手工杀毒实践

又是NTDETECT.com惹的祸

流风 — Thu, 09 Aug 2007 11:18:00 GMT

电脑报社区论坛上有人说他的电脑不断重启，就是XP启动画面出现前重启(就是那个有进度条的画面)，安全模式也一样，都是一到那就重启，根本不能进系统。开始以为没进系统应该是硬件问题。后来他说是NTDETECT.com文件丢失了，从安装光盘上重拷一个就搞定了。这时我才想起来以前有遇到过这样的例子，还在博客中记录下来了，那个例......

兔子检测到tlqpri.dll等可疑项删除不了

流风 — Tue, 07 Aug 2007 06:59:00 GMT

论坛问题：用超级兔子检测到下列可疑项，但删除不了：找到可疑应用初始化程序：tlqpri.dll 找到未知文件执行挂钩：{54123FF1-8371-9834-9021-184518451FA5}(C:\WINDOWS\System32\qjepri.dll) 找到未知文件执行挂钩：{4562452F-FA36-BA4F-892A-FF5FBBAC53......

关于smService服务

流风 — Sun, 05 Aug 2007 13:26:00 GMT

最近连着遇上两例，都是诺顿连续报警。查看他们的SREng日志，并没什么可疑的，只是有个smService服务，这个服务是番茄版XP自带的服务。网上信息如下：进程文件:smService.exe 进程名称: smService.exe 英文描述: N/A 进程分析: 番茄藤的保护进程。番茄藤是番茄花园开发的番茄花园更新辅助程序，方便以后番茄系统遇......

一篇日志的分析

流风 — Thu, 02 Aug 2007 13:14:00 GMT

日志如下：(没问题的地方略了) 2007-08-02,16:47:07 SystemRepair Engineer 2.5.16.900 Smallfrogs ([url]http://www.KZTechs.com[/url]) Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户......

麻烦的解决

流风 — Sat, 28 Jul 2007 04:13:00 GMT

现象：电脑启动和运行都慢，启动时老是听到二三声咚的报警声，但又不见任何提示，启动到桌面后一两分钟要等超级巡警提示一个什么Entdrv51键值被删除又被创建之后才能正常使用电脑，打开IE时弹就一个全英文的对话框，不论点什么，仍然会弹出。而且首页是百度时，GOOGLE(谷歌)的网站打不开，一输入谷歌网站的地址回车就变成百度。每次用MCAFEE杀毒总能杀出一两个特......

启动系统进不了桌面的原因

流风 — Thu, 26 Jul 2007 12:46:00 GMT

系统启动后只显示桌面背景，而任务栏、图标都不显示，有时还有一个DOS窗口出来，显示netdde32.exe文件名。这也是映像劫持的结果。一种解决方法是：按Ctrl+Alt+Del打开任务管理器，单击“文件”-“新建任务”，输入Regedit.exe，进入注册表编辑器(其它方法进入注册表编辑器也行，或把下面内容写成注册表文件导入也行)，找到HKEY_L......

鼠标光标自动向右或下移动

流风 — Wed, 25 Jul 2007 13:21:00 GMT

有人说他的鼠标光标会自动向右或下移动，出现频繁，换过键鼠没用，用卡巴扫过没用。开始以为是QQ游戏还是宠物之类的导致，以前有听说过此类软件会在你不动时自动把光标移到边上。后来看了他扫描上来的SREng日志，让其删除文件： c:\documentsand settings\administrator\local settings\temp\dat6.t......

遇上难缠的病毒和流氓了

流风 — Wed, 25 Jul 2007 10:16:00 GMT

上午同事电脑有问题，看了下确定是病毒，启动到安全模式下，用SREng和powerrmv杀毒(这次冰刃在该机的安全模式下不能运行，只以在正常模式下用，很疑惑，冰刃的适应性不太好，有的系统环境能用，有的不能用)。先删除以下文件： c:\program files\lmkk\vwuu.dll c:\program files\common files\......

清除Backdoor.Bifrost.f和Trojan.DL.JS.Agent.lir

流风 — Tue, 24 Jul 2007 13:00:00 GMT

论坛有人问，打开魔兽世界后瑞星就提示有木马Backdoor.Bifrost.f(病毒是在maxthon.exe中发现的)，并成功删除（只有运行魔兽时出现），还会自动打开网站http:// just .game2b.cn/adl.htm。重起电脑，还会。用杀毒软件彻底扫描了电脑，却没发现有病毒。删了傲游后，打开WOW还弹木马Trojan.DL.JS.Agent......

