SiS001! Board - [第一会所关闭注册]

标题: [求助] 这个木马是什么？总杀不掉 [打印本页]

作者: wangping1234 时间: 2010-4-23 13:08 标题: 这个木马是什么？总杀不掉

我安装的是eset杀毒软件，最近总跳出木马C:\WINDOWS\help\bai.BAT 无法彻底清楚，求高手帮忙。。。

作者: pant 时间: 2010-4-23 13:37

批处理文件，先看看内容是什么？然后用冰刃杀掉吧，一般的防病毒软件都能隔离的！不要双击运行啊

作者: ckwei1000 时间: 2010-4-23 13:39

应该是木马程序，刚才百度了一下，提供个参考的吧，LZ自己把握。
好像此病毒原程序是 soundman.exe （好像特点是任务管理器被禁用,显示隐藏文件夹属性失效，任务栏提示信息字体改变）
解决办法：
解决方法：

一、清除病毒文件和其创建的注册表项目
1.打开sreng
启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SoundMan><SoundMan.exe> [1]

2.打开Icesword
点击左下角的文件按钮
删除如下文件
%SystemRoot%\system32\ineters.exe
%SystemRoot%\system32\SoundMan.exe
%SystemRoot%\system32\tthh3.ini
%SystemRoot%\system32\Alcmtr.exe
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\qoq.exe

二、修复系统
1.请把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adva

nced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

2.开始－运行输入regedit
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
双击Image path 编辑数值数据为
%systemroot%\system32\svchost.exe -k netsvcs确定
回答人的补充 2009-12-05 10:06 文件感染病毒仔细一看就是3个文件 c:\windows\help\bai.vbs c:\windows\help\help.dll 以及c:\windows\system32\cc*.exe 这里的*代表 cc1 ccc1 什么的
仔细琢磨了下打开 help.dll 看看里面有一段代码 open 一个ip地址很明显从这里下载的bai.vbs 以及bai.bat 2个文件一个是批处理文件一个是数据库文件来支持批处理文件这时候在打开bai.bat 发现里面代码真不少首先就是察看电脑里面是否有cc.exe 如果有就不执行如果没有就在c:\windows\里面放入 bai.vbs以及 help.dll 然后在检查时候有 bai.vbs 以及help.dll 如果有就在 c:\windows\system32 下面放 cc.exe 以及 ccc1.exe cc1.exe 等等反正就是 cc*.exe 然后再加载其放入的exe文件到进程如果有杀毒软件的话就会提示了这就是为什么老提示这个病毒的原因。现在来看目前就是help.dll 来引导的后面的一切病毒怎么办呢 help.dll是什么来的呢找不到那不要紧那就改下里面的内容把以为不知道是否判断help.dll 是否覆盖问题所以我们打开bai.bat 然后把里面代码全删除这样写自己写的不知道对不对。

del cc.exe
if not exist cc.exe sfd -
exit
if not exist cc.exe sft -
exit
if not exist cc.exe
exit
:end
exit
del c:\windows\help\bai.vbs /q/s
del c:\windows\help\help.dll /q/s
if not exist bai.vbs sfd - sft -
del c:\windows\system32\cc*.exe
if not exist cc*.exe sfd -
exit
if not exist bai.vbs sfd - sft -
del c:\windows\system32\cc*.exe
if not exist cc*.exe sfd -
exit
:end
exit

切忌写完修改属性为只度存档就好了。在删除 bai.vbs 以及 help.dll 重起电脑

作者: hnnhzyt2 时间: 2010-4-23 14:30

1、在开始－运行输入msconfig在启动选项下只剩下ctfmon（输入法）和杀毒程序
2、病毒库升级到最新开机按F8到安全模式下杀毒。再用360安全卫士扫描一下。
3、如果不行用手动删除，DOS、注册表、停止服务。
4、如果还是不行建议把数据备份一下，把所有的盘都分区格式化，这样一定最彻底（呵呵，实在没办法，出此绝招了~~^_^)

作者: 3221170 时间: 2010-4-23 14:33

晕啊，楼主是懒的一塌糊涂了，百度一下就好了啊。实在不行最好重装系统。

作者: fun161 时间: 2010-4-23 14:46

进安全模式，用DOS 删除，如果还出现的，那还有其它木马程序，试下《Windows木马清道夫》。
本人机器就是用ESET+360+Windows木马清道夫+ZONEALARM 4套软件 3年多都未中过毒及木马（24小时开机，公网）。

作者: zq5612323 时间: 2010-4-23 15:37

用兵刃杀一下就可以了。
不行的话。
就重新做一下系统

作者: cutjj 时间: 2010-4-23 15:47

批处理文件不一定是木马或病毒，你可以在文件上点击右键再点一下编辑，看看里面到底是什么，然后再根据情况处理

作者: weixiyu256 时间: 2010-4-23 18:15 标题: 病毒

我也遇见过这个病毒
但后来用诺顿杀掉了

作者: cqyangfq 时间: 2010-4-23 18:18 标题: 回复 2楼的帖子

我以前也遇到过同样的问题。粉碎机都没有办法。你这处办法就是行。但是我的U盘里老是有一个隐形文件夹，用你这种方法都删不了。看不家什么朋友没有。这个文件夹还会给已有文件夹复制一个相同的1.36M的文件夹。搞不懂了。可以帮忙解决一下吗？

