杭州交通信息网数据库概念模式:木马病毒 D盘 pagefile.pif autorun.inf 我GHOST还原系统也不行
来源:百度文库 编辑:杭州交通信息网 时间:2024/05/04 16:53:51
症状:一天开机进入WINXP,发现只有鼠标能动,左右键单双击都没反应,键盘也是。重启两次后进入系统。点开电影,魔幻影音提示什么“VC++ RUNTIME ERROR”等等。但WINDOWS MADIA PLAYER 能用。又重启,声音图标没了,点MP3 提示 没有声卡,我+,没声卡开关机时怎么又WINDOWS音乐。
打开QQ ,提示 什么什么东西 不能加载,总之应用程序都打不开了。重启,进入系统。好么!这下连宽带客户端也打不开了。
显示隐藏和系统文件:D盘有两个:pagefile.pif autorun.inf 删除。
一刷新又回来了。没法,祭起GHOST法宝,C盘还原。重新进入系统。一切OK。
没过十分钟,两幽灵又回到D盘上。又一番折腾。没用。
又发现C盘:有 BOOT.exe 和dbgView.Log文本,打开:写着:
开始进行注入,准备注入到winlogon进程
开始进行Hook
绑定端口30940成功
IP地址为824343d
824343D 824343D 30940 zugbmxcn ayqyqyac
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
[xCapture]收到断开连接的包
IP地址为-------
C:\Program Files下有r4.exe(QQ图标) r5.exe
C:\WINDOWS下有 WINLOGON.EXE(传奇图标)删不掉,进程也有,也结束不了。
C:\WINDOWS\system32中有:2.exe 1.exe a.exe等。
C:\WINDOWS\Temp 中每两三秒多一个类似IME4B6.tmp的0KB文件。
IE主页篡改为 163 的。
偶尔有弹出网页和广告
C盘多了一个叫 IE bar.exe 的文件,并自动安装入系统。
进程里有诸如1.exe 2.exe 等怪进程,结束了一会儿又有。
CPU占用率不高,但内存占用784MB,我机子的物理内存才256MB呀!哭。
还有好多,不写了。
上网查,说是叫WINLOGON木马,在D盘,双击D盘自动运行。我的D盘虽有AUTOEXE文件,但双击并不自动运行,仍打开盘符。下了个专杀工具,不顶用。
我电脑分三个区,我删掉D盘两个文件,马上GHOST还原(备份在E盘)
启动进入系统,头一次死机,第二次进入,不死机了,进D盘一看,哈哈,两个幽灵又回来啦!!!!!!!!
已经两天了,我每次启动电脑都要先还原才能用。烦死了。。。
备份没问题,(病毒不会钻到GHOST备份里吧)还原后还有病毒,怎么回事
可能原因:1:病毒感染EXE文件,一打开EXE程序就染毒。我的应用程序都装在D盘。
2:病毒修改EXE文件关联,一打开程序自动运行。
3:病毒藏在D E盘某个角落里还原系统后再次运行侵入C盘。(不过它是怎么自动运行的?D盘的AUTOEXE。PIF我一删了亚。)
这是网上找的“病毒原理”,啥意思我也不知道。
总之,这是我遇到过的最难缠的病毒。危害虽然不大,可架不住烦人。
谁有解决方法,尽量简单的,网上已有的别帖,我都看过了,没用。因我电脑上有40G电影和资料都是星星苦苦下载来的(硬盘80G),不想把D E盘全格式化了,如果可以把资料挪到E盘,把那C D盘格了,在把资料挪回D盘,在把E盘格了,不知行不行?WINDOWS下不行DOS下行不行?怎么做〉〉〉
就算没方法有谁知道这种不靠C盘就能启动的病毒原理是什么,我也算死的明白。
装一个杀毒的吧!有时候还是很必要的
去金山网上下下金山也可以,开始不收费
如果你不想装杀毒软件的话,可以先装杀毒的把毒杀了,再把杀毒软件卸了(这叫过河拆桥法)
格盘就不用了!
