|
|
前言:
最近机器中毒了.虽然不是我在用.但机器里有我收藏的东西.比如130本游戏电子专题攻略等.实在是舍不得删..差点就崩溃到请专人修复.要是修复不了就得出钱在网上悬赏了.
幸运的是在百度之后..卡饭论坛上某位网友的一言点醒了我(原贴地址:http://bbs.kafan.cn/thread-446872-1-1.html).就以我以前分离威金logo_1.exe的方法.彻底删除了该病毒.并且完整保留了原文件.试用机器三五天.未发现异常.同时也发觉还是装个360好..它报的毒..
我杀这毒是GHOST恢复C盘了二次.但是只要一次估计应该可以的.我中这毒的症状是.打开某被感染的EXE文件.同时会生出一个与此EXE同名的文件其它扩展名在原EXE文件的后面加上了.tmp,如果放任不管过会会弹出N个.EXE的安装程序.网页什么的跟着就来.机器卡得一B的.但是这并不是这毒的源头.源头还是在C盘.而如卡饭那帖里所说.生成的.TMP文件就是我们以前被感染的文件了.现在要做的就是把病毒删除.并且保留.TMP文件.问题是在正常启动状况下.结束了病毒程序.TMP会保存在硬盘上.但是我未在此状态下试过.所以.剩下的都是在安全模式下操作.
由于一开始未明此病毒的危害.用卡巴全盘挂机睡觉杀毒了一遍.具体杀了些什么我也不清楚..报告被GHOST之后搞没了..并且我也没看.
1.最好有C盘备份.减少时间浪费.如果没有.FORMAT C 重装系统.然后.尽量不要点EXE文件.因为我们不知道哪几个文件感染了.所以直接进入安全模式.由于我在第一次杀毒后GHOST了C盘.并再次于D盘发现病毒.所以我的C盘又被感染了.同时.我这每个盘会有个STEUP文件.我试过点了没反应.不知道别人的有没有反应.但是必须删除.因为它原来就不存在.
2.方法其实很简单.但是你得首先明白自己中毒的日期.这样能省不少时间.至于知道中毒日期的方法.1.看杀软或防火墙报告.2.自己哪天点了假冒H网总该有印象吧.那时毒就开始疯狂.
3.格了C盘.恢复或重装后.搜索.exe 所有盘.知道中毒日期最好限个日期.这样你能省不少工夫.当然不想要的EXE文件可以直接删除.
4.根据搜索所得.删除不要的.开始修复需要的.最好将中毒文件先复制一份到别的地方.以防修复失败.我修复了100个.EXE文件.失败二个.原因不明
5.打开任务管理器.然后再打开中毒文件.此时可能会报 文件已被非法改动1 或者cannot open book file(同时生成 Attachments文件夹 Index).不要点OK或确定.无视它.在任务管理器里结束进程已打开.exe然后再结束已打开.exe.tmp. 找到已打开文件,删除.exe文件,最好先放回收站不要直接清空,然后将.tmp文件扩展名中的.tmp删除.再打开这个改名后的.exe文件看看.恢复正常就OK.继续下一个.需要注意的是.由于它生成的是tmp文件.某些中毒的大文件如几百MB的.可能要多读一会.tmp才会完整生成.也可能是我机器烂.一定要等到.tmp读取完成才可以结束进程哦.不要恢复少了别怪我
6.方法很简单.至于C盘的毒有哪些我不清楚.我当时C盘也是带毒的.我在恢复了C盘之外的.EXE文件之后GHOST了C盘.在这附上我当时C盘中的病毒文件.其中当时在我机器上发现的没有图示中的多.只有几个.恢复方法已经说了..别的毒各自不同.大家保重吧.
注册表位置:HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603
我在C盘实际找到的只有conime.exe ~TMP58~1.BAT LSASvc.exe.可能另几个被卡巴灭了.
我的毒文件conime.exe在 C:\WINDOWS\system32\dllcache
也许各有不同.请大家仔细辨认.如有不懂.百度一下!
欢迎转载.转载请注明出处.
[ 本帖最后由 海贼猎人 于 2009-5-11 17:47 编辑 ] |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
评分
-
1
查看全部评分
-
|
IP卡
狗仔卡
发表于 2009-5-11 17:38:41
提升卡
置顶卡
变色卡
显身卡
发表于 2009-5-11 17:46:09
楼主
发表于 2009-5-11 21:57:40