电脑中病毒了,高手帮忙解决一下?谢谢!
电脑中病毒了,只要在互联网上搜索关于病毒或是杀毒软件的字样,就会被关闭,杀毒软件也安装不了,有时候在任务管理器会出现1222.exe的进程,是什么病毒,高手帮忙解决一下?谢谢!
安全模式进去不了,
转载的::
1222.exe病毒样本rxmoefa.exe 是在各个分区下的病毒安装文件。
运行rxmoefa.exe
创建进程wqdlitd.exe和shulbhs.exe
注册表run下加入wqdlitd和shulbhs两个启动项
修改checkvalue=0使隐藏文件不能显示
添加Image File Execution Options项如下(映象劫持)添加见附1。
除c盘外每个盘下写入autorun.inf和rxmoefa.exe
system32下释放文件dld.dat(内容为http://www.5460w.cn/xzz/0603.exe
,稍后你会看到wqdlitd.exe从这个网址下载罪恶的0603.exe)meex.com wqdlitd.exe和shulbhs.exe
该病毒没有发现添加服务、驱动也没有插入dll线程
1222.exe病毒清除办法及1222.exe专杀下载解决方法:
终止两个进程(两个线程相互保护,需要icesword禁用线程创建然后结束掉),使用sreng或运行注册表
删除wqdlitd和shulbhs两个启动项,在注册表中将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\SHOWALL]下checkvalut改为1,使其显示隐藏文件(我在iceword下查看文件的,这一步纯粹为了修复系
统),将[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\]下的[Image File
Execution Options]这个项全部删除(删后杀毒软件就可以用了)
system32下删除dld.dat meex.com wqdlitd.exe和shulbhs.exe
删除各个盘下autorun.inf和rxmoefa.exe
总结:分析完觉得没什么,我在太平洋上写过一个7个字母随机文件名的病毒,它们是一摸一样的东西。链接如下,那时是5月27号。
http://softbbs.pconline.com.cn/topic.jsp?tid=7154371
以上为该病毒运行后无其它多于操作的症状,网络为开启状态。
就在我以为自己算是重复做了同样事情的时候,病毒出现了新行为: wqdlitd.exe 突然试图调用system32下0603.exe(这个文件突然出现的,刚运行病毒的时候并没有0603.exe这个文件,事实上 wqdlitd.exe 每隔一段时间会下载并运行它,该文件没有隐藏),之后explorer会调用C:\Documents and Settings\xulong\Local Settings\Temp\0222.exe
0222.exe会在C:\Program Files\Common Files\Microsoft Shared\MSInfo 注入SysWFGQQ2.dll,并在注册表添加启动项
explorer继续调用调用C:\Documents and Settings\xulong\Local Settings\Temp\1222.exe
1222.exe修改如下程序内存C:\WINDOWS\system32\smss.exe csrss.exe winlogon.exe services.exe
lsass.exe svchost.exe spoolsv.exe explorer.exe shulbhs.exe ctfmo.exe wqdlitd.exe 之后你会发现,它修改的是所有在运行程序的内存(目的不详)。
加载C:\WINDOWS\system32\drivers\CelInDriver.sys(我原来以为1222.exe会修改运行程序使其保护病毒
,不过后来感觉我多虑了,病毒折腾完后,杀起来一样)
这个病毒是专门盗取qq的小木马,做的比较干净,真正盗号的文件都是联网后病毒进程下载的,算是比较独特。杀除方法同上,只需要多删除一个C:\Program Files\Common Files\Microsoft Shared\MSInfo 启动项 剩下的病毒文件自己删掉也行,最好把杀软升级到最新,用它杀。 C:\WINDOWS\system32\drivers\CelInDriver.sys这个文件不会自启动,删不删都行。
以下为真正盗号文件的路径,截图时路径没显示完整,失误
1222.exe病毒样本rxmoefa.exe 是在各个分区下的病毒安装文件。
运行rxmoefa.exe
创建进程wqdlitd.exe和shulbhs.exe
注册表run下加入wqdlitd和shulbhs两个启动项
修改checkvalue=0使隐藏文件不能显示
添加Image File Execution Options项如下(映象劫持)添加见附1。
除c盘外每个盘下写入autorun.inf和rxmoefa.exe
system32下释放文件dld.dat(内容为http://www.5460w.cn/xzz/0603.exe
,稍后你会看到wqdlitd.exe从这个网址下载罪恶的0603.exe)meex.com wqdlitd.exe和shulbhs.exe
