无法进入电脑；E_4病毒文件夹；u88潜伏在boot.inf

ha56u

1 只要上网，用EWIDO查杀就会在Documents and Settings下查出Downloader.AQM, Logger.Agent.vs ,Dropper.Ag.d,尤其是Downloader.AQM,我连续不间断的用ewido查杀，他每次都出现，都杀不完。我原来用f-secure,因为没挡住病毒，我给删了，后来使用zonealarm,风云，病毒还是照样来，汗！！！！！！！！！！！！！！！

2我找到了这个病毒c:\winnt\system32\rundll32.exe  trojan.rundll.export 1087  9.77kb 木马病毒  自动下载病毒   
c:\winnt\system32\dllcache\rundll32.exe
c:\recycler\s-1-5-21-3337888636-3978733348-3180871038-500\dc23.exe

删除rundll32.exe后，出现“正常运行的windows所需的文件已被替换成无法认识的版本。要保持系统稳定，windows必须复原这些文件的原有
版本。现在插入WINDOWNS 2000 Professional CD.  重试  详细信息 取消 。我没有windows 2000 professional cd的光盘。
从网上下载一个rundll32.exe，在安全模式下覆盖上了，重启之后弹出框rundll
newdev.dll出错，丢失项目：devinstall。重启两遍之后，发现这个框消失了。


3 yok工具条却没有因此而消失，不论是搜c盘还是注册表都找不到yok，但是每次用killbadware都能搜出它。

4 每次重启，cmd——net share——icp$,admin$,c$,d$,e$,f$总是默认共享，我明明每次都设为不共享阿？

5 现在仍然是只要上网就会在Documents and Settings——Local Settings——temp下发现E_4文件夹，这个文件夹总是有Downloader.AQM之类的病毒。


我的系统原来是98的，后来改为2000的。IE是6.  上网用adsl. 我忙活了好几天了，还是没搞定。求助各位达人帮帮忙解决偶的问题，感激万分。

[ 本帖最后由 ha56u 于 2007-2-10 18:56 编辑 ]

jojo108

这个好专业啊，偶不太懂，帮你顶一下，等高人来

wangjay1980

如果要禁止C$、D$、E$一类的共享，可以单击“开始→运行”命令，在运行窗口键入“Regedit”后回车，打开注册表编辑器。依次展开[HKEY_LOCAL_MACHINESYSTEMCurrent-ControlSet
Serviceslanmanserverparameters ]分支，将右侧窗口中的DOWRD值“AutoShareServer”设置为“0”即可。

如果要禁止ADMIN$共享，可以在同样的分支下，将右侧窗口中的DOWRD值“AutoShareWKs” 设置为“0”即可。

如果要禁止IPC$共享，可以在注册表编辑器中依次展开[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa]分支，将右侧窗口中的DOWRD值“restrictanonymous”设置值为“1”即可。

jimmyleo

1。应该是AVG的误报，其他软件不报
2。RUNDLL32是装载DLL必须的进程，你从何而知它是病毒呢，可能只是恶意DLL注入该进程，应该删除该DLL，而不是删除这个RUNDLL32。EXE呀，报错也在情理之中了……
3。YOK工具条是什么？killbadware又是什么？
4。新建文本文档
输入以下
      net share ipc＄ /del
　　net share c＄ /del
　　net share d＄ /del
……
以此类推
保存为BAT后缀文件
然后执行
再看看 还有嘛~

5。经常清空临时文件夹

wangjay1980

YOK可以用360清除，或者用这个试试

ll153037297

超级深,学习.....

stevenji2000

WIN2000默认共享是开放的，即便你关了重启还是会出现，楼上已经给出了NET SHARE IPC$ /DEL命令了，做一个批处理，把C D E都放进去就可以了，放到启动项里，每次开机自动就删除共享了，开放共享是很危险的事情...
其他的问题用超级兔子或360一般都可以解决了
手工删不掉用UNLOCK或ICESWORD

wangjay1980

改了注册表就不用那么麻烦了

stevenji2000

此外关闭SERVE服务也可以解决IPC的问题

ha56u

谢谢楼上诸位

1 用过360，对yok好像不管用，另外360卸载不干净。windows 大师查出不出来yok.

2 如果要禁止C$、D$、E$一类的共享，可以单击“开始→运行”命令，在运行窗口键入“Regedit”后回车，打开注册表编辑器。依次展开[HKEY_LOCAL_MACHINE\SYSTEM\Current-ControlSet\
            Services\lanmanserver\parameters
            ]分支，将右侧窗口中的DOWRD值“AutoShareServer”设置为“0”即可。

            如果要禁止ADMIN$共享，可以在同样的分支下，将右侧窗口中的DOWRD值“AutoShareWKs” 设置为“0”即可。
(无以上键）
            如果要禁止IPC$共享，可以在注册表编辑器中依次展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]分支，将右侧窗口中的DOWRD值“restrictanonymous”设置值为“1”即可。(已设置）

重启无效。


3 文件在安全模式下已经建立，放在winnt下，重启无效。
WIN2000默认共享是开放的，即便你关了重启还是会出现，楼上已经给出了NET SHARE IPC$ /DEL命令了，做一个批处理，把C D E都放进去就可以了，放到启动项里。
启动项在那里？