查杀变种7939测试(已解决,锁定目标……)
_lT%��=Azw PwT`Aw!�L Ay,�G�lW�N 严重谴责7939的感染系统文件的病毒行为!!!!!!!!!
RtaV��U�vB rg=� �`0a> ----------------------------------------------------------------------------------
W��BV#{h5@ 经过360安全卫士,雅虎助手,喀吧司机,unlocker,等清理查杀橙色八月病毒和维金病毒之后,
a%�~YnRG�= (P>l$�<x0I 电脑典型症状:explorer.exe注入winlogon.exe,winlogon.exe狂吃内存;直到死机。IE首页被改为
www.7939.com不可修复。进行打开IE浏览器/设置IE属性/设置桌面属性等操作,咔吧司机的文件保护和主动防御会被停止;但可以手动恢复。咔吧司机可以阻止explorer.exe注入winlogon.exe;从而避免winlogon.exe狂吃内存,直到死机。
aL'6GPU�$U -------------------------------------------------------------------------------------
0Hjv��KB#" 请大家使用咔吧司机6.0杀毒;以下为咔吧司机不能妥善解决的处理办法。使用其他杀毒软件的请改用咔吧司机;偶用咔吧司机清除的病毒文件较多,没法一一列举。不用咔吧司机而采用以下办法不能清除病毒的问题,偶现在暂时没有时间回复。
f��M��`v� t\6]l+<]6[ 现在偶的首页问题已解决。winlogon.exe的表现也恢复正常。其他问题还没发现,等明天继续观察。
�H1V�-O �� ----------------------------------------------------------------------------------
2�CQ>\�;^ 目前锁定的已被感染病毒的系统文件(喀吧司机还查不出):
pb5ql!�f\6 \Program Files\Internet Explorer\iexplore.exe
Ii� 3p}�p� \WINDOWS\system32\rundll32.exe(已确定感染)
br.��YM�1 \WINDOWS\system32\userinit.exe(已确定感染)
�D3�c@Z�" \WINDOWS\system32\winlogon.exe(已确定感染)
rGSG\c�wPJ \WINDOWS\explorer.exe
0�K^6/�U�H \WINDOWS\regedit.exe(已确定感染)刚发现!覆盖后故障消失。
�x.5A^��/ #E �fAm%2] 请从安装盘提取以上文件,提取办法是用winrar打开安装盘,找到I386目录下的同名EX_文件,解压到一个文件夹中,即可得到exe 文件。设置属性为只读(一定要设只读,要不覆盖回去立马被感染,你可以试试,观察文件大小变化)。然后覆盖原来的系统文件即可。
t"h�T;gg�( U3Wg?RTRz� 覆盖前一定要先把原来的文件改名或做备份。
GF�l`���Z\ \WINDOWS\explorer.exe 覆盖后,如果版本不对,重起将不能显示桌面。
1,?�&\��%k 解决的办法是按Ctrl+Alt+Dll;打开任务管理器-程序-新任务-打开“\Program Files\Internet Explorer\iexplore.exe”;可暂时替代\WINDOWS\explorer.exe;点查看菜单-浏览器栏-文件夹,即可打开系统树形文件目录。把备份的explorer.exe恢复回去即可。
%<z3�X�_rD �� ��H��n� 偶上传了偶从联想xp安装盘提取的文件(run.rar),如果版本不对,请从你原来的安装盘提取。(建议原盘提取;以防版本不对造成不必要的麻烦)
�g�+f"�$#R ----------------------------------------------------------
!\k)8[HU,� 杀掉的7939病毒文件:
Yy�USLD!Up svchost.dll
K# �%_��c: services.dll
ybuaU`j�(� wauclt.exe(高波蠕虫)
Ya$h�'3mtg wauclt1.exe
9ya�e{3X�. xbhlu.dll(7939关键病毒文件)
~�%�6IB
Jt qefcp.sys(7939关键病毒文件)
{V�lzck/]Y ravsvc.exe(7939关键病毒文件)
W�~_�d\�P� -----------------------------------------------------------
'zcn_X��by 删除的病毒目录:
��Hxk�~H� \Documents and Settings\q\Application Data\Microsoft\pctools\
yb\2Vn4U:1 \Documents and Settings\q\Application Data\Microsoft\themes\
R -.-Y�,~ \WINDOWS\system32\{pchomes}
\^.),h,�Ne 4�ej@,zP�& ----------------------------------------------------------------------
q���Bj�R, 发现7939变种处理后的后遗症:不能显示隐藏文件,修改后被改回。请参阅以下帖子处理:
vH{�:)�TRT #[���xr#b� http://btbaicai.com/read-htm-tid-785.html Z(7N�uUQ� --------------------------------------------------------------------------
<�A/*).pSP 有些不详细的地方回头再补充。
��U0N%g#5s 偶现在从单位回家了,大家有什么问题可以提上来,偶回家后再看
