前几天（12月16日）我的一个论坛被人挂了马，由于我一段时间没有去，所以不是很清楚，后来忽然就发觉无法进入后台，立即想起是被挂马了，后来清除了被改的代码和文件。但是由于过了一天，还是导致不少访问那个论坛的同志中了木马。
木马是被www.zzyqr.com这个网站挂的。后来在网络上看到被挂后下载的木马是NTdHcP.exe，WINLOGON.EXE，algestiybs.exe等等。

经过修复杀毒，大部分人的机器幸免于难，但是有一个网友的机器无论如何杀毒，如何操作都是不得要领。到了后来凡是杀毒软件一打开就关掉了，安全卫士也打不开，桌面上的ie也没有用，C盘下的那个internet explorer.exe也被删除了。

我在C盘的windows目录下发现了两个可疑的文件1.exe,2.exe,删除之后已刷新就出现了3.exe，4.exe文件。再次删除之后就没有了。
直到现在我还是不知道到底是中了什么病毒，打开任务管理器，里面也没有可以的程序，只有一个mdcule.exe的陌生程序，在百度和google上都找不到。

不知道蝈蝈们又没有遇到过这样的情况。求助ing。

在安全模式下杀毒软件应该能正常运行..

Quote:

引用第1楼X于2006-12-19 19:34发表的:
在安全模式下杀毒软件应该能正常运行..

在安全模式下删除的，但是一到正常模式就出现这样的问题。

Quote:

引用第2楼linger3302于2006-12-19 19:35发表的:

在安全模式下删除的，但是一到正常模式就出现这样的问题。

启动项清除下..观察可疑进程位置

关键问题，我都不知道那到底是中了什么病毒，由于距离太远，无法直接在那里操作。远程协助又无法在安全模式下进行。
而且在正常模式下msconfig都无法打开。

百度和google上都找不到就难办了

让他结束可疑进程,然后通过打开杀毒软件来判断是否病毒进程

一般病毒进程被杀了,杀毒软件就能用了

日LT,这帖子发送四次了!!!!!!!

谢谢蝈蝈，我再给她诊断下。
种木马的那个混蛋已经被我插到姓名地址电话，一定让他残废。

Quote:

引用第6楼linger3302于2006-12-19 20:07发表的:
谢谢蝈蝈，我再给她诊断下。
种木马的那个混蛋已经被我插到姓名地址电话，一定让他残废。

以一位准业余菜鸟又没实践过的黑客身份问蝈蝈是怎么查到的?

Quote:

引用第7楼X于2006-12-19 20:09发表的:

以一位准业余菜鸟又没实践过的黑客身份问蝈蝈是怎么查到的?

1.他登陆过后台，而且没有删除日志文件，所以得到他的ip地址，通过百度查到属于某个省的电信adsl
2.通过电信的朋友查到那个人的电话等一系列资料
3.通过判断，有可能使用的是肉鸡，但是那个网站是跑不掉的。可以通过查找注册资料找到人。

郁闷，病毒是没完没了的。你到网上去搜索下看看解决的办法，最好有个专gate的软件

重装系统吧(建议而已)