中病毒了，损失惨重

shn · 发表于 2008-1-4 02:08

用g.cn不小心中了auto.exe病毒，杀完了发现一个分区格式被改成RAW，不能用了[nono]
试了N种方法不果，只好格了。[nono] [nono]

还好这个分区的文件在老机器上有备份，否则三二年来的PP和收集的MP3就没有了。

[how]

下定决心进个移动硬盘作备份用。如果是其它分区完蛋了，损失就大了。

经验：[jhl]
1、用搜索引掣要小心，人品好，那么病毒、木马至少有90%是从这里来的

2、电脑上的文件要勤备份

荣哥 · 发表于 2008-1-4 09:14

我从00年到07年上半年的PP都没了[dead] [dead] [dead]

奶油花生酱 · 发表于 2008-1-4 16:07

我电脑里都是病毒,千年虫病毒都还在~~毒库~~那点小的，才不怕类~

BIRDY001 · 发表于 2008-1-4 19:57

auto.exe是不是会使硬盘打不开的啊 ????[nono] 我现在D盘点2下不会打开了 ~跳出来一句话说什么找不到这个东西~~~~

shn · 发表于 2008-1-4 23:05

查杀方法：
一.清除病毒主程序（随机8位字母和数字组合的exe和dll）
必须首先清除auto.exe和其生成的随机8位字母和数字组合的exe和dll，因为他是木马群的万恶之源！！
1.首先下载sreng这个软件（http://download.kztechs.com/files/sreng2.zip）
解压缩后运行srengps.exe
依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”
等待列表出来之后查找那种不规则的随机8位字母（大写）和数字组合的服务
然后选中下面的 “删除服务” 并单击设置按钮
在弹出的框中点“否”
2.重启计算机进入安全模式下

把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击菜单栏下方的文件夹按钮（搜索右边的按钮）
在左边的资源管理器中打开C盘（系统盘）

删除如下文件
C:auto.exe
C:autorun.inf
以及每个分区下面的auto.exe和autorun.inf

%system32%文件夹下的随机8个字母和数字组合的exe和dll
即本例中的C:WINDOWSsystem32E2050308.DLL
C:WINDOWSsystem32F2F187EC.EXE

至此病毒主程序已经被删除了，接下来清除其下载的木马

二.清除病毒下载的木马（由于每个变种下载的木马不尽相同，因此本例仅供参考）
还是在安全模式下
打开sreng
启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
<mppds><C:WINDOWSmppds.exe> []
<Kvsc3><C:WINDOWSKvsc3.exe> []
<DiskMan32><C:WINDOWSkterzx.exe> []
<WinForm><C:WINDOWSWinForm.exe> []
<AVPSrv><C:WINDOWSAVPSrv.exe> []
<MsIMMs32><C:WINDOWSMsIMMs32.exe> []
<cmdbcs><C:WINDOWScmdbcs.exe> []
<DbgHlp32><C:WINDOWSDbgHlp32.exe> []
<upxdnd><C:WINDOWSupxdnd.exe> []
<NVDispDrv><C:WINDOWSkterzx.exe> []

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击菜单栏下方的文件夹按钮（搜索右边的按钮）
在左边的资源管理器中打开C盘（系统盘）
删除如下文件
C:WINDOWSmppds.exe
C:WINDOWSKvsc3.exe
C:WINDOWSkterzx.exe
C:WINDOWSWinForm.exe
C:WINDOWSAVPSrv.exe
C:WINDOWSMsIMMs32.exe
C:WINDOWScmdbcs.exe
C:WINDOWSDbgHlp32.exe
C:WINDOWSupxdnd.exe
C:WINDOWSkterzx.exe
C:WINDOWSsystem32mppds.dll
C:WINDOWSsystem32upxdnd.dll
C:WINDOWSsystem32AVPSrv.dll
C:WINDOWSsystem32DiskMan32.dll
C:WINDOWSsystem32NVDispDrv.dll
C:WINDOWSsystem32MsIMMs32.dll
C:WINDOWSsystem32WinForm.dll
C:WINDOWSsystem32cmdbcs.dll
C:WINDOWSsystem32DbgHlp32.dll
C:WINDOWSsystem32Kvsc3.dll

dahuai · 发表于 2008-1-4 23:17

前几天我中了~~~重装~~照片忘备~~~全没了~~~~一把汗~~~

奶油花生酱 · 发表于 2008-1-5 13:15

[tt] [tt] [tt]

zhanjie · 发表于 2008-1-5 14:41

弄个镜像goust

fzx83 · 发表于 2008-1-5 16:06

这种病毒一般重装系统是没用的，想彻底杀死这些病毒，需要重装系统后，进安全模式，然后打开我的电脑，在地址栏上输入每个盘的地址（如D：，E：，F：）敲回车进入该盘，这样不会激活该病毒，然后把每个盘的auto文件删除就可以了。切记装好系统时候不要双击有病毒的盘，不然系统白装。。。建议自己懂电脑的话，给自己电脑做个GHOST备份，以方便系统还原。一般来说重装系统就够了。不到万不得已还是不格式化硬盘的好，有的东西删了就没，也可惜的。

[ 本帖最后由 fzx83 于 2008-1-5 16:09 编辑 ]

奶油花生酱 · 发表于 2008-1-5 19:51

这么牛叉的病毒啊~~~~

		自动登录	找回密码
密码			注册

[电子] 中病毒了，损失惨重