SiS001! Board - [第一会所关闭注册]

标题: [求助] explorer.exe中病毒 [打印本页]

作者: 00900 时间: 2006-12-6 12:57 标题: explorer.exe中病毒

我的explorer.exe中病毒了,在C盘.WINDOWS文件下.大小是950KB.病毒名为
恶意代码: Trojan-Spy.Win32.Qeds.a_3
杀毒软件删掉后他自己恢复.怎么办啊.

作者: 小马快跑 时间: 2006-12-6 13:00 标题: 回复 #1 00900 的帖子

进入安全模式删！
或者山完之后直接断电。再启动。

作者: 00900 时间: 2006-12-6 13:05

就是安全删的还是恢复我可不想重新格式化我所有的硬盘啊`谁有办法啊~急~搞的我游戏都不敢上啊~唉

作者: 小马快跑 时间: 2006-12-6 13:07

注册表你看了吗？

作者: 00900 时间: 2006-12-6 13:13

注册表里我找不到~要是找的到就好了唉~这个毒还影响网速~CPU的使用超大我都想晕了从早上搞到现在了

作者: 00900 时间: 2006-12-6 13:17

刚刚又用了东方卫士杀~根本发现不了他是病毒我倒死了~谁知道怎么搞啊????

[ 本帖最后由 00900 于 2006-12-6 01:18 PM 编辑 ]

作者: 2008 时间: 2006-12-6 13:44

楼主，你找个还无忧启动的光盘（要DOS模式NTFS文件格式）从DOS状态下把这个件删除，如果重启机子，没有病毒的话，恭喜你完成！
如果系统仍然提示病毒的话，说明此文件不是病毒体，而是假像，你必须找到真正的病毒体照上面的方法删除即可。
如果你实在找不到病毒体所在的文件的的话，那只有重装系统！

作者: hawk44 时间: 2006-12-6 14:12

肯定是其他的病毒在系统启动时产生的子病毒，你要把夫病毒删了。但是看来东方卫士功力不够啊。

作者: 00900 时间: 2006-12-6 15:30

唉~主病毒清不掉~东方一关~注销网络在重新登陆在用东放一扫又是400多个病毒我都想死了

作者: pc2628 时间: 2006-12-24 21:56

可以試試用無毒開機光碟開機後把C碟中毒檔刪除後COPY開機光碟上同檔名之檔案COPY到C碟刪除檔案的目錄內(開機光碟和硬碟系統要一樣XP SP1或SP2版本皆可)重新開機即可

作者: bananaju 时间: 2006-12-24 23:43

也有可能是木马作怪吧.我的机器是金山毒霸加木马清道夫,用的好好地.少一样我的机器就中招.也许楼主开少一点不认识的古怪网站也能预防IE中毒或木马.

作者: fc7615 时间: 2006-12-25 00:06

这个病毒没有其他的方法，只有重状系统，因为explorer.exe是系统必要文件，删掉就没有桌面了

作者: fc7615 时间: 2006-12-25 00:08

对于可能受红色蠕虫病毒感染的计算机系统，包括安装有IIS 4.0或者IIS 5.0的Microsoft Windows NT 4.0和Windows 2000的主机，需要采取以下措施进行病毒预防和病毒感染处理。

一、立即采取以下两种安全防范措施之一，预防红色蠕虫病毒感染。

方法1：从微软的网站下载打补丁软件，地址为：
　　　http://www.microsoft.com/technet/security/bulletin/MS01-033.asp
　　　或者从CCERT的网站下载打补丁软件，地址为：
　　　对Windows NT：ftp://ftp.ccert.edu.cn/pub/CHSQ300972i.exe
　　　对Win2000：ftp://ftp.ccert.edu.cn/pub/Q300972_W2k_SP3_x86_cn.exe

方法2：把%windowsdir%\system32中的idq.dll做备份，然后删除。

二、检察系统是否已被感染红色蠕虫病毒。如果在系统文件中发现有下列后门（木马）程序：C:\explorer.exe，D:\explorer.exe，则说明系统已经被病毒感染。

三、对于已经感染病毒的主机，按以下步骤手工消除病毒：
　　(1) 将该机器从网络上断开，以避免重复感染和感染其它机器。

　　(2) 立即停止IIS服务。打开控制面板，打开"服务"，点击World Wide Web Publishing Service. 选择"已禁用"。

　　(3) 打开任务管理器，选择"进程"。检查是否进程中有两个"exploer.exe".如果您找到两个"exploer.exe"，说明木马已经在您的机器上运行了，您应当立刻杀掉木马程序；否则，说明您还没有执行木马程序，您可以转到第四步。

　　(4) 在菜单中选择查看| 选定列 | 线程计数，按确定。这时您会发现显示框中增加了新的一列"线程数"。检查两个"exploer.exe", 显示只有一个线程的"exploer.exe "就是木马程序。您应当立刻结束这个进程。

　　(5) 重新启动机器，运行cmd，在cmd窗口中运行以下命令（或下载批处理文件　ftp://ftp.ccert.edu.cn/pub/clean.bat），以删除蠕虫病毒留下的后门。
　　　　C:
　　　　CD C:\
　　　　ATTRIB -h -s -r explorer.exe
　　　　Del explorer.exe
　　　　Del C:\inetpub\scripts\root.exe
　　　　Del C:\progra~1\Common~1\System\MSADC\Root.exe
　　　　D:
　　　　CD D:\
　　　　Attrib -h -s -r explorer.exe
　　　　Del explorer.exe
　　　　Del D:\inetpub\scripts\root.exe
　　　　Del D:\progra~1\Common~1\System\MSADC\Root.exe
　　　　忽略其中任何错误。

