问答文章1 问答文章501 问答文章1001 问答文章1501 问答文章2001 问答文章2501 问答文章3001 问答文章3501 问答文章4001 问答文章4501 问答文章5001 问答文章5501 问答文章6001 问答文章6501 问答文章7001 问答文章7501 问答文章8001 问答文章8501 问答文章9001 问答文章9501

救命!!我的电脑中毒了

发布网友 发布时间:2022-12-27 16:32

我来回答

5个回答

热心网友 时间:2023-10-20 14:48

最简单的办法也是最彻底的办法:重装。
不想重装,可以去下载一个windows 进程管理器(http://www.crsky.com/soft/6207.html)软件,它可以根据进程找到原文件所在地,很好用。

附:http://hi.baidu.com/newcenturysun/blog/item/2c348916bcc9cd50f3de3200.html

艾尼新变种MSOSVEXT.EXE,MSOSV.EXE的分析
2007-04-21 17:47
今天拿到了这个新的变种分析了一下 总的来说基本上延续了之前的下载木马 感染文件等的行径

运行MSOSV.EXE后
释放C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSVEXT.EXE
C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE
C:\WINDOWS\svchost.exe(这个根本就是一个记事本的程序,只不过改了名称而已)
这回的特点就是用它感染文件

创建服务Hello Ketty
服务相关注册表项目如下
HKLM\SYSTEM\CurrentControlSet\Services\Hello Ketty\Security\Security: 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 00 01 02 00 00 00 00 00 05 20 00 00 00 20 02 00 00 00 00 14 00 8D 01 02 00 01 01 00 00 00 00 00 05 0B 00 00 00 00 00 18 00 FD 01 02 00 01 02 00 00 00 00 00 05 20 00 00 00 23 02 00 00 01 01 00 00 00 00 00 05 12 00 00 00 01 01 00 00 00 00 00 05 12 00 00 00
HKLM\SYSTEM\CurrentControlSet\Services\Hello Ketty\Type: 0x00000010
HKLM\SYSTEM\CurrentControlSet\Services\Hello Ketty\Start: 0x00000002
HKLM\SYSTEM\CurrentControlSet\Services\Hello Ketty\ErrorControl: 0x00000001
HKLM\SYSTEM\CurrentControlSet\Services\Hello Ketty\ImagePath: "C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE"
HKLM\SYSTEM\CurrentControlSet\Services\Hello Ketty\DisplayName: "TCP/IP Service"
HKLM\SYSTEM\CurrentControlSet\Services\Hello Ketty\ObjectName: "LocalSystem"

启动C:\WINDOWS\svchost.exe感染除系统分区以外的exe文件

启动IE连接59.34.197.169:80 下载shift.ini到C:\Program Files\Common Files\Microsoft Shared\Web Folders\
读取shift.ini 里面的配置文件 下载木马TempA.exe~TempH.exe

到C:\Program Files\Common Files\Microsoft Shared\Web Folders\下面
由C:\WINDOWS\svchost.exe启动他们

TempA.exe释放文件1explore.exe和fyzo0.dll到临时文件夹
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<0><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1explore.exe> []

TempB.exe释放文件C:\WINDOWS\cmdbcs.exe和C:\Windows\system32\cmdbcs.dll
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<cmdbcs><C:\WINDOWS\cmdbcs.exe> []

TempC.exe释放文件iexpl0re.exe和LgSy0.dll到临时文件夹
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<y9027jwxw><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe> []

TempD.exe释放文件crasos.exe和Msxo0.dll到临时文件夹
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<sfv><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe> []

TempE.exe释放文件rundl132.exe和Rav20.dll到临时文件夹
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<dj8q4uzi4><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe> []

TempF.exe释放文件winlog0n.exe和LgSy1.dll到临时文件夹
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<ghdi3ri><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe> []

TempG.exe运行出错

TempH.exe释放文件Servera.exe和Kavs0.dll到临时文件夹
在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
添加注册表项目<yyt><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servera.exe> []

修改hosts文件
添加127.0.0.1 mmm.caifu18.net
127.0.0.1 www.18dmm.com
127.0.0.1 d.qbbd.com
127.0.0.1 www.5117music.com
127.0.0.1 www.union123.com
127.0.0.1 www.wu7x.cn
127.0.0.1 www.54699.com
127.0.0.1 www1.6tan.com
127.0.0.1 www2.6tan.com
127.0.0.1 www.97725.com
127.0.0.1 down.97725.com
127.0.0.1 ip.315hack.com
127.0.0.1 ip.54liumang.com
127.0.0.1 www.41ip.com
127.0.0.1 xulao.com
127.0.0.1 www.heixiou.com
127.0.0.1 www.9cyy.com
127.0.0.1 www.hunll.com
127.0.0.1 www.down.hunll.com
127.0.0.1 do.77276.com
127.0.0.1 www.link.com
127.0.0.1 adnx.yygou.cn
127.0.0.1 222.73.220.45
127.0.0.1 www.f5game.com
127.0.0.1 www.guazhan.cn
127.0.0.1 wm,103715.com
127.0.0.1 www.my6688.cn
127.0.0.1 i.96981.com
127.0.0.1 d.77276.com
127.0.0.1 www1.cw988.cn
127.0.0.1 cool.47555.com
127.0.0.1 www.asdwc.com
127.0.0.1 55880.cn
127.0.0.1 61.152.169.234
127.0.0.1 cc.wzxqy.com
127.0.0.1 www.54699.com
127.0.0.1 t.gcuj.com
127.0.0.1 www.puma163.com
127.0.0.1 ceoww.com
127.0.0.1 boolom.com