一例任务管理器打不开

流风 — Tue, 24 Jul 2007 07:21:00 GMT

有人说他的任务管理器打不开了，用了网上很多方法也不行，如果不是他把所有方法写出来，我差点把以前收藏在博客上的招亮出去(任务管理器被病毒禁用解决方法)。后来怀疑是不是映像劫持，想偷懒让他下autoruns自己查。结果上传的图片上没有映像劫持，只好让他用SREng扫描日志了。没想到SREng的日志一出来就发现问题了： [HKEY_LOCAL_MACHI......

开机后提示找不到瑞星文件的解决

流风 — Mon, 23 Jul 2007 13:18:00 GMT

论坛会员说开机后显示找不到瑞星文件，跳出InitError对话框： Cannot find files: c:\windows\rav.exe c:\windows\ravUI.dll c:\windows\rscommon.dll c:\windows\pngdll.dll c:\windows\rsxml.dll 一开始还没把握搞定，只是让......

下载电影音响会自己发出一些对话出来

流风 — Mon, 23 Jul 2007 13:04:00 GMT

电脑报论坛有人问下载电影时，音响会自己发出一些对话出来，但没开播放器，也没开QQ，断网才没声。从他的日志中摘出两个可疑的服务(单位电脑在烂，较大的操作，包括使用日志分析助手都会死机，只好粗看)： [ECOUOEFHQUC/ BPWFWECGSV][Running/Auto Start]

电脑总是时不时的跳出一段音乐

流风 — Sun, 22 Jul 2007 11:20:00 GMT

论坛有人问的，电脑时不时的自动唱一句wewil we will rock you，又说不是QQ的音乐。检查其扫描的SREng日志后要求删除下面文件： c:\program files\common files\system\owupxei.exe c:\program files\common files\microsoft shared\iqwfo......

解决winlogon.exe不停请求连接网络的问题

流风 — Fri, 20 Jul 2007 15:23:00 GMT

winlogon.exe不停请求连接网络，无论按允许还是禁止它,每分钟还是会跳出来询问数次。删除文件： c:\windows\system32\systen.dll c:\windows\system32\drivers\npf.sys c:\windows\system32\drivers\hfjltoxc.sys systen.dll机主说删......

解决Trojan.DL.MNLess.oq病毒

流风 — Fri, 20 Jul 2007 02:58:00 GMT

瑞星查出Trojan.DL.MNLess.oq病毒，提示手动删除，但清除不了。方案：到安全模式下删除下面文件(老规矩，手工删除不了的用powerrmv或冰刃，其实用其它方法也行，只要干掉怎么做都行)： c:\programfiles\internet explorer\connection wizard\isignup.sys c:\progra......

一例电脑除毒

流风 — Wed, 18 Jul 2007 13:59:00 GMT

周一一上班遇到的，今天才整理出来，什么病毒不知道，反正电脑是卡死的，反应慢，网站打不开(卡住了一样)，系统是windows2000 SP4。只要强行关机，启动到带网络的安全模式下，这里倒是运行正常，一点都不卡。用SREng扫描日志保存。然后按下面处理：删除文件(手工-冰刃或powerrmv)： c:\program files\internet exp......

开机rundll错误的解决

流风 — Tue, 17 Jul 2007 13:40:00 GMT

现象：开机老是跳出一个rundll对话框说system32里的p49gf7.dll加载错误，还有C:\WINDOWS\system32\Manager.dll金山报为灰鸽子。检查sreng扫描的日志，还发现Winsock被修改： RSVP UDP Service Provider C:\WINDOWS\System32\ESPI11.dll(DY......

今天遇到的恶心病毒

流风 — Tue, 17 Jul 2007 08:36:00 GMT

今天同事的电脑上看到一个恶心的病毒(其实病毒都是恶心，只是他更无耻)，竟然会在你浏览的网页中插入准色情图片(要插你就插真正的嘛，打什么擦边球，怕还来这一套)和GOOGLE广告(也不怕GOOGLE发现后K他，在这点上我支持GOOGLE加强监管，别只K小站长)，也有弹出其它广告窗口。由于当时打开的是地税的政府网站，我还以为是被黑了，后来发现其它电脑上该网是正常的......

