返回论坛首页联系我们论坛帮助
>> 都是菜鸟,学习起来没有任何包袱,相互学习,取长补短,菜鸟将成这里起飞。
搜一搜相关精彩主题 
动网先锋论坛知青大学都是菜鸟 → 一位网友的AUTO.EXE病毒查杀记实

您是本帖的第 1426 个阅读者
树形 打印
标题:
一位网友的AUTO.EXE病毒查杀记实
笨笨牛
帅哥哟,离线,有人找我吗?
等级:管理员
文章:1889
积分:6471
门派:无门无派
注册:2005年8月31日
楼主
 点击这里发送电子邮件给笨笨牛 访问笨笨牛的主页

发贴心情
一位网友的AUTO.EXE病毒查杀记实

一位网友的AUTO.EXE病毒查杀记实


 

 昨天晚上,因为上网答题的缘故,访问了一些我平常根本不会访问的驾照测试站点。当我的Firefox(火狐浏览器)拒绝访问的时候,我做了一件非常愚蠢的事情:启用IE(徽软windows下的自带浏览器)访问。几乎是同时,我的卡巴斯基开始报警,而且一直没有间断。随后,卡巴斯基报告系统时钟错误,无法正常运行。我去检查了一下:

1、系统时钟被改为2005年。手工改回,但是随着卡巴斯基回复正常报警,系统时钟再次被更改。

2、在所有硬盘分区根目录下都出现了两个文件:Auto.exeAutorun.inf

3、卡巴斯基报告,存在两个木马文件,位置和名称分别为:
C:\WINDOWS\System32\LotusHlp.dll
C:\WINDOWS\System32\Ptsshell.dll
卡巴斯基无法删除,要求重新启动系统后删除。

4、关机重启,屏幕右下角有黄色信息框提示,是否要中断和本机相连接的6个连接(所谓6个连接表示有网络上6个不知名用户在访问本机)。汗如庐山瀑布......

5、重启机器后,卡巴斯基无法删除病毒,并发现了上面4个文件关联的木马病毒:
Trojan-PSW.Win32.OnLineGames.lek
Trojan-PSW.Win32.OnLineGames.lch
Trojan-PSW.Win32.OnLineGames.isb
Virus.Win32.AutoRun.mg

我上网查资料,发现Auto.exe和Autorun.inf又被称为“U盘病毒”。今年(2007)4月份已经爆发过,但是12月16、17、18日又有很多人报告发现了这种病毒。而且之前金山和瑞星以及其他国产专杀软件都失去了效果,怎么都杀不干净。我每五分钟下载查杀一个专用工具,半个小时之后没有一个奏效。最后,是在卡巴斯基的论坛和其它网络论坛发现了办法,简单总结如下:

1、先下载安装Unlocker1.8.5,这是一个强制删除文件的软件。由于这些病毒文件拒绝被移动或者删除,所以必须用工具粉碎。
2、清空IE的历史记录、缓存、COOKIE。
3、下载U盘病毒专杀工具usbcleaner,国产软件,是所有专杀工具中最狠的一款。(最近更新时12月17日)
4、运行usbcleaner,使用其中的广谱扫描找到各分区下的病毒文件,它会提示你重启动之后会自动删除。不要重启动,而且要指定usbcleaner保护你的系统时钟。
5、在C:\WINDOWS\System32\ 目录下,删除:
LotusHlp.dll和Ptsshell.dll,如果它们不配合,这时候就用Unlocker1.8.5直接粉碎。值得注意的是,我还在这个目录下发现了两个很长数字串为文件名的EXE文件,它们也要删掉。不过,简单点的办法是排列图标,按照时间显示。把System32目录下中标以后产生的文件全部删除。
6、进入注册表编辑器,在
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里,把启动时增加的莫名其妙的东西去掉,比如Nwiz.exe这样的东西,全部删除。LotusHlp.dll和Ptsshell.dll也肯定有键值,全部干掉。
7、重新启动电脑,按F8进入安全模式,先usbcleaner,后卡巴斯基。杀完一遍如果没有病毒了,再正常启动,在常态模式下再用卡巴斯基杀一遍。

我这样折腾到四点,可算是好了。


是的,我们没有也不可能改变社会,但是我们可以努力改变自己的人生。
ip地址已设置保密
2008/2/13 20:42:11

 1   1   1/1页      1    
湘ICP备05003987号
网上贸易 创造奇迹! 阿里巴巴 Alibaba
Copyright ©2000 - 2005 Aspsky.Net
页面执行时间 0.13867 秒, 4 次数据查询