连接http://temp.longge8.com/boot/long.htm 做感染统计

病毒体内有字样 myexe

以上现象在sreng日志中 显示如下
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<0><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1explore.exe> []
<y9027jwxw><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe> []
<sfv><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe> []
<dj8q4uzi4><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe> []
<ghdi3ri><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe> []
<yyt><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servera.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
服务
[TCP/IP Service / Hello Ketty][Stopped/Auto Start]
<C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE><N/A>
进程中
[PID: 1392][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy0.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Msxo0.dll] [N/A, ]
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rav20.dll] [N/A, ]
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\LgSy1.dll] [N/A, ]
[C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Kavs0.dll] [N/A, ]

清除步骤如下:

1.清除木马群(此时不要打开其他磁盘分区点那些被感染的exe文件)
安全模式下(开机后不断 按F8键 然后出来一个高级菜单 选择第一项 安全模式 进入系统)
启动项目 注册表 删除如下项目
<0><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1explore.exe> []
<y9027jwxw><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\iexpl0re.exe> []
<sfv><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\crasos.exe> []
<dj8q4uzi4><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\rundl132.exe> []
<ghdi3ri><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlog0n.exe> []
<yyt><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Servera.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []

“启动项目”-“服务”-“Win32服务应用程序”中点“隐藏经认证的微软项目”,
选中以下项目,点“删除服务”,再点“设置”,在弹出的框中点“否”:
TCP/IP Service / Hello Ketty

双击我的电脑,工具,文件夹选项,查看,单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件(推荐)"前面的钩。在提示确定更改时,单击“是” 然后确定
然后删除C:\Documents and Settings\用户名\Local Settings\Temp 下面所有文件(主要是扩展名为dll和exe的文件)
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\system32\cmdbcs.dll
C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSVEXT.EXE
C:\Program Files\Common Files\Microsoft Shared\Web Folders\MSOSV.EXE
C:\WINDOWS\svchost.exe

2.修复hosts
还是使用sreng 系统修复 hosts文件 点击下面的重置 在弹出的窗口中点击是 然后点击保存
3.修复exe文件
安全模式下使用反病毒软件进行全盘扫描,清除被感染的exe

热心网友 时间:2023-10-20 14:48

任务管理器能打开就好,你看下里面什么程序占的CPU高,是不是正常的程序,如果是那就不要再用这个了,如果不是,上网查下看是不是病毒,是的话就要杀毒了。
杀的时候要进安全模式。
也不一定是成肉鸡了,你把网线拨了试试。
瑞星要升到最新。
如果是什么有名的病毒,可以下个专杀工具。

这个病毒名字叫艾尼,你再好好查下怎么杀,我比较忙

热心网友 时间:2023-10-20 14:49

·“新CIH(Win32.Yami)”病毒专杀工具

热心网友 时间:2023-10-20 14:49

多杀几次毒

热心网友 时间:2023-10-20 14:50

用卡巴斯基杀毒比较好呀
声明声明:本网页内容为用户发布,旨在传播知识,不代表本网认同其观点,若有侵权等问题请及时与本网联系,我们将在第一时间删除处理。E-MAIL:11247931@qq.com
2024年欧洲杯赛程表 德国欧洲杯足球赛2024赛程时间表 勇者斗魔王勇者斗恶龙12Gameboy游戏1中最后魔王变身后怎么打2中什么武... 电脑开机十秒技巧怎样让电脑开机速度变快 完美世界手游熊猫哪里抓完美国际熊猫是怎么得的 ...每一关跳旗杆的时候怎么才能跳到满分我每次都只能跳到 ip11和ip11pro区别 请问;谁知道SJ-M里面有一个叫基_什么? 智齿疼一定要拔吗 大师们帮我算算我的命数!不胜感激~ 怎样选择评估公司 sv包的意义(package) layui树形结构怎么添加父节点 华为荣耀畅玩4怎么隐藏应用 自从知道玉米面可以做葱花饼,我家天天吃,柔软劲道,简单又家常 军中乐园从哪里可以看 梦幻西游红尘试练,全过程。 贵州贵阳话:『污教妹』 是什么意思? 梦幻西游红尘试炼总共能获得多少储备金经验? 附近离婚的女人,附近离婚的女人微信群 单身离异女人的,50岁离婚的女人那有 华为平板摔碎了只有膜摔坏了但是把摩羯改平板却不能用了一半彩色条纹一般什么? 保护大熊猫,你觉得到底是在保护什么? 人教版六上儿童歌曲《同一首歌》的创作背景?急急 天天象棋四十六关 天天象棋里怎么过46关 我们怎样来保护大熊猫 人心险恶! 乡村灵异故事大全 山村诡异事之房梁鬼 为什么photoshop无法打开? 360随身wifi如何当无线网卡用 微信视频通话怎么把别人静音 鱼塘放水抓鱼水流到河里面污染环境吗? 华为Mate 10 Pro搭载第三代徕卡双镜头主相机细节外观曝光 如何保存活龙虾 声音怎么读 联通手机卡怎样短信续费qq会员啊 会员怎样用联通手机续费 5步骤,简单自制夏日冰沙 渐变水果冰沙的制作技巧樱桃渐变冰沙怎么做好吃呢 郑业成个人资料介绍 郑业成个人资料简介 郑业成和吴磊谁高 与雍正风雨同舟40年的女子:乌喇那拉氏皇后 中央电视1台电视剧是什么 唱吧跟别人合唱之后为什么没有显示(合唱版) 求一首歌,整首歌全部歌词就一句话重复 为什么刷抖音看显示朋友点赞过 刷抖音视频显示一个朋友赞过,是怎么回事 刷抖音的时候显示朋友赞过说明什么 为什么父母在教育孩子的过程中要既赞又罚