修复IE主页被改成“好大123综合搜索引擎”

流风 — Mon, 16 Jul 2007 08:59:00 GMT

修复IE主页被改成“好大123综合搜索引擎”......

Trojan-Downloader.Win32.Agent.bbb病毒(修改时间和主页)

流风 — Sun, 15 Jul 2007 13:45:00 GMT

IE主页也更改为hao123，从注册表中修复，重启后又更改了，系统时间也改为2005年。用卡巴斯基杀毒显示：计算机重启后删除：木马程序Trojan-Downloader.Win32.Agent.bbb 文件: C:\WINDOWS\system32\ekuuer.dll 计算机重启后删除：木马程序 Trojan-Downloader.Win32.A......

svch0st.exe病毒

流风 — Thu, 12 Jul 2007 14:33:00 GMT

电脑慢，防火墙提示有2个ip频繁向电脑发送数据包，电脑的CPU使用100%，进程中的winlogon.exe占大量cpu......

提示15分钟后自动关机的病毒

流风 — Wed, 11 Jul 2007 13:23:00 GMT

有人说一上网就提示15分钟后自动关机。让其用sreng扫描日志，按分析报告解决问题。后来发现竟然还有其他人有中，病毒也是一样的。特此收录.......

解决一个IE广告窗口会不时的弹出的问题

流风 — Tue, 10 Jul 2007 14:01:00 GMT

解决一个IE广告窗口会不时的弹出的问题......

开机黑屏进不了系统一例

流风 — Tue, 10 Jul 2007 13:29:00 GMT

修复开机黑屏进不了系统一例......

两个进程：dccugmm.exe和xuedfvs.exe

流风 — Mon, 09 Jul 2007 13:56:00 GMT

进程里有两个陌生的东西，一个是dccugmm.exe，一个是xuedfvs.exe，而且不能显示隐藏文件。先删除如下文件： c:\windows\testexe.exe c:\windows\system32\xuedfvs.exe c:\windows\system32\dccugmm.exe c:\windows\system32\ctfno......

又一个电脑发出声音的

流风 — Mon, 09 Jul 2007 13:44:00 GMT

电脑运行中会发出声音，但没开QQ，应该不是什么炫铃(应该是这个名字吧，不太熟QQ的术语) 删除注册表中的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下的 <{754FB7D8-B8FE-4810-B363-A788C......

16位MS-DOS子系统对话框，CPU遇到无效的指令

流风 — Mon, 09 Jul 2007 13:27:00 GMT

电脑运行到一半的时候跳出16位MS-DOS子系统的对话框：“C:\WINDOWS\temp\win125.exeNTVDM CPU遇到无效的指令，选择关闭终止应用程序 ”，按关闭后还是不停的跳出这个对话框。按其用sreng扫描的日志，要求删除如下内容： 1、删除如下文件，并清空临时文件夹(因为对话框中提示的文件路径是在c:\windows\temp中，......

自动复制名为“*.exe.exe”的文件

流风 — Mon, 09 Jul 2007 07:15:00 GMT

故障：开机后便会自动复制若干名为“*.exe.exe”的文件，都是69037字节，删除后第二天开机仍然如此。检查其用sreng扫描的日志，要求删除如下注册表项及相关文件： [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

打开新的浏览器窗口时会假死

流风 — Sat, 07 Jul 2007 15:28:00 GMT

电脑打开新的浏览器窗口的时候就会假死一会，而其它程序都没事，同一个浏览器下浏览也没事。用sreng删除一个驱动后解决(太简单了，太简短了)：驱动程序 [dump_wmimmc/ dump_wmimmc][Stopped/Manual Start] <\??\C:\WINDOWS\system32\drivers\dump_wmimmc.sys......

消灭seabar残余项

流风 — Sat, 07 Jul 2007 15:23:00 GMT

用卡卡助手扫描发现seabar，清除后过一会再查又有。用sreng检查，删除浏览器加载项(IE插件)： [SrchHookClass] {F08555B0-9CC3-11D2-AA8E-000000000000} [番茄工具条3.1.5] {6451F285-9E41-4......

