冰与火 2007-6-16 11:42
救命啊……
W32.Mumawow.F
就是这个病毒,在我的C盘system文件夹下面有一个winlogon.exe文件(注意不是系统的winlogon.exe),和D盘里面也污染了一个文件360tray.exe,一直不停的释放病毒,我的每个硬盘下面都会自动生成auto.inf文件,怎么删都删不掉,双击硬盘根本就打不开,而且我的所有exe文件全部被感染,我现在什么事情都做不了,已经被折磨了好长的时间了,完全格式化硬盘我实在舍不得,我那些保存了好久的动画、电影、音乐、游戏啊!!我真的好想哭……yamiboqe029 请高手快点救救可怜的我吧……
[[i] 本帖最后由 冰与火 于 2007-6-16 12:01 编辑 [/i]]
chiman 2007-6-16 11:50
理论上来说没有手动清不掉的毒。。。= =/
冰与火 2007-6-16 11:53
[quote]原帖由 [i]chiman[/i] 于 2007-6-16 11:50 发表
理论上来说没有手动清不掉的毒。。。= =/ [/quote]
我在DOS下面都删过,用attrib命令去了文件的隐藏只读所有属性,暂时能删掉,不过一会儿又出来了,我实在没办法了……yamiboqe009
乙羽 2007-6-16 12:01
W32.Mumawow.F: 危険度:1 発見日:2007/06/13.
貌似是新型病毒,冰版貌似是电脑达人,所以说溺水的都是会游泳的,但自救应该没问题。
真紅様 2007-6-16 12:03
貌似说使用快捷方式还素能调用EXE的。
搜了下未发现有专杀工具,应该不是个影响很广的病毒。看看杀毒软件能否解决吧。
冰与火 2007-6-16 12:24
[quote]原帖由 [i]真紅様[/i] 于 2007-6-16 12:03 发表
貌似说使用快捷方式还素能调用EXE的。
搜了下未发现有专杀工具,应该不是个影响很广的病毒。看看杀毒软件能否解决吧。 [/quote]
杀毒软件也没用……我装的正版诺盾,只会一直跳出来隔离报错,杀不掉也删不掉……yamibohk04
橘棗 2007-6-16 12:42
这个嘛……内接一块硬盘,然后用Windows PE光碟引导,备份需要备份的资源,然后格了吧...yamibohk04
阿门!
isss 2007-6-16 13:13
[quote]原帖由 [i]冰与火[/i] 于 2007-6-16 11:53 发表
我在DOS下面都删过,用attrib命令去了文件的隐藏只读所有属性,暂时能删掉,不过一会儿又出来了,我实在没办法了……yamiboqe009 [/quote]
内存中还有活动的病毒进程,所以会再次生成autorun.inf,不妨查看下autorun.inf的内容,看看启动的程序,把它从内存和硬盘上依次杀掉,再去删除autorun.inf应该就没问题了.当然如果罪魁祸首不只这一个就还得找找了(比如说两个EXE文件相互庇护就比较麻烦了),或者又启动了已经感染的文件一定会再次发作的.建议检查下系统启动项.
当然,最省事的办法就是用杀软了,或者等杀软更新病毒库.
不嫌弃的话,试试偶一时兴起的涂鸦(附件),运行那个"W32.Mumawow.F.FIX.bat".
不过,既然诺顿都搞不定,不要抱太大希望yamiboqe014 .
冰与火 2007-6-16 14:04
[quote]原帖由 [i]isss[/i] 于 2007-6-16 13:13 发表
内存中还有活动的病毒进程,所以会再次生成autorun.inf,不妨查看下autorun.inf的内容,看看启动的程序,把它从内存和硬盘上依次杀掉,再去删除autorun.inf应该就没问题了.当然如果罪魁祸首不只这一个就还得找找 ... [/quote]
谢谢is同学的程序,可惜还是没用……yamiboqe009 5555555555555555555
lin2004 2007-6-16 14:24
对了,被感染的时候可以用软件跟踪调试病毒么?
橘棗 2007-6-16 15:05
[quote]原帖由 [i]lin2004[/i] 于 2007-6-16 14:24 发表
对了,被感染的时候可以用软件跟踪调试病毒么? [/quote]
可以吧,不过看样子会比较有难度
lin2004 2007-6-16 20:35
难度肯定很大...不过可以的话就可以直接破坏病毒的程序代码让它失去功能删掉了...果然要学汇编么...囧
橘棗 2007-6-16 20:57
忽然想到一件事~ yamibohk04
那种只有一个进程的病毒,结束了就能删了yamibohk03
那种两个进程互相庇护的,用OllyDBG附加到一个里面,暂停他,然后砍了另一个,再把暂停的这个砍了岂不是可以搞定?yamibohk05
lin2004 2007-6-17 00:28
就是这种原理...截断修复的过程,用调试软件把这个功能跳掉...
其实也试过别的方法,比如把木马的大端代码用00换掉,不过好象只能让它运行错误,当时找不到木马的备分,如果删掉被破坏的木马或者改名,正品木马就回来了,囧...所以觉得要用调试工具找备分...
再问:有没有直接动态调试状态下就能修改并且保存被调试程序的工具?有的话只要找到毒/马文件不就意味着可以解决事件了么...
PS:不过后来买正版杀毒以后就懒得研究这些鸟,果然是懒,还没入门就放弃鸟...
[[i] 本帖最后由 lin2004 于 2007-6-17 01:34 编辑 [/i]]
Supersonic 2007-6-17 12:50
[url]http://www.symantec.com/ja/jp/enterprise/security_response/writeup.jsp?docid=2007-061400-4037-99&tabid=3[/url]
在此找到了标题为驱除该病毒的方法。。。
不过您要找個达人翻译才行
lin2004 2007-6-17 13:13
诺顿网站...直接到中文站不就可以了么...yamiboqe009
橘棗 2007-6-17 13:23
yamibohk04 yamibohk04 yamibohk04
从楼上的楼上给的连接来看。。。貌似是和Windows系统还原有关系yamibohk05
HeroineWorship 2007-6-17 14:07
别手动杀了,费事yamibohk04
这个貌似围巾的变种,上次我也中过,悲惨
它可以不断释放病毒,还可以在网上下载其他病毒运行,手动根本杀不完
最糟糕的就是感染exe文件,重装系统一不小心也还会感染
我最终用卡巴消灭的.......查出1000多个....各式各样的病毒Orz
460578 2007-6-22 08:54
yamiboshiho 你可以 用木马清道夫 39元不贵的
kotatu 2007-6-27 00:54
换个杀软看看,用卡巴斯基
页:
[1]