倍可親

標題: 求救！！！如何徹底清除Troj木馬病毒？？ [列印本頁]

作者: wood661224 時間: 2006-7-13 12:39
標題: 求救！！！如何徹底清除Troj木馬病毒？？
我的電腦經過殺毒，發現如下問題：
1、系統事件：啟動項目中發現木馬!木馬名稱：Troj.LMir2.ky.2599。木馬啟動項：torjan program。
2、系統事件：啟動項目中發現木馬!木馬名稱：系統用戶登錄管理.3。木馬啟動項：torjan program。
上述木馬病毒無法徹底清除。每次啟動電腦，都會顯示核心程序無法啟動；以及，核心內存嚴重不足，出現停機狀況。
請教各位高手，怎麼樣才能夠將這樣的木馬病毒徹底清除？？請求幫助！！
謝謝！！

作者: laodai 時間: 2006-7-13 14:02
在「安全模式」下用「Ewido V4.0.0.172」是能夠去除這類木馬的。

本壇有下載：（綠色版不具有網路保護功能）

http://soft.greendown.cn/UpLoadFile/2006-3/ewido_y.rar

使用方法：http://www.backchina.org/main/showthread.php?t=378326
海外網址：

作者: laodai 時間: 2006-7-13 14:09
這是個很厲害的木馬，提供他人的方案。

瑞星，毒霸，木馬剋星。都沒有用，安全模式下也殺不了的。此木馬為關聯木馬專盜密碼的。圖標是紅色的底黑色的龍，中毒後會釋放很多的.com文件如regedit.cn啊等等！

殺毒前準備軟體
1.木馬殺客5.2
2.exe文件關聯修復軟體
3.黑金防火牆
4.內存管理軟體

開始殺毒
1.先安裝木馬殺客和黑金防火牆，掃描基線應用程序。
2.用內存管理工具強行關閉內存中的木馬文件winlogon.exe
3.修復exe關聯文件。
4.開啟木馬殺客完全殺毒。
如果黑金防火牆發現winlogon.exe要啟動，選擇永遠禁止。

作者: laodai 時間: 2006-7-13 14:17
在《電腦報》論壇有以下的分析和方法，供參考：

這是個變態的傳奇木馬。沒有手工殺毒經驗的朋友還是建議重裝系統，這樣可能效果更好。
運行病毒文件之後創建以下文件：
C:\WINDOWS\Debug\DebugProgram.exe
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\explorer.com
C:\WINDOWS\finder.com
C:\WINDOWS\services.exe
修改EXE文件關聯。
添加到啟動項：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Torjan Program----------C:\WINDOWS\services.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
Torjan Program----------C:\WINDOWS\services.exe
修改SYSTEM.INI 原始值應該為shell = Explorer.exe 修改為shell = Explorer.exe 1（實現啟動載入Explore.exe后緊接著載入1）
各在磁碟根目錄中添加文件autorun.inf，打開磁碟就會激活病毒。
多種方法來啟動自己保護自己，比較難查殺。

查殺過程：
下載SREng.exe，並改名為SREng.com SRE的下載地址是：http://www.kztechs.com/sreng/sreng.zip 運行SREng.com，在「系統修復」→「文件關聯」里勾選「.EXE」項（如果EXE關聯錯誤默認就會勾上的），並「修復」，恢復EXE文件關聯。然後打開IceSword（下載地址：http://www.xfocus.net/tools/200509/IceSword_en1.12.rar），結束病毒的進程。注意進程裡面有兩個services.exe，正常的為C:\WINDOWS\system32\services.exe，那麼另外一個就是病毒的進程了。結束了病毒進程之後在IceSword裡面打開文件，找到並刪除病毒所創建的文件（文章開頭列出了這些文件）。打開註冊表（開始-運行-regedit）找到：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
刪除其中的Torjan Program----------C:\WINDOWS\services.exe
再找到：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
把其中shell的值改回為shell = Explorer.exe
然後在每個盤的根目錄中找autorun.inf文件（先顯示隱藏文件和系統文件），找到就刪除。
重啟之後病毒就不會再出現了。
另外可能病毒殺死後會出現雙擊IE瀏覽器系統提示找不到iexplorer.com文件，這個時候你直接選瀏覽，然後找到iexplorer.exe，確定就可以了。

作者: laodai 時間: 2006-7-13 14:24
這是個難度較高的操作，重裝或清除后，建議加強系統的安全設置。

作者: wood661224 時間: 2006-7-13 22:42
標題: 殺毒後期的問題，請LAODAI 支持，謝謝！！
感謝LAODAI的支持，採用你提供的方法，我目前已經進行殺毒。完成以後，重新啟動，卻找不到桌面，不知道原因，是否我的使用方法錯誤？此外，在windows中的1.log仍然繼續運行，不無徹底清楚，請問是什麼原因？謝謝你！

作者: wood661224 時間: 2006-7-13 22:53
標題: 殺毒後期的問題，請LAODAI 支持，謝謝！！
感謝LAODAI的支持，採用你提供的方法，我目前已經進行殺毒。完成以後，重新啟動，卻找不到桌面，不知道原因，是否我的使用方法錯誤？此外，在windows中的1.log仍然繼續運行，不無徹底清楚，請問是什麼原因？謝謝你！

作者: laodai 時間: 2006-7-14 00:04
操作「文件夾選項」，讓隱藏的文件都顯示，按4樓的方法做比較有效。

用任何殺毒軟體都不能解決在註冊表的「駐留」問題，只能再手工清除，的確比較麻煩。被這個病毒破壞和修改的文件相當多，用「搜索」的「高級」方式將其揪出來刪除。

如果打算重裝系統，必須把其它驅動器中相關的「感染」文件卸載（主要是那個遊戲，如果是客戶端也得卸），再格式化C盤。

這個病毒危害性極大，中「招」的朋友叫苦不迭。春節時為朋友搞過一次，最後重裝兩遍，後來也是按網路中介紹的辦法解決問題。《電腦報》老鳥的辦法最有效。

歡迎光臨倍可親 (https://big5.backchina.com/)