该病毒没有发现添加服务、驱动也没有插入dll线程
1222.exe病毒清除办法及1222.exe专杀下载解决方法:
终止两个进程(两个线程相互保护,需要icesword禁用线程创建然后结束掉),使用sreng或运行注册表
删除wqdlitd和shulbhs两个启动项,在注册表中将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\SHOWALL]下checkvalut改为1,使其显示隐藏文件(我在iceword下查看文件的,这一步纯粹为了修复系
统),将[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\]下的[Image File
Execution Options]这个项全部删除(删后杀毒软件就可以用了)
system32下删除dld.dat meex.com wqdlitd.exe和shulbhs.exe
删除各个盘下autorun.inf和rxmoefa.exe
总结:分析完觉得没什么,我在太平洋上写过一个7个字母随机文件名的病毒,它们是一摸一样的东西。链接如下,那时是5月27号。
http://softbbs.pconline.com.cn/topic.jsp?tid=7154371
以上为该病毒运行后无其它多于操作的症状,网络为开启状态。
就在我以为自己算是重复做了同样事情的时候,病毒出现了新行为: wqdlitd.exe 突然试图调用system32下0603.exe(这个文件突然出现的,刚运行病毒的时候并没有0603.exe这个文件,事实上 wqdlitd.exe 每隔一段时间会下载并运行它,该文件没有隐藏),之后explorer会调用C:\Documents and Settings\xulong\Local Settings\Temp\0222.exe
0222.exe会在C:\Program Files\Common Files\Microsoft Shared\MSInfo 注入SysWFGQQ2.dll,并在注册表添加启动项
explorer继续调用调用C:\Documents and Settings\xulong\Local Settings\Temp\1222.exe
1222.exe修改如下程序内存C:\WINDOWS\system32\smss.exe csrss.exe winlogon.exe services.exe
lsass.exe svchost.exe spoolsv.exe explorer.exe shulbhs.exe ctfmo.exe wqdlitd.exe 之后你会发现,它修改的是所有在运行程序的内存(目的不详)。
加载C:\WINDOWS\system32\drivers\CelInDriver.sys(我原来以为1222.exe会修改运行程序使其保护病毒
,不过后来感觉我多虑了,病毒折腾完后,杀起来一样)
这个病毒是专门盗取qq的小木马,做的比较干净,真正盗号的文件都是联网后病毒进程下载的,算是比较独特。杀除方法同上,只需要多删除一个C:\Program Files\Common Files\Microsoft Shared\MSInfo 启动项 剩下的病毒文件自己删掉也行,最好把杀软升级到最新,用它杀。 C:\WINDOWS\system32\drivers\CelInDriver.sys这个文件不会自启动,删不删都行。
以下为真正盗号文件的路径,截图时路径没显示完整,失误
温馨提示:内容为网友见解,仅供参考
第1个回答 2008-03-01
去下载360修复下
那里有专杀
这样的病毒只能寻找专杀
AVG
金山的专杀比较好
那里有专杀
这样的病毒只能寻找专杀
AVG
金山的专杀比较好
第2个回答 2008-03-01
你一定要 完全格式化你的盘
所有盘 都要这样做,
千万不能 快速格式代!!
一定要格式化,这样才能彻底清掉病毒
如文件重要的话,可以把文件刻录到DVD中,
一片DVD最少都有4.7GB,几元就有一张了
为什麼我要强调去格式化!?
你可能有听过有些软件能够把删除去的文件找回来,他们就是利用这个原理把找回来,即使删除了,但内裹文件还存在的!
因在病毒很聪明,很喜欢这样,你删除了之后他又会跑出来!!
你还是不要重装系统了,肯定会不小心把重要文件的盘都给格了..
所有盘 都要这样做,
千万不能 快速格式代!!
一定要格式化,这样才能彻底清掉病毒
如文件重要的话,可以把文件刻录到DVD中,
一片DVD最少都有4.7GB,几元就有一张了
为什麼我要强调去格式化!?
你可能有听过有些软件能够把删除去的文件找回来,他们就是利用这个原理把找回来,即使删除了,但内裹文件还存在的!
因在病毒很聪明,很喜欢这样,你删除了之后他又会跑出来!!
你还是不要重装系统了,肯定会不小心把重要文件的盘都给格了..
第3个回答 2008-03-01
你用U盘烤个杀毒软件来,直接启用U盘的杀毒软件运行全盘杀毒。
你中的可能是AVG。有专门的AVG专杀。你让别人的电脑帮帮忙。
你中的可能是AVG。有专门的AVG专杀。你让别人的电脑帮帮忙。
第4个回答 2008-03-01
任务管理器会出现1222.exe的进程应该是网页类的木马病毒,这种木马潜在性很强,而且会自动关闭杀毒软件,最好的反法就是还原系统,将系统重新恢复的以前安全的状态下再安装杀毒软件
相似回答
