9,506
社区成员
发帖
与我相关
我的任务
分享机器中了新病毒 c:\windows\system32\vt100.exe
用冰刃IceSword无法删除进程,此文件是隐藏文件但我打开显示隐藏文件也找不到该文件。用Google搜索了一下,大部分是英文,大意是此病毒感觉所有盘exe文件,ghost回去了C盘 别的盘都不敢动,一运行就中招,已经重新ghost了几回了。
求助高手帮忙。以下是扫描结果:
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 12:49:52, 日期 2007-3-27
操作系统: Windows XP SP1 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP1 (6.00.2800.1106)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Documents and Settings\大西瓜\桌面\AntiVirus.com
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\VT100.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\tools\SREng2\SREng.EXE
D:\tools\hijackthis\HijackThis1991zww.exe
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - 启动项HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - 启动项HKLM\\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - 启动项HKLM\\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC7F6D70-6442-4D22-B921-9480BD676492}: NameServer = 202.99.160.68 202.99.166.4
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Client IP-IPX - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e te-110-12-0000122 (file missing)
求助高手帮忙。以下是扫描结果:
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 12:49:52, 日期 2007-3-27
操作系统: Windows XP SP1 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP1 (6.00.2800.1106)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvraidservice.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\wbem\unsecapp.exe
C:\Documents and Settings\大西瓜\桌面\AntiVirus.com
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\VT100.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\tools\SREng2\SREng.EXE
D:\tools\hijackthis\HijackThis1991zww.exe
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [NVRaidService] C:\WINDOWS\System32\nvraidservice.exe
O4 - 启动项HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - 启动项HKLM\\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - 启动项HKLM\\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC7F6D70-6442-4D22-B921-9480BD676492}: NameServer = 202.99.160.68 202.99.166.4
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Client IP-IPX - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e te-110-12-0000122 (file missing)
...全文
请发表友善的回复…
发表回复
lirongfeng 2007-04-03
- 打赏
- 举报
彻底的方法是在dos下格式化c盘,然后用dir /a/s检查除c盘外的其他盘是否有隐藏、系统文件,类似atuorun.inf文件等用attrib -h -r -s命令结合del命令删除,然后恢复ghost。
fankun 2007-04-02
- 打赏
- 举报
用优化大师进程查看器,找出所有可疑进程路径。重启,进入安全模式(此时只有少数支持系统运行的进程在),很容易确定病毒进程,终止可疑进程树。找到病毒文件,改名,删除。清理注册表,重启电脑。
Aceryt 2007-03-27
- 打赏
- 举报
删除不掉还有种做法,删除此文件后手工创建一个文本文件,名字为rpcc.dll,放在同样的地方,然后权限设置为所有人禁止访问试试。
erlang_work 2007-03-27
- 打赏
- 举报
找到vt100.exe了 在c:\windows\system\下,用kill box删除正常删不掉,后来选择重新启动时间删除终于把它拿掉了。暂时这个vt100算没了可还有个c:\windows\system32\rpcc.dll老是在,删除了老回来。
Aceryt 2007-03-27
- 打赏
- 举报
下载一个恶意软件清理工具,准备好杀毒软件和最新病毒库,去安全模式删除一些不必要的插件,清空临时文件夹,使用Sysinternal的Autoruns工具清理一下可疑的加载项,最后查杀一下病毒。
