病毒杀不掉反复无常

v吉他手v

我的卡巴是KAV6。0。1。411版本的 今天碰到了一个
Worm.P2P.qeneric 这个东西！ 操作下面显示进程行为与P2P蠕虫类似
详细资料如下 D:\autorun.inf  D:\PegeFile.pif C:\autorun.inf C:\PegeFile.pif C:\Program Files\Internet Explorer\PLUGINS\NewTemp.dll C:\Program Files\Internet Explorer\PLUGINS\NewTemp.bak

C:\Documents and Settings\魔音吉他手\Local Settings\Temp\zj.exe
我隔离也不行 终止也不行 隔离和终止之后 又出现 恢复和跳过2个操作 但是选择恢复了有出现发现病毒的警告

csh821028

用下面的方法试试
第一种：IceSword（冰刃）
按杀毒软件提供的路径，记下来
1.下载冰刃(http://www.ttian.net/website/2005/0829/391.html)
这是一个绿色软件，下载解压缩后即可使用；
2.如果杀软提供的病毒文件是个dll文件。点击左侧的“进程” 逐个右击右侧的进程－－模块信息，仔细查看这个dll到底对哪些进程进行了插入（特别是那些系统进程），尝试用右侧的“强制解除”试试，能不能将这个dll文件从进程中解除出来（可能会碰上在某个进程中强制解除时机器会重启的现象,如果出现这种情况，看下面第2种方法）；
如果杀软提供的是一个非dll文件，则直接执行第3步；
3.在冰刃左侧的栏里通过“文件”直接定位到这个文件所在的文件夹下，找到这个文件（木马文件一般在system32下，也有驱动型木马文件是在Windows/system32/drivers这个文件夹下，这样的病毒文件一般是sys后缀的）；
4.通过按钮“创建时间”对这个文件夹下的文件进行排序，仔细查看与这个文件在创建时间是同一天的所有文件（但是不是都是与它一样是病毒文件，需要你判断）。右击它们一一删除。
如果是驱动型木马，你可能还需要到system32这个文件夹下去查看有没有与这个病毒文件同名的或创建时间上是一致的dll文件。有许多朋友在清理这一类病毒时说已经按照这个方法清理过了，但怎么还是重启后又会有了，问题多半是在这里。找到后用同样的方法处理；
4.在开始－－运行里输入regedit打开注册表，搜索注册表里这些文件的键值，删除搜索到的。
5.重启电脑，这个东西应该能清除干净了。

第二种：还是这个软件，针对第一种在“进程”中删除病毒模块时可能引起系统重启的情况的
1.使用冰刃，点“文件”，“设置”，选中“禁止进线程创建、禁止协议功能”。
2.打开“进程”找到不正常的进程项目，鼠标右键点击选中“模块信息”打开察看加载的.dll模块情况！
3.找到病毒模块.dll文件，点“卸载”或“强制解除”！（一般情况主流杀软提供了病毒模块的名字）
4.点“进程”找到病毒文件进程，点鼠标右键点“结束进程”此时病毒进程就彻底结束了。（但是如果是系统关键进程不要操作这一步，不然系统会重启）
5.再点“文件”，“设置”，取消“禁止进线程创建、禁止协议功能”不然其他程序无法运行！
6.点左下角“文件”，逐步按病毒路径查找到病毒文件 点鼠标右键点“删除”。
7.在删除病毒文件后，在原处建立一个同名带扩展名的文件夹，因为电脑的任何操作系统都不允许同名的文件和文件夹存在，这样可以防止重启后病毒文件的自我修复，为保万无一失和防止以后的复发，通常都做一个文件夹放在那里。（可以忽略！）
8.现在处理注册表，在开始——运行中输入regedit按CTRL+F查找被删除的病毒文件的名字把查到的值删掉再按F3查；直到把所有的值都删完！

第三种：Unlocker（http://www.onlinedown.net/soft/24732.htm）
1.先安装这个软件，她的作用是可以让感染病毒的文件与其他程序脱离关系即全部解除。
2.安装完成后，萤幕右下角会有一个仙女棒图示。
3.记下杀毒软件查杀到的病毒文件的路径 （不建议到安全模式或听杀毒软件的提示什么重启后查杀，不要重启） 4.按路径找到病毒文件后，点击右键并选择unlocker，然后会跳出一个视窗，再点选「全部解锁」。
5. 再点右键会再次跳出一个窗口请求，这时选择unlocker把该文件删除！
6.最后开杀毒软件把剩余在清理一下 。
7.结束后下载超级兔子http://www.skycn.com/soft/2993.html
选择清理王-清理系统-清理注册表
（或者其它清理类的工具也可以，譬如Windows 优化大师、360安全卫士）

第四种：文件删除终结者 -- XDelBox
http://post.baidu.com/f?kz=158203765
1、dos级文件删除方式，打造病毒清除新模式；
2、无须进入安全模式，即可删除所有病毒文件；
3、支持一次重启批量删除多个文件；
4、复制路径的删除添加方式更适用于网络求助(支持拖曳)；
注意：【删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键，选择立 刻重启删除，电脑会重启进入DOS界面进行删除操作，删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关 XDelBox的详细说明请看xdelbox1.3目录下help.chm。】

