[求助]：另辟新的战壕。Auto病毒怎么删除？怎么消除CPU100%？

mikewolf2k

应该是硬盘上还有别的exe文件被感染了，重装系统，刚装好时是干净的，可是一执行别的被感染的文件就又感染了，所以要杀干净硬盘上的所有病毒才行，如果没有什么重要的就格式化硬盘！

782150yhm

找个it技术厉害的公燕子，弄不好就让他下岗。

yi.gao

oklong足矣

yannanfei

最初由 yi.gao 发布
[B]
你们的IT未免技术太差了。实在不行才重装系统，更何况重装系统都不能解决问题他该下岗了。 [/B]

是的啊。　有些方面不如我呢，还拿着高薪呢。

现代社会就这样。　拿钱的不办事，不拿（拿少）的干多事！！

报告战况：
yi.gao长老，　参照你的方法还是不行，　用RavMonE Killer和江民的落雪专杀TrojanKiller　　杀了病毒，　重起，病毒又来了。
第一次杀的

                               
登录/注册后可看大图

重新启动后又杀的

                               
登录/注册后可看大图

HLM_XXX_RUNXX　　帮忙看下。参照方法在此可以找到ravmone.exe，可惜没有。

                               
登录/注册后可看大图

这玩意经常出来，　不知道什么时候装的，　电脑强行装的。　不启动，网页也会跳出来。　　谁有“浏览网页时烦人的插件”屏蔽软件，　贡献一下赖！

                               
登录/注册后可看大图

此问题的will解决,烧些Money庆祝下。

还要重新启动机器！５５５５

782150yhm

用360safe可以弄掉你不需要的网页浏览插件。木马不是那么好杀的，木马查杀软件跟不上木马的编钟速度。要想能杀掉呢，还是多种软件结合的杀吧。

yi.gao

重启后再次感染很可能还有没有删除的启动项，这需要在注册表中搜搜看。还有就是升级杀毒软件到最新，然后重新杀毒。
弹出网页的问题归根结蒂也是病毒所致。在注册表中搜索该主页地址类似www.xxxx.com什么的，所有有关内容全部删除。
你的问题太多了，还不如你改称yanbeifei，空降到北边来我帮你解决。

yannanfei

最近电脑问题扎堆，病毒就趁虚而入。

刚重新启动后，发现RUNDLL无法加载 + 任务管理器

                               
登录/注册后可看大图

mikewolf2k

建议搞定其它盘上的病毒后重装系统。

yannanfei

我的安装软件Software，请大家Check下，

                               
登录/注册后可看大图

上面的中文上网官方版很是烦人， 删除了， 重起电脑又重来，真的没有辙了。 要工作了， 别人还催我呢。
垃圾的中文上网官方版难道是中国互联网信息中心发布的，上面有它的名字？  
先装个IE免疫插件再说,以摆脱流氓软件的隐蔽安装。 推荐大家都装下。
下载地址http://dlc2.pconline.com.cn/file ... 4&linkid=232759

                               
登录/注册后可看大图

我快失去信心了， 今天用yi.gao提供Auto杀毒方法/软件，杀了数次，终于将Auto病毒杀掉了。 但是我重新启动后，Aotu又再次出现。 象上面的“垃圾的中文上网官方版”一样再次出现。

