe,将其改名(文件名随意)后双击运行
定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options],若存在以下项目则删除
cmd.exe
cmd.com
msconfig.exe
msconfig.com
360safe.exe
avp.com
adam.exe
EGHOST.exe
IceSword.exe
iparmo.exe
kabaload.exe
KRegEx.exe
KvDetect.exe
KVMonXP.kxp
KvXP.kxp
MagicSet.exe
mmsk.exe
NOD32.exe
PFW.exe
PFWLiveUpdate.exe
QQDoctor.exe
Ras.exe
Rav.exe
RavMon.exe
regedit.exe
regedit.com
regedt32.exe
runiep.exe
SREng.EXE
TrojDie.kxp
WoptiClean.exe



删除之后别忘了把注册表编辑器改回regedit.exe
PS:如果发现还有不能运行的正常程序,就可以在这里找找有没有程序文件名,有的话就删除

然后全盘杀毒

※ ※ ※ 本文纯属【Dr_Bo】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-16 14:25
查看资料  发短消息   编辑帖子
hortra
注册用户





积分 127
发帖 117
注册 2007-1-11
#10  

用 syscheck2 反黑工具查了一下,发现一个新的文件创建于昨天,将其删除文件在
programfiles commonfiles  microsoft shored  msinfo 下文件名 4ef0925c.dll.
手动将其删除。
用syscheck2自动净化时还删除了一个类似声卡驱动文件的东东 SOUNDMAN ,这个文件创建于2006年11月11日。发现重新启动以后重新使用syscheck没有这个进程项了。
然后将以下 显示隐藏文件的注册信息写入:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

下载个auto专杀工具,360的,auotuokiller,usbcleaner之类,运行一下
重新启动 电脑正常了唯独杀毒软件还是不能启动  微点提示找不到启动模块
卡巴斯基提示无法访问指定设备,路径或文件,您可能没有合适的权限访问这个模块。

然后重新运行 微点的安装包 一切顺利完成 重新启动以后,微点工作正常,再次重新启动 ,依然正常。所有的盘符都可以正常打开了。
这是卸载卡巴斯基发现很正常的就可以卸载了,不会出现半路消失的情况了。
哈哈 ,卡巴斯基被卸载了现在他的电脑换微点了。

谢谢版主的热情!我同学的机子不能上网,我们实验室的机子也不能上网哈哈。


4ef0925c.dll这个文件我给您发到邮箱里去,还有SOUNDMAN这个文件是后来才重新找的估计不是病毒,就是的话也被syscheck处理过了。
谢谢!

现在去拿他的机子去测试 微点和 GOGOBOX的兼容问题去

※ ※ ※ 本文纯属【hortra】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-6-16 14:59
查看资料  发送邮件  发短消息   编辑帖子
 11  1/2  1  2  > 



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号