1.电脑没装杀毒软件,觉得既耗资源关键时刻又不起作用----杀毒软件的作用是什么,哈哈,你笑死我了.
2.备份没问题,病毒绝对不会钻到GHOST备份里---这个想法是错误的,病毒传染!!!
3.病毒传染,在其他盘符里,并且永远杀不掉的!!!
4.现在所有的盘符必须全部格式化,资料绝对不可以挪滴!!!
5.病毒原理是什么--您也不必明白!!!
6.电脑要装杀毒软件的道理,您现在明白了吗???
你的电脑中毒了
打开一个文件夹
工具--文件夹选项--查看--去掉“隐藏受保护的操作系统文件”然后确定”,右击D盘选择打开
--OK,多出一个Auturun文件,我们知道有系统属性的文件是无法直接删除的,我们要剔除它的系统属性,打开CMD(开始--运行--CMD.exe),输入:attrib D:\autorun.inf -s -h -r回车,然后直接删除文件。
基本问题解决,不过一般情况下可能会有EXE文件的关联问题出现
建议;
先不要运行任何EXE程序,也就是可运行文件
打开运行---输入REGEDIT找到
HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{......}\shell,删除shell下的autorun键值
然后在CMD环境下使用assoc.exe=exefile,回车。恢复文件关联
至此问题应该能够解决,如果还有问题的话就是你的电脑中了winlogon病毒清除
网上有中方法可用:
以下引用:
winlogon病毒清除
几天前发现在我的电脑中双击D盘时不能正常打开,右击选“打开”可以进入D。经检查,在D盘上多了一个pagfile.pif文件。删除后又会自动生成。但电脑没什么异常现象,也就没在意。
晚上回家后打开电脑,发现所有应该开机后启动的项目均未启动,同时所有EXE文件均显示“该文件找不到!”
打开“任务管理器”后发现多了个WINLOGON.EXE的进程,文件放在windows下。
而winlogon.exe是windows域登陆管理器,用于处理登陆和退出系统过程。病毒利用了windows系统会先访问windows,然后再访问system32的原理解决进程相同的问题。
同时病毒还在windows文件夹下生成1.com以及exeroute.exe、finder.com、explorer.com三个设置为shr的文件。
用启动盘启动后进入C:\windows,删除1.com,去掉exeroute.exe、finder.com、explorer.com的shr属性(attrib %1 -s -h -r)并删除。
进入D盘,删除D盘下autorun.inf的隐藏文件,同时删除pagefile.pif。
启动后将cmd.exe改名为cmd.com,进入命令方式后打入:assoc .exe=exefile恢复文件关联。重启后计算机恢复正常。
经查:winlogon.exe可能是W32.Netsky.D@mm蠕虫病毒。该病毒通过Email邮件传播,当打开病毒发送的附件时,即会被感染。病毒会创建SMTP引擎在受害者的计算机上,群发邮件进行传播。病毒允许攻击者访问你的计算机,窃取密码和个人数据。
受害人..
重新分区..
格式分....
再安装系统...
HD上程序大部分被破坏...
连上网都无法上.....
只能用ghost还原一次才能上一次网...手慢还上不了QQ...跑跑卡丁车也要重新安装后.第二次又没法使用...
只想说,尽是一堆废话,没有一个管用的,上网查一下
“[xCapture]收到断开连接的包 ” 就可能会清楚点
目前此木马无人所解,只有重格分区
还想告诉楼上,杀毒软件只是逗你玩的,是没有用的垃圾。
这个木马不管是卡巴,还是ewido,根本都认不出来
木马清道夫+QQKav+手动清除残留的文件
我就是这样杀了的
先用QQKav杀一次,然后结束进程里的WINLOGON(大写的)(用木马清道夫的结束进程),然后把D盘里的pagefile.pif 删除(用右键的"打开"打开D盘),然后再用QQKav杀一次,最后用木马清道夫杀
接下来就去网上找个手杀的方法,把该删除的都删除就行了