我来我网
https://5come5.cn
 
您尚未 登录  注册 | 菠菜 | 软件站 | 音乐站 | 邮箱1 | 邮箱2 | 风格选择 | 更多 » 
 

本页主题: 由病毒导致的电脑瞬间重起的解决办法 隐藏签名 | 打印 | 加为IE收藏 | 收藏主题 | 上一主题 | 下一主题

百年孤独



性别: 帅哥 状态: 该用户目前不在线
头衔: 孤独是我的宿命
等级: 荣誉会员
家族: 考研俱乐部
发贴: 3774
威望: 3
浮云: 377
在线等级:
注册时间: 2006-10-14
最后登陆: 2011-03-03

5come5帮你背单词 [ convention /kən'venən/ n. 习俗,惯例,(正式)会议,公约,契约 ]


由病毒导致的电脑瞬间重起的解决办法

今天帮同学的机子杀掉了两个病毒,由于这两个病毒与普通的病毒有些不同,特意写出来

  环境:XP Sp2+卡巴反病毒6.0.0.300正式版

  我的同学饱受该病毒之苦。机子常常无故瞬间重起。长则一小时多,短则十几分钟。在杀毒过程中,机子瞬间重起了将近十次。

  重要症状:电脑经常瞬间重起;开机后任务管理器里有iexplore.exe进程,并于30秒左右后消失;每打开一个ie,卡巴均会报告iexplore.exe试图注入其他进程;无法进入带网络连接的安全模式。
 
  我同学说他已经用卡巴在安全模式下全盘杀毒,别的病毒倒是查出来了,但电脑重起的问题还是没有得到解决--他自己不能确定到底是不是病毒的原因。我看了一下卡巴的病毒库,11月17日,虽说相隔一天也算是最新的了。先到C:\program files\internet explore\目录下查看iexplore,刚双击internet explore文件夹,Explore马上报错,内存不能read。进入目录后,发现iexplore.exe为隐藏的,试着删除,报错。

  想转到C:\windows\system32\目录下,电脑瞬间重起。由此,确定是病毒在搞鬼。

  查杀过程是相当痛苦的,连卡巴没有查出毒,根本无法确定该病毒的类型。在没有任何相关资料的情况下杀毒,不是一件容易的事情。最后才弄明白,该病毒是一个驱动级的木马。但不是灰鸽子,也不是PCshare。

  粗略的查毒过程:用IceSword查出隐藏进程iexplore.exe,在模块信息里查看其加载的dll文件。然后再打开一个IceSword,查看正常的ieplore.exe加载的dll文件,好几十个dll文件一个一个地对比,根据经验,最终锁定了病毒的dll文件。然后顺藤摸瓜,把病毒连根拔起。

    解决办法:

    一,退出其他应用程序。

    二,IceSword终止隐藏的iexplore进程,然后用IceSword强制删除C:\windows\system32\目录下的kqcmeszh.dll文件和kqcmeszh.ime文件,以及C:\windows\system32\drivers\目录下kqcmeszh.sys文件

    三,注册表里搜索kqcmeszh,共有十四处,全部删除。其中有几个键值,直接删除的话会报错,需要右键单击,选择权限,然后给"完全控制"打上勾。然后就可以删除了。

    杀毒后,上述故障完全消失。

    PS:杀毒过程中,我把iexplore.exe的进程转储文件上传给在线杀毒引擎,大约二十个杀毒软件,只有AntiVir,Avast!两个报毒,其他均是"No virus found",包括卡巴,mcafee,nod32,bitdefender等一流杀软!

    汗一个!For这个强悍的病毒,For那个把免杀做到如此出色的牛人!

    看这么多杀软,包括我看好的卡巴,Dr.web,无一例外全部挂掉,有些难过,                   估计中毒的人不少。

    AntiVir和Avast均报告为木马,命名中都有PcClient字样,估计是当成了PcShare,但与PcShare有些区别,首先,该病毒[屏蔽]本地端口1111,PcShare不是;PcShare释放的.dll文件和.sys文件,名字的首字母都是以Y开头的,而该病毒释放出来的三个文件,名字均是以k开头;最后,PcShare是个出道已久的马儿,无论在怎么免杀,要过那么多的杀软,特别是卡巴和Dr.Web,基本上也是不可能的事情。

    先写第一个,等有空的时候把第二个写出来。
孤独是我的宿命,前方有微弱的光明。
顶端 Posted: 2006-11-19 00:18 | [楼 主]
navyliu



性别: 帅哥 状态: 该用户目前不在线
头衔: 中国雄起!
等级: 荣誉会员
家族: KOP★红军魂
发贴: 8127
威望: 1
浮云: 360
在线等级:
注册时间: 2006-09-17
最后登陆: 2009-04-27

5come5帮你背单词 [ prompt /prompt/ a. 敏捷的,迅速的,果断的,即刻的;vt. 激起,怂恿,敦促,鼓舞 ]


LZ 号强悍哦!
努力向前
顶端 Posted: 2006-11-19 11:07 | [1 楼]
心河



性别: 帅哥 状态: 该用户目前不在线
等级: 人见人爱
发贴: 2075
威望: 0
浮云: 1145
在线等级:
注册时间: 2005-07-06
最后登陆: 2021-12-03

5come5帮你背单词 [ enpuire // v. 打听,询问调查,查问(enpuire=inpuire) ]


可惜了,病毒作者还是失误了,驱动应该参考中搜的驱动。自我保护还不是很强
顶端 Posted: 2006-11-19 12:28 | [2 楼]
孤竹狼逸



性别: 保密 状态: 该用户目前不在线
等级: 栋梁之材
家族: 水族馆
发贴: 966
威望: 0
浮云: 1162
在线等级:
注册时间: 2006-11-15
最后登陆: 2008-06-29

5come5帮你背单词 [ radioactive /reidiəu'æktiv/ a. 放射性的 ]


不过还不是很了解啊
顶端 Posted: 2006-11-22 12:10 | [3 楼]
我来我网·5come5 Forum » 电脑F.A.Q.

Total 0.009955(s) query 5, Time now is:11-22 20:49, Gzip enabled
Powered by PHPWind v5.3, Localized by 5come5 Tech Team, 黔ICP备16009856号