[求助]：毒霸报告的一个病毒，怎么也杀不掉！

山顶洞人

时不时跳出来一个病毒报告，清除不掉，隔离也没用，在安全模式下也杀不掉，毒霸装在系统盘上，系统盘是NTFS的。
请问哪位朋友知道，怎么把这个病毒干掉！！！

splts

1。你先把Win所有必要的补丁先装上，
2。你的DUBA是否是最新版

mermaidjb

我也有过,用了多个杀毒软件都没有用,怀疑是某个系统文件被改了,最后重装了系统才解决的~!

第四类感情

那文件好像在被调用吧，是不是！`
你到安全模式下删了，然后再看看还有没有。

山顶洞人

二楼楼主：是2003钻石会员什么版的（D），病毒库是最新的了。
三楼楼主：修复安装有用吗？格了重装还要装很多软件太花时间了，我这台电脑要时刻“原地待命”的。
四楼楼主：这个文件在windows文件夹里能删吗？我知道你灌水厉害，你可不要把我电脑灌成黑屏呀~~~开开玩笑啦~~~我对系统知之甚少，不知道删了这个文件会不会把系统搞坏了，能不能给我一个杀它的理由，让我放心地无顾虑地删掉它，谢谢！

mermaidjb

我是格了重装的,修复没有用~!
现在我是金山和瑞星(都是正版)两一个一起用的~!防火墙开到了最高级~!并且能打的补丁都打上了~!
http://tech.tom.com/1380/1435/2004108-129792.html
你可以看看这个是关于Svchost.exe的介绍,然后考虑是不是要删掉它~!
呵呵~!~!
再纠正你一个错误,"第四类感情"很厉害的~!

splts

2003钻石会员？还可已更新病毒库？不是早已升级到DUBA6了。

toki

毒霸不是很好用，我们单位用的都是kv2004的。。。。。。

我个人用的是卡巴斯基的杀毒软件

jxweijunl

建议不要用毒霸，毒霸的专杀软件还可以，真正系统防毒、杀毒太弱了。我们用symantec

山顶洞人

6楼楼主：谢谢！马上去看看去，其实我知道第四类感情很厉害我是开开玩笑啦~
7楼楼主：我那个是黑户口啊不敢去升级！单位没买正版的我也没办法呀。
8楼楼主：如果不是中文界面的，我不没福气享用了。
9楼楼主：我在天空下的是有时间限制的，哪有注册版的吗？

mermaidjb

没办法啊~!
其他版本的杀毒软件太贵了(正版)~!~!买不起啊~!
再说支持国货~!~!
呵呵~!以前用的诺顿,后来不能升级了所以就用金山了~!

splts

很难说那个好？我觉的DUBA满好用的，在公司中用的是几十万EUR买的杀毒软件，每年维护费还要十几万，我觉的和DUBA差不多，
其实DUBA有个升级的小巧们，先在网上下载DUBA6和序列号，安装成功后，不要设置为Internet升级，改为在独霸网站下载最新更新，即可。不过一个独霸才几十元，没必要搞盗版，不明白？？真不明白？？

第四类感情

先问一下你，呵呵，你试过我说的方法了没！~
据我所知，P版的XP下面不会有你所说的那文件，而且，你还发现了没有，WINDOWS文件夹下面会有这文件吗？呵呵，我还没见过哦，我只知道SYSTEM32里面有这个文件，但它的文件名是SVCHOST.EXE，呵呵
而你所说的担心删了以后会出问题，你删过了吗？试想一下，如果真是系统必须的，在你删除的时候系统会自动恢复的，那时候要真删的话还得删除系统的备份，而如果不是系统必须的话，根本不会备份，更不会理你删不删了。
呵呵，我的意思就是说，你尽管去偿试，担心的话，叫别人发一个相同路径下的相同文件给你，要是删错了还可以恢复的——不过不知道你能不能找一个相同的文件出来。
呵呵，好运！~~

清香百日荷

把你的软件升级一下看看！

xmin

这应该是“乞丐盗传奇”的变种。

乞丐盗传奇木马程序简介：
　　此程序为热血传奇盗号工具【支持目前所有热血传奇版本】，无论您是使用复制/粘贴或者是通过键盘录入，它都能正确截取传奇登陆区域、用户名、密码、服务器、人物名称等相关数据，并把所有数据发送到指定信箱。软件特征数字可输入任意数字，输入的特征数字不同，生成木马的特征码也不同，彻底防查杀！

◆ 程序特点：
1、能截取传奇区域、用户名、密码、服务器、人物名称、性别、等级、及装备信息，计算机IP地址等信息。
2、能自动判断用户名及密码的准确性，只记录正确的ID和密码。
3、采用高超的数据处理技术，大大浓缩了配置后的程序的体积，主程序体积只有62.1k左右这更加有利用于程序的合并及制作网页木马。
4、能运行于Win98,WinMe,Win2000,WinXP和Win2003.
5、通过80端口发信.安全,高效.不会泄露自己信箱密码.
6、独有进程保护模块.并自动扑杀各种流行杀毒软件.
7、对游戏本身不会造成任何停顿.支持外挂.

◆ 程序运行机制：
    编写工具:Delphi 传染条件:该木马通过将图标伪装成文本文件或者图片文件的图标等等来诱骗用户运行.
    发作条件: 通过注册表项：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, 添加如下键值： "Shell" = "Explorer.exe %SYSTEMROOT%\svch0st_.exe" 来自动在登陆系统时加载本身 系统修改: 1. 添加注册表： HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon， 添加如下键值："Shell" = "Explorer.exe %SYSTEMROOT%\svch0st_.exe" 2. 当病毒运行后， 向%SYSTEMROOT%\复制病毒体本身并且重命名为svch0st_.exe，然后自动删除掉运行文件
    发作现象: 通过任务管理器， 可以查看到svch0st_.exe进程。

[解决办法]
         上面介绍的是‘乞丐盗传奇’的情况，你感染的是其变种，据说它会终止一些常见安全软件的进程。我手上没有相关资料不知感染机制是否有所变化，因此只能针对原木马程序来讲解决办法。是否有效只有你自己试过才知道。
    1。启用注册表编辑，展开HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon分支，修改“Shell”键的值为"Explorer.exe "。
    2。启动到安全模式，删除掉"%SYSTEMROOT%\svch0st_.exe"文件。为稳妥见，最好成绩再检查一遍第一步的注册表值是否正确。
    （注：SYSTEMROOT%是系统变量，指系统安装文件夹，缺省为： C:\Windows(Windows 95/98/Me/XP), C:\Winnt(Windows NT/2000), 不过由于你的是变种，最好还检查一下 C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP)，其实你从第一步被感染修改的注册表值中能得出木马程序的具体位置）
    3。重启系统，运行杀毒软件进行扫描，以防止可能隐藏的病毒母体。