迷糊

使用冰刃，点“文件”，“设置”，选中“禁止进线程创建、禁止协议功能”。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

奇怪啊，看到不少介绍怎样用冰刃的文章，都说查杀病毒前要选择“禁止协件功能”

协件不就是冰刃安装包里的IsHelp吗，这个是用来辅助冰刃查杀病毒的一个小东西吧

呵呵，搞不明白查杀病毒为什么要禁止它呢

毒来啦

右键盘符选择打开D,E,F盘,删除隐藏文件
Autorun.inf,services.exe
切记不要双击
如何查看隐藏文件
打开“我的电脑”，点击菜单栏里的“工具”－－文件夹选项－－查看－－去勾 ”隐藏受保护的操作系统文件“    去勾 “显示所有的文件和文件夹”  去勾 “隐藏已知文件类型的扩展名”，设置后就能看到你所在看的隐藏文件了

毒来啦

病毒/恶意程序一般解决方案（原创）
首先建议使用最新的专业杀毒软件和木马专杀工具Ewido 4.0和卡巴斯基等进行处理，如遇杀毒软件被禁用或杀毒失败或一开机就重新出现的情况：（如果是IE上网浏览的问题及其他与IE有关问题，先阅读步骤4 !!）

1.打开windows任务管理器，察看是否有可疑的进程（可以根据杀毒软件的报告或者在网上搜索相关信息来判定）在运行，如果有把它结束。注意在system32目录下的Rundll32.exe本身不是病毒，有可能一个dll文件在运行，他才可能是病毒或恶意程序之类的东西。由于windows任务管理器不能显示进程的路径，因此建议使用杀毒软件自带的进程察看和管理工具来查找并中止可疑进程。然后设法找到病毒程序文件（主要是你所中止的病毒进程文件，另外先在资源管理器的文件夹选项中，设置显示所有文件和文件夹、显示受保护的文件，再察看如system32文件夹中是否有不明dll或exe文件，C:\Program Files C:\Documents and Settings\user\Local Settings\Temporary Internet Files C:\Documents and Settings\user\Local Settings\Temp 等处是否有不明文件或病毒程序文件），然后删去，搞清楚是否是系统文件再动手。
2.有些病毒进程终止不了，提示“拒绝访问”，或者出现“屡禁不止”的情况。根据我的经验，有三种办法供尝试：
A.可能是某些木马病毒、流氓软件等注册为系统服务了。办法是：察看控制面板〉管理工具〉服务，看有没有与之相关的服务(特别是“描述”为空的)在运行，把它停止。再试着中止病毒进程并删除。
B.你可以尝试安全模式下（开机后按F8选安全模式）用杀毒软件处理，不行则再按步骤1和2A试一试。
C.（慎用）使用冰刃（即IceSword）等工具，察看病毒进程的线程信息和模块信息，尝试结束线程和解除模块，再试着删除病毒进程文件和相应的模块。（慎用）
3.如果稍微懂得注册表使用的，可以再把相关的注册表键值删除。一般方法：开始〉运行，输入regedit，确定，打开注册表编辑器。编辑〉查找，查找目标为病毒进程名，在搜索结果中将与之有关的键值删除。有时这样做不能遏止病毒，还应尝试使用步骤2中方法。
4.某些病毒会劫持IE浏览器，导致乱弹网页的状况。建议用金山毒霸的金山反间谍 2006等修复工具。看浏览器辅助对象BHO是否有可疑项目。有就修复它。修复失败时参照1、2来做。
5.其他提示：为了更好的操作，请先用优化大师或超级兔子清理所有临时文件和上网时的缓存文件。一般病毒往往在临时文件夹Temp中，这样做可以帮你更快找到病毒文件。
开始〉运行，输入msconfig，确定，可以打开“系统配置实用程序”。选择“启动”，察看开机时加载的程序，如果在其中发现病毒程序，可以禁止它在开机时加载。重新启动计算机，就可以查找并删除这些程序了。不过有时某些程序来说无效。还是要按步骤1、2办。
6.说了这么多，不过有时还是不能解决。只好请教高人或格式化重做系统了，当然不推荐后者！

病毒/恶意程序一般解决方案（原创） 转载请注明原作者恋曲2010

骑士流泪

卡巴杀不了，还算是正常的了！换个杀软试试！

shenrenrenren

这是卡巴的广谱查杀，用冰刃将文件全数删除，不行就贴个报告来

ALEXBLAIR

原帖由 迷糊 于 2007-8-29 07:46 发表
使用冰刃，点“文件”，“设置”，选中“禁止进线程创建、禁止协议功能”。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

奇怪啊，看到不少介绍怎样用冰刃的文章，都说查 ...

不是这样的
这里给出ICESWORD的帮助原文

问：“创建进程规则”和“创建线程规则”是什么意思？
答：它们用来设定创建进线程时的规则。其中要注意的是：总规则是指允许还是禁止满足该条规则所有条款的进线程创建事件；一条规则中的条款间的关系是与关系，即同时满足才算匹配这条规则；“规则号”是从零开始的，假设当前有n条规则，添加规则时输入零规则号即代表在队头插入，输入n规则号则在队尾插入；如果前面一条规则已经匹配，那么所有后面的规则就忽略掉了，系统直接允许或禁止这次创建操作。