一些随机产生的字母组合文件名的.dll病毒

流风 — Sat, 07 Jul 2007 15:19:00 GMT

一些随机产生的字母组合文件名的病毒生成在system32下，全是dll文件，卡巴删除了又生成，看来有启动项没干掉。用sreng扫描日志，检查后删除下面各可疑项，并删除相关文件，问题解决：服务 [smService/ smService][Running/Auto Start]

修复系统时间变为1994年

流风 — Sat, 07 Jul 2007 15:11:00 GMT

现象：开机后提示系统时间有问题，变成了1994年，手动修改后不到几秒，还没等确定就又恢复成1994年了，月份和日期可以改，就是年份不能改，在BIOS里的时间也变成了1994年，BIOS改完后一进系统就又成1994年......

修复遭病毒篡改的文件夹属性

流风 — Sat, 07 Jul 2007 05:45:00 GMT

修复遭病毒篡改的文件夹属性......

自动重复地打开多个文件夹

流风 — Fri, 06 Jul 2007 15:05:00 GMT

故障现象：只要点击"我的电脑"或如"我的文档"之类的文件夹，电脑将自动重复地打开多个文件夹,多达50个......

解决“电脑音箱中隔几秒出现‘咚’的声音”

流风 — Fri, 06 Jul 2007 02:50:00 GMT

有人报告如题故障，让其用sreng扫描日志(日志略)。然后按如下处理，问题解决。用sreng删除注册表、服务(及相关文件也要删除)并修复文件关联：删除文件： LYLoader.exe C:\WINDOWS\system32\HelpandWinDows.exe C:\WINDOWS\system32\msdebug.dll C:\WINDOW......

“IEHelper_*.dll”木马组件的删除(转贴)

流风 — Fri, 06 Jul 2007 02:29:00 GMT

“IEHelper_*.dll”木马组件的删除......

系统文件无法显示的解决

流风 — Fri, 06 Jul 2007 02:12:00 GMT

以前是隐藏文件无法显示，此例是系统文件无法显示，菜单是在一起的，注册表位置也相近。系统文件的注册表位置是[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden] 检查其下"Type"键值，如果不是"checkbox"......

SREng2.5可以检测映像劫持了

流风 — Wed, 04 Jul 2007 13:02:00 GMT

估计前段的AV终结者闹的，SREng2.5今天一发布就支持对映像劫持的检测。今天有人问msconfig运行不了，用SRENG2.5一扫日志，呵呵，马上暴露出来了。日志如下： 2007-07-04,14:52:03 SystemRepair Engineer 2.5.16.900 Smallfrogs (http://www.KZTechs.com)......

清除启动蓝屏和改时间为2005年12月31日的病毒

流风 — Wed, 27 Jun 2007 12:52:00 GMT

总算亲自遇到改时间的病毒的。电脑系统为windows2000 server，开机进系统，前面的2000画面都过了，然后出现蓝屏，说是未知硬件错误。重启，万幸能进安全模式，用SREng时突然出现要授权，检查时间，发现是2005年12月31日，敲锣!总算让我亲眼看到它了! 先改时间回来，在安全模式下可以改的(因为这时病毒大多没运行，影响小)，这样可以用sren......

今天用了下PowerRmv，感觉不错

流风 — Mon, 25 Jun 2007 02:53:00 GMT

今天遇到上次在“启动进桌面就重启的病毒的清除”一文中所说的部分病毒，之所以说部分，是因为它不重启，但用sreng查看注册表启动项，确实有一些相同的东西： [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] [{1A65498A-......

启动进桌面就重启的病毒的清除

流风 — Thu, 21 Jun 2007 13:12:00 GMT

今天同事说她的电脑开不了机，系统刚启动就重启。看了下，系统是XP，正在进桌面时打开任务管理器，发现有以数字命名的EXE文件进程出现，如1.exe、13.exe等，终止进程，不会重启(该机很慢，128M内存，启动都要半天，所以有时间从容地发现和终止病毒进程，估计病毒郁闷死，怎么生在烂机上)，然后双击硬盘想打开，发现不对劲，右击发现硬盘分区菜单中出现“自动播放”......

lyloadqr.exe、lyleador.exe等病毒群的清除

流风 — Wed, 20 Jun 2007 13:09:00 GMT

与上一篇有点象的病毒(http://blog.yesky.com/blog/storm_L/archive/2007/06/04/1676370.html)，不过不是提示无权重启，而是发现金山毒霸不运行，任务栏上毒霸图标呈灰色，应用程序运行不了或运行慢。操作我都是到安全模式下去做的，那里互相干扰小(此操作系统为windows2000 sp4) 1.删除......