作者: slofcl2009 时间: 2010-4-23 19:15

重新启动微机，或者用启动盘进入安全模式，然后启动杀毒软件，这样一般的病毒都可以杀除。

作者: sprite120 时间: 2010-4-23 19:33

进入安全模式用杀毒软件查杀或者下载个360专杀工具工具

作者: dna8008 时间: 2010-4-23 19:35

不行的话，gHOST安装一次就可以的了，以后小心就好

作者: tianyaxiaozhen 时间: 2010-4-23 20:01

这个不像是病毒文件，不过你既然说是病毒，杀不了，把C盘的东西COPY走，重装系统把

作者: huihui0791 时间: 2010-4-23 20:03

一般情况下用360和ARSWP一起用的，普通木马都能杀掉，遇到比较顽固的木马的话，360还有顽固木马专杀，如果用遍了各种杀马软件都没用的话，建议用冰刃，直接强行删除

作者: wangping1234 时间: 2010-4-23 22:17

多谢各位帮忙，杀毒软件只会隔离，而且在我的电脑里根本找不到这个文件。。。不知道该怎么办，就是不想重装才想让各位帮忙的。。。

作者: shiloye 时间: 2010-4-23 22:22

惨…你中了循环木马了……哈哈你玩咯，建议重装电脑

作者: kllovesyj 时间: 2010-4-24 10:45

进入安全模式，然后搜索bai.BAT ,把搜索到的全部删除就可以了.

作者: payne2 时间: 2010-4-24 10:53

我这机子也有，好像没有什么威胁，直接可以删掉

作者: qazwx59421 时间: 2010-4-24 11:03

你可以用360安全卫士——高级工具——文件粉碎，粉碎文件就可以了

作者: x18651321 时间: 2010-4-24 11:41

你的c盘是NTFS格式的话你先右键查看该批处理的文件属性,去掉只读属性,然后看看进程里有没有在运行,然后就可以杀了,具体的还是具体问题发出来大家分析下
或者你发批处理的代码发出来也行

作者: shakaol 时间: 2010-4-24 11:56

首先，你可以把原来的杀毒软件删了，然后到瑞星主页下载一个试用版，然后升级到最新版本，去杀毒一下。杀完毒之后，就把他删了，然后到毒霸的网站，下载一个试用版，然后升级到最新版本，将杀一次毒，大多数都可以解决问题。再不行的话只有重装系统，不过我这个方法城功是很高的，不防试试

作者: dh821015 时间: 2010-4-24 12:14

我也遇见过这个病毒
但后来用诺顿杀掉了

作者: zyzyy 时间: 2010-4-24 12:21

我以前也遇到过同样的问题。后来用诺顿杀掉了。

作者: microsoftt 时间: 2010-4-24 17:24

遇见顽固病毒，一般都是先备份，再格式化，断网重装。

作者: iadxtd 时间: 2010-4-24 17:25

360吧，我经常用的，效果蛮好，试试看

作者: qw0412 时间: 2010-4-24 17:26

用360杀毒。进入安全模式下杀，基本上可以杀掉。不行的话还原一下算了

作者: sun6183 时间: 2010-4-24 17:29

一般情况下删不掉是因为这个文件正在被使用，但是楼上的都给出很多解决方案，我想只要挨个试试一定能解决的。

作者: YOYOYO123 时间: 2010-4-24 17:53

对呀`你百度一下差不多就可以帮到你了
再不信你就装系统,最多半个小时的事

作者: vs009 时间: 2010-4-24 19:07

在安全模式下，直接删除这个文件，，

或者用360的文件粉碎器，直接碾掉它，

作者: vdnight 时间: 2010-4-24 19:09

用文件粉碎机直接粉碎文件同时防止文件再生

作者: sunblue 时间: 2010-4-24 19:29

用文件粉碎机直接粉碎文件同时防止文件再生

作者: zongshen7451 时间: 2010-4-24 19:36

楼主实在不行的话，就下载“一刀斩”这个软件不错的

作者: hj5710185 时间: 2010-4-24 19:36

用360木马强杀就可以了啊，我电脑出问题都是用这个。很好用

作者: cszx 时间: 2010-4-24 19:41

先可以把查出来的病毒类型搜一下，看看其他网友的解决方案~
下次做完系统GHOST备份一下，万无一失啊！
呵呵，遇到就还原

作者: ll00012 时间: 2010-4-24 19:46

有些木马特别难清除，可以先进安全模式再试试。

作者: jdison3 时间: 2010-4-24 20:49

推荐楼主用ewido，木马专杀！绝对好使

作者: xhqxhq 时间: 2010-4-24 20:57

我也碰到过这个病毒，不过用卡巴好像很容易就能把病毒干掉啊。建议用卡巴试试。

作者: zjsxhl 时间: 2010-4-24 23:30

用别的杀毒软件试试，如果不行重装系统，不同的杀毒软件的病毒库不一样，你的杀毒软件没这毒的特征码

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://67.220.91.16/bbs/)