(6) 修改被蠕虫改动过的注册表：
　　运行regedit
　　选择：
　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
　　Services\W3SVC\Parameters\Virtual Roots
　　选择/C,选择删除；选择/D, 选择删除。
　　选择：/MSADC，将217换为201。
　　选择：/scripts，将271换为201。
　　对于Windows 2000系统，需要打开：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon
　　将SFCDisable改为0。

(7) 重新启动机器。

四、推荐采用微软公司提供的工具软件消除病毒，方法如下：
　　(1) 从下列地址下载此工具：
　http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31878
　　或
　ftp://ftp.ccert.edu.cn/pub/CodeRedCleanup.exe
　　(2) 在命令行窗口中运行：
c:\> CodeRedCleanup.exe
　　或者
c:\> CodeRedCleanup.exe -disable (如果您不需要IIS服务)
　　(3) 重新启动系统
　　(4) 安装补丁或者采取其他解决措施
　　(5) 再次运行此清除程序，以防止重新启动后再次被蠕虫感染。
　　(6) 重新启动系统。

五、参考网站
　　[1.] eEye 的分析报告：　http://www.eeye.com/html/advisories/coderedII.zip
　　[2.] CERT Incident Note IN-2001-09 ：　http://www.cert.org/incident_notes/IN-2001-09.html
　　[3.] Symantec CodeRed.v3：　http://www.sarc.com/avcenter/venc/data/codered.v3.html
　　[4.] 【绿盟紧急安全公告】防范"CodeRedII"蠕虫!
http://security.nsfocus.com/showQueryL.asp?libID=580

作者: fc7615 时间: 2006-12-25 00:19

Trojan-Spy.Win32.Qeds.a分析

病毒名称：Trojan-Spy.Win32.Qeds.a(kaspersky)　　　　

病毒别名： W32/Qeds!keylog (McAfee),I-Worm/QQ.Porn(江民),Worm.QQ.TopFox(瑞星)

影响系统：Windows系统　威胁级别：★★

基本特征：病毒长度20480字节，为蠕虫病毒，通过在线QQ发送病毒文件，以色情字样作为引诱。病毒运行后会从黑客网站下载另一病毒Trojan.Win32.VB.xb，后者主要任务在于窃取密码，即国内熟知的“密码结巴”。鉴于其较广传播，且破坏系统文件，危害程度被评为二星。

病毒行为：

1、创建如下病毒文件
%SystemDir%\wbem\dhelp.dll, 20480字节
%SystemDir%\dhelp.dll, 20480字节
%SystemDir%\wmimgr.exe, 20480字节

远程下载Trojan.Win32.VB.xb病毒，用以窃取密码
%SystemDir%\comime.exe, 49576字节
%SystemDir%\msinthk.dll, 6656字节

2、添加如下注册表项目，实在自动启动
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run mssysint "comime.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run Windows Management Instrumentation "wmimgr.exe"
其中，还会添加一个HKEY_LOCAL_MACHINE\SOFTWARE\TopFox项，作为病毒感染的一个标志。

3、修改系统设置，使用户无法使用任务管理器和注册表

4、修改本机计算机以下文件，使这些文件被运行时会启动"DHelp.dll"文件，以达到病毒自启动的目的：
1.%WINDIR%\EXPLORER.EXE
2.%WINDIR%\NOTEPAD.EXE
3.C:\Program Files\IEXPLORE.EXE
4.%SYSDIR%\DllCACHE\EXPLORER.EXE
5.%SYSDIR%\DllCACHE\NOTEPAD.EXE
6.%SYSDIR%\DllCACHE\IEXPLORE.EXE

5、DHelp.dll不是一个动态库文件，而是一个可执行文件，当病毒感染成功后，会自动寻找到QQ安装目录，每次运行QQ也会运行病毒。

6、通过QQ发送病毒，名称有以下可能（不逐一枚举）：
蔡依林短裙显诱惑 [转帖][贴图]
美女超短裙被刮破的那一刻!
推荐-很珍贵历史照片：估计9成人没看到过[23P]
极度诱惑！
真正的美女并不是脱光了衣服才够靓！
超辣的酒店小姐你怕吗？
时尚、成熟、风韵、妩媚、性感
真实网友美眉在浴室自拍（没穿衣服）
美少女做爱十八式哦。
《这就是人体艺术！》
青春靓丽的极品美女－不看别后悔
超清晰极限美图！大师级作品
“一脱成名”：台湾三级女星十年兴衰
美人脱衣全过程[抵制日货
但是不要抵制日本美女]
MM走光令人喷血
美女走光才完美
......等

7、病毒创建的msinthk.dll文件（6656字节），由comime.exe（49576字节）释放后插入QQ进程，实现截获QQ窗口发送病毒文件，并导致用户不能关闭QQ聊天窗口。

，上面帖子不算，楼主还是老实重装吧，估计快些晕了

作者: fc7615 时间: 2006-12-25 12:53

呵呵，解释下，我上面连发了2个帖，13楼以为是红色蠕虫病毒，后来查了下病毒名，就发14楼的帖，14楼的最后一句打错了，应该是：晕了，上面帖子不算，楼主还是老实重装吧，估计快些。

作者: 寂寞人 时间: 2006-12-25 21:11

如此麻烦,用GHOST重安装一次,五六分钟而已!

作者: sin77777 时间: 2006-12-25 21:33

可能是恶意病毒，使用魔法兔子进行一下恶意软件的清除就可以了不用删除文件的。

欢迎光临 SiS001! Board - [第一会所关闭注册] (http://67.220.92.23/bbs/)