oxo.exe

ranger · 发表于 2007-3-13 23:59

这病毒中了应该怎么办?
啥杀毒的都开不起了
别跟贴说重新做系统...
我想知道解决的办法
谢谢!

随世浮沉 · 发表于 2007-3-14 08:35

[这个贴子最后由随世浮沉在 2007/03/14 08:40am 第 2 次编辑]

结束进程：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\conime.exe
没有发现此病毒禁用任务管理器。也可以用其他工具如procexp等
用autoruns删除以下项目（建议用autoruns，一是没被禁，二是一目了然，注意先选Options-Hide Microsoft Entries）：
下载autoruns点击这里:http://www.mxpc.cn/article.asp?id=290
+ 360Safe.exe c:\windows\system32\drivers\mpnxyl.exe
+ adam.exe c:\windows\system32\drivers\mpnxyl.exe
+ avp.com c:\windows\system32\drivers\mpnxyl.exe
+ avp.exe c:\windows\system32\drivers\mpnxyl.exe
+ IceSword.exe c:\windows\system32\drivers\mpnxyl.exe
+ iparmo.exe c:\windows\system32\drivers\mpnxyl.exe
+ kabaload.exe c:\windows\system32\drivers\mpnxyl.exe
+ KRegEx.exe c:\windows\system32\drivers\mpnxyl.exe
+ KvDetect.exe c:\windows\system32\drivers\mpnxyl.exe
+ KVMonXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ KvXP.kxp c:\windows\system32\drivers\mpnxyl.exe
+ MagicSet.exe c:\windows\system32\drivers\mpnxyl.exe
+ mmsk.exe c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.com c:\windows\system32\drivers\mpnxyl.exe
+ msconfig.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFW.exe c:\windows\system32\drivers\mpnxyl.exe
+ PFWLiveUpdate.exe c:\windows\system32\drivers\mpnxyl.exe
+ QQDoctor.exe c:\windows\system32\drivers\mpnxyl.exe
+ Ras.exe c:\windows\system32\drivers\mpnxyl.exe
+ Rav.exe c:\windows\system32\drivers\mpnxyl.exe
+ RavMon.exe c:\windows\system32\drivers\mpnxyl.exe
+ regedit.com c:\windows\system32\drivers\mpnxyl.exe
+ regedit.exe c:\windows\system32\drivers\mpnxyl.exe
+ runiep.exe c:\windows\system32\drivers\mpnxyl.exe
+ SREng.EXE c:\windows\system32\drivers\mpnxyl.exe
+ TrojDie.kxp c:\windows\system32\drivers\mpnxyl.exe
+ WoptiClean.exe c:\windows\system32\drivers\mpnxyl.exe
这样包括IceSword、SREng、注册表编辑器和系统配置实用程序在内的部分程序不再被禁止,因为已经干掉这么多了嘛!
下载IceSword点击这里:http://www.mxpc.cn/article.asp?id=291
下载SREng点击这里:http://www.mxpc.cn/article.asp?id=292
删除或修改启动项：
以用SREng为例
在“启动项目”-“注册表”中删除：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<mpnxyl><C:\WINDOWS\system32\gfosdg.exe> [N/A]
<gfosdg><C:\WINDOWS\system32\severe.exe> [N/A]
双击以下项目，把“值”中Explorer.exe后面的内容删除
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe C:\WINDOWS\system32\drivers\conime.exe> [N/A]
删除文件：
由于非系统盘即便右键打开也会有危险，应该采用其他方法，推荐用IceSword或WINRAR来做
删除：
%systemroot%\system32\gfosdg.exe
%systemroot%\system32\gfosdg.dll
%systemroot%\system32\severe.exe
%systemroot%\system32\drivers\mpnxyl.exe
%systemroot%\system32\drivers\conime.exe
%systemroot%\system32\hx1.bat
%systemroot%\system32\noruns.reg
X:\OSO.exe
X:\autorun.inf
系统修复与清理：
在注册表展开
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
建议将原CheckedValue键删除，再新建正常的键值：
"CheckedValue"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoDriveTypeAutoRun键的值，是否要改，要改为什么，视乎各人所需，一般默认为91（十六进制的）
此键的含义，请搜索网上资料，在此不再赘述
HOSTS文件的清理
可以用记事本打开%systemroot%\system32\drivers\etc\hosts，清除被病毒加入的内容
也可以用SREng在“系统修复”-“HOSTS文件”中点“重置”，然后点“保存”
最后修复一下服务被破坏的杀毒软件。

云雾山 · 发表于 2007-3-14 22:54

呵呵，对于一个问这样问题的人来说，这个回复够专业也够难操作……

恐龙居士 · 发表于 2007-3-15 20:23

autorun病毒专杀工具

ranger · 发表于 2007-3-17 12:18

:http://www.mxpc.cn/article.asp?id=290
你确认能下？？
进程能自我恢复
结束了就恢复了？
你的方法我试了不行
那网站本身的连接就是有毒的

缺月挂疏桐 · 发表于 2007-3-17 12:35

冰刃(icesword) V1.20中文绿色版
使用专业下载工具下载。

ranger · 发表于 2007-3-17 14:02

下面引用由缺月挂疏桐在 2007/03/17 00:35pm 发表的内容：
冰刃(icesword) V1.20中文绿色版
使用专业下载工具下载。

结束了会一次蹦出好几个进程
其中还有个NC。EXE
我无语。。

异想天开 · 发表于 2007-3-17 14:37

nc.exe，一个监听工具。

ranger · 发表于 2007-3-17 14:54

瑞士军刀
名字一样
不知道是不是这个
反正结束了就又出来了
汗死。。

蹲墙角等红杏 · 发表于 2007-3-24 17:22

进安全模式

		自动登录	找回密码
密码			注册