. : : ClassiClub ForuM : : .

会员中心 论坛帮助 日历事件 标记论坛已读
返回   精品技术论坛 » 技术论坛 » 『软件使用』

『软件使用』: 电脑软件推荐, 电脑软件使用, 经验分享



发表新主题 关闭主题
 
主题工具
huadee
 
huadee 的头像
核心会员
 
资 料:
注册日期: Apr 2002
帖子: 2,605 声望值: 5
精华: 0
#1 旧 2009-03-20, 07:25:10 默认 【求助】启动里面多了一个程序,无法删除,是不是中了病毒?
huadee 当前离线  

系统是中xp sp2的。
对这个程序看属性是这样显示的,但在那个system32目录里没找到呀,
C:\WINDOWS\system32\6776F7\241A9F.EXE

我直接在启动那里,把这个文件删除,想着应该可以了吧,但我一重启,这个文件再次出现了,要如何办?
laohucai
 
laohucai 的头像
核心会员
 
资 料:
注册日期: Nov 2001
帖子: 3,020 声望值: 3
精华: 0,解答: 15
#2 旧 2009-03-20, 08:48:48 默认
laohucai 当前离线  

看名字90%是病毒,你必须先结束进程了,然后在删除,不让你刚删除了,病毒又给加上了!!


..::HAKUNA MATATA::..
wxh5
 
wxh5 的头像
终极会员
 
资 料:
注册日期: Jul 2004
帖子: 13,374 声望值: 1
精华: 0,解答: 29
#3 旧 2009-03-20, 08:57:13 默认
wxh5 当前离线  

试下用windows清理大师吧,一般能解决

另外这种目录都是隐藏的,需要进PE才能看到,我也不清楚什么原理


感谢ccf
evacat
 
evacat 的头像
超级会员
 
资 料:
注册日期: Aug 2002
帖子: 1,672 声望值: 4
精华: 2,解答: 6
#4 旧 2009-03-20, 10:04:06 默认
evacat 当前离线  

有进程驻留。
需要用SRENG来看启动项、服务和驱动,找出根源程序,让它不自动启动。
还需要配合Process Explorer来杀掉正运行的进程、dll或handle。
进目录删文件需要用dos命令来做。
实在不行时需要用PE盘启动后找到根源文件删除。


mystery
 
mystery 的头像
超级会员
 
资 料:
注册日期: Sep 2001
帖子: 1,540 声望值: 3
精华: 1
#5 旧 2009-03-20, 10:06:11 默认
mystery 当前离线  

看名字就能确定,肯定是病毒了。
baogong
 
baogong 的头像
高级会员
 
资 料:
注册日期: Jan 2008
帖子: 837 声望值: 3
精华: 0
#6 旧 2009-03-20, 10:11:04 默认
baogong 当前离线  

我也觉着是个病毒,先想办法去掉这个系统启动加载项,可以进入注册表删掉这个加载项,然后重启,再清理病毒文件,如果隐藏了,先让它显示出来。
柠檬雨飞
 
柠檬雨飞 的头像
超级会员
 
资 料:
注册日期: Jun 2004
帖子: 1,962 声望值: 3
精华: 0
#7 旧 2009-03-20, 15:03:43 默认
柠檬雨飞 当前离线  

看看进程里有没这个 有的话先结束了再处理
liaohh
 
liaohh 的头像
支柱会员
 
资 料:
注册日期: Jan 2002
帖子: 7,408 声望值: 3
精华: 0
#8 旧 2009-03-20, 17:27:42 默认
liaohh 当前离线  

应该是病毒,你试一下中止进程,看能否删除,如果不行,就用冰刃或者进安全模式里删除。
zyb1020
 
zyb1020 的头像
封禁用户
 
资 料:
注册日期: Jul 2002
帖子: 4,828 声望值: 0
精华: 1,解答: 1
#9 旧 2009-03-20, 17:38:49 默认
zyb1020 当前离线  

现在病毒都不伪装了阿
huadee
 
huadee 的头像
核心会员
 
资 料:
注册日期: Apr 2002
帖子: 2,605 声望值: 5
精华: 0
#10 旧 2009-03-20, 19:40:42 默认
huadee 当前离线  

在进程里结束了这个程序,跟着启动里也删掉了,但是一重启又出现了。
如何具体操作来删除掉呢?
是耶非耶
 
是耶非耶 的头像
热心会员
 
资 料:
注册日期: Jun 2002
帖子: 1,873 声望值: 6
精华: 0
#11 旧 2009-03-20, 19:45:57 默认
是耶非耶 当前离线  

现在的病毒难清除干净,技术要求高。
还是ghost,或者还原吧。
huadee
 
huadee 的头像
核心会员
 
资 料:
注册日期: Apr 2002
帖子: 2,605 声望值: 5
精华: 0
#12 旧 2009-03-20, 19:50:52 默认
huadee 当前离线  

引用:
作者: baogong 查看帖子
我也觉着是个病毒,先想办法去掉这个系统启动加载项,可以进入注册表删掉这个加载项,然后重启,再清理病毒文件,如果隐藏了,先让它显示出来。
具体如何操作?
huadee
 
huadee 的头像
核心会员
 
资 料:
注册日期: Apr 2002
帖子: 2,605 声望值: 5
精华: 0
#13 旧 2009-03-20, 19:52:42 默认
huadee 当前离线  

引用:
作者: evacat 查看帖子
有进程驻留。
需要用SRENG来看启动项、服务和驱动,找出根源程序,让它不自动启动。
还需要配合Process Explorer来杀掉正运行的进程、dll或handle。
进目录删文件需要用dos命令来做。
实在不行时需要用PE盘启动后找到根源文件删除。
srneg如何进入?
process explorer是需要另外下载的软件?
我在dos下面用del指命,提示没有文件
badtouch
 
badtouch 的头像
高级会员
 
资 料:
注册日期: May 2002
帖子: 825 声望值: 10
精华: 0
#14 旧 2009-03-20, 20:13:06 默认
badtouch 当前离线  

运行services.msc把可疑服务停止后禁止,然后启动任务管理器把可疑进程终止,再在控制面板里显示所有文件、显示系统文件夹,搜索241A9F.EXE文件,如找到删除所有相关,运行regedit搜索241A9F.EXE,如找到删除所有相关注册表项,运行msconfig把如241A9F.EXE相关可疑项目全部取消勾选,不要立即重启,先清理所有IE缓存和临时文件夹里的东西,然后重启。
基本上这种文件名的小病毒应该已经手工清除了^_^


我原谅不了我 就请你当作我已不在
huadee
 
huadee 的头像
核心会员
 
资 料:
注册日期: Apr 2002
帖子: 2,605 声望值: 5
精华: 0
#15 旧 2009-03-20, 20:28:57 默认
huadee 当前离线  

services.msc查看里面的服务都是有用的

在显示所有文件后搜索不到241A9F.EXE文件

在regedit里搜索241A9F.EXE文件
是在HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603

在msconfig里启动里241A9F前面去掉了勾
发表新主题 关闭主题

主题工具

论坛规则  发帖规则
不可以发表主题
不可以回复帖子
不可以上传附件
不可以编辑自己的帖子
论坛启用 vB 代码
版面启用 表情符号
版面启用 [IMG] 代码
版面禁用 HTML 代码


所有时间均为北京时间, 现在的时间是 15:25:47.

本论坛带宽由迅通网络提供
SSL证书由TrustAsia提供

Copyright © 2000 - 2019 ClassiClub Forum All Rights Reserved.
粤ICP备09123456号