刚搞定一个让你无权重启电脑的病毒

流风 — Mon, 04 Jun 2007 08:15:00 GMT

同事电脑不能重启，一点重启，就说你无权重启，关机也是。到计算机管理中，用户和组那一项上打了红叉，服务也打不开，打开c:\winnt(是2000的系统)和system32，只有一片空白，不过在文件夹状态栏有显示多少对象和容量，只是看不到图标。控制面板的图标全跑到左边去，右边一块是空白。开始以为是dll文件损坏，用for命令重新注册所有dll，强行重启，刚开始恢......

开机跳出windows文件夹的解决

流风 — Thu, 17 May 2007 13:16:00 GMT

今天有人问一开机就跳出windows文件夹，看了下他传的sreng日志，找到几个可疑的，在注册表[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]下有个，它的值就是，删除，搞定。太轻松了，其实检查下启动项(开始-运行-输入mscon......

又遇威金

流风 — Thu, 10 May 2007 04:39:00 GMT

昨天杀毒，看到熟悉的面孔：rundl132.exe、logo1_.exe、_desktop.ini、richdll.dll，哈哈，威金!又是它，没太在意，先用江民威金专杀扫了下，没反应，_desktop.ini倒是删除掉了，其它的一点也没杀出，看了下江民官网上专杀是3月份更新的。又下了瑞星(也是3月份)专杀，还没反应，又找了个萧心的专杀，还是没动静，难道是新......

关于driver.exe和wuaucll.exe病毒的修正和补充

流风 — Tue, 27 Mar 2007 05:07:00 GMT

今天看到一台电脑(操作系统win2000server)中了driver.exe和wuaucll.exe病毒，上网查了一下，真找到清除方法，摘录如下： ----引用------------ 一、特点： 1、植入系统并成功运行后，更改.exe文件关联。中招后，用户运行任何.exe程序，都将激活木马wuaucll.exe。用SREng在WINDOWS模式下不......

落雪(rose.exe)病毒造成电脑不断重启的解决

流风 — Mon, 08 Jan 2007 12:36:00 GMT

落雪(rose.exe)病毒造成电脑不断重启，恢复NTDETECT.COM文件解决问题

最近出来的威金变种病毒(2006年11月)——续篇

流风 — Sat, 02 Dec 2006 16:15:00 GMT

过了一个月终于单位用的趋势网络版开始反应了，不知道与上报病毒有关吗？反正开始清除威金新变种了，连在windowsNT下的病毒也能清除了(江民专杀在NT下运行不了，瑞星专杀能运行但找不到病毒)，不知道还有没有更新变种出来。网上看到一种免疫法，可以不用删除染毒EXE文件避免不必要损失：先删除相关病毒文件，再到windows目录下新建相关文件，取病毒文件名Logo......

最近出来的威金变种病毒(2006年11月)，大家小心

流风 — Fri, 17 Nov 2006 04:00:00 GMT

今天终于搞掉了威金新变种病毒，这种心理变态的制作者制作的可恶病毒，居然用旧的专杀工具和目前大多数杀毒软件都除不掉，还破坏了我公司趋势网络版杀毒软件的服务器，感染所有EXE文件，被感染后文件不能运行。试了好多工具，瑞星的、金山的都太旧，还有newkill和mj001的千橡感染EXE查杀工具最新2.0都不行，终于用江民的专杀(这是11月15日升级的)清除掉了，感......

aelupsvc32.dll、wsfit32.sys病毒文件处理

流风 — Tue, 14 Nov 2006 12:54:00 GMT

今天遇到的，win2000电脑，现象为不能打开网页，但网络是通的，ping内、外网皆通，在启动项中有个WinStar指向c:\winnt\iexpl0rer.exe，且不论在正常还是安全模式下都删除不掉，后来用98启动盘启动删掉文件，但在注册表中的启动项仍在也是删除不掉。后用sreng.exe发现winsock被修改，指向c:\winnt\sys......

MyIEhelper清除方法

流风 — Sun, 08 Oct 2006 14:21:00 GMT

MyIEhelper恶意程序会导致自动窗口弹出，而且很难清除，所以除了网上手动方法外，还有专杀工具来对付它。下载地址：http://storm01.atedu.net下的“我的软件”中找MyIEhelper.rar就是。

清除Win32.Troj.ADNavihelper(广告木马)方法

流风 — Wed, 23 Aug 2006 13:18:00 GMT

Navihelper 清除