我用HijackThis扫描结果，请大家帮忙看下。提点建议。

                               
登录/注册后可看大图

上面的看得不太清楚，　我保存为日志形式供大家评估

HijackThis@Qoo的扫描日志   V1.97.7
Scan saved at 18:28:44, on 2007-4-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\conime.exe
C:\Novell\GroupWise\grpwise.exe
C:\Novell\GroupWise\GWSync.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\DOCUME~1\Admin\LOCALS~1\Temp\844456.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
E:\Home Doc\腾讯QQ\qq2007飘云\QQ.exe
E:\Home Doc\腾讯QQ\qq2007飘云\TIMPlatform.exe
E:\Home Doc\腾讯QQ\qq2007飘云\QQ.exe
E:\Home Doc\腾讯QQ\qq2007飘云\QQ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\SYSTEM32\RUNDLL2KXP.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\iexplore.exe
E:\TOOL\优化,检测,维护\HijackThis1.97\HijackThis.exe
C:\Program Files\foobar2000\foobar2000.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO:
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {CB7CA266-4479-4997-86AF-7554AA8A0AF4} - C:\WINDOWS\system32\atxx.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ????? - {03465FF5-00AE-411a-9C34-960ED566EC03} - C:\Program Files\superutilbar\superutilbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [System] C:\Program Files\Common Files\System\Updaterun.exe
O4 - HKLM\..\Run: [nkxqyb77] %systemroot%\system32\Rundll32.exe "%systemroot%\system32\nkxqyb77.dll",Start
O4 - HKLM\..\Run: [iysqjr30] %systemroot%\system32\Rundll32.exe "%systemroot%\system32\iysqjr30.dll",Start
O4 - HKLM\..\Run: [zycprj70] %systemroot%\system32\Rundll32.exe "%systemroot%\system32\zycprj70.dll",Start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\RunOnce: [liybct13] %systemroot%\system32\Rundll32.exe %systemroot%\system32\liybct13.dll,DllUnregisterServer
O4 - HKLM\..\RunOnce: [vzawm] %systemroot%\system32\Rundll32.exe  %systemroot%\system32\vzawm.dll,DllUnregisterServer
O4 - HKLM\..\RunOnce: [uninsrest] C:\DOCUME~1\Admin\LOCALS~1\Temp\uninrest.exe
O4 - Startup: ntuser.dat
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: WT61CS.UWL
O4 - Global Startup: ntuser.dat
O4 - Global Startup: ntuser.dat.LOG
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com ... s/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = XXXXXX
O17 - HKLM\Software\..\Telephony: DomainName = aeroflexnj.corp
O17 - HKLM\System\CCS\Services\Tcpip\..\{EADCBF0A-7093-40F7-BF60-9BD1AB7C4412}: NameServer = 202.102.24.35,218.2.135.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = XXXXXX
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = XXXXXX[/COLOR]

782150yhm

C:\Novell\GroupWise\grpwise.exe
C:\Novell\GroupWise\GWSync.exe
C:\WINDOWS\SYSTEM32\RUNDLL2KXP.EXE
上面3个是不是你的驱动程序。
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.exe
C:\DOCUME~1\Admin\LOCALS~1\Temp\844456.exe
这几个有问题。
C:\Program Files\Internet Explorer\iexplore.exe
这个可能也有问题，我的XP启动项里面只有一个，而你却有3个。

yi.gao

一看那个*77.dll就有问题，正经八百的文件名不应该这样的。这本来很简单就能解决的，只需要查启动项就可以了。还有一种可能是尚存的病毒文件仍然在调用这个已经删除的病毒文件——依然回到原点——杀毒。
进程中多个IE进程也肯定有问题。你再搜索以前我的帖子，那则悬赏杀毒的帖子本来你也参与过的，就是这个问题。
什么时候你能独立解决一些问题那么就意味着你实实在在进步了。

补充一点，杀毒以后把临时文件尤其是那个exe文件删除。如果无法删除那么就在安全模式下删。

xmchy

应该是中了蠕虫病毒吧

782150yhm

毒肯定是中了，但是能不能解毒就不好说了。

yi.gao

何时小燕子同志能百毒不侵？

yannanfei

最初由 782150yhm 发布
[B]C:\Novell\GroupWise\grpwise.exe
C:\Novell\GroupWise\GWSync.exe
C:\WINDOWS\SYSTEM32\RUNDLL2KXP.EXE
上面3个是不是你的驱动程序。
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\Explorer.exe
C:\DOCUME~1\Admin\LOCALS~1\Temp\844456.exe
这几个有问题。
C:\Program Files\Internet Explorer\iexplore.exe
这个可能也有问题，我的XP启动项里面只有一个，而你却有3个。 [/B]

C:\Novell\GroupWise\grpwise.exe
C:\Novell\GroupWise\GWSync.exe
这两个是我们公司的邮件

关于我为什么有三个IEXPLORE.EXE,是这样的，病毒WEBPAGE出现就多了N个。  

最初由 yi.gao 发布
[B]一看那个*77.dll就有问题，正经八百的文件名不应该这样的。这本来很简单就能解决的，只需要查启动项就可以了。还有一种可能是尚存的病毒文件仍然在调用这个已经删除的病毒文件——依然回到原点——杀毒。
进程中多个IE进程也肯定有问题。你再搜索以前我的帖子，那则悬赏杀毒的帖子本来你

也参与过的，就是这个问题。
什么时候你能独立解决一些问题那么就意味着你实实在在进步了。  [/B]

、

希望早日独立解决问题。 您的现在是我奋斗的目标！！

最初由 782150yhm 发布
[B]毒肯定是中了，但是能不能解毒就不好说了。  [/B]

最初由 yi.gao 发布
[B]何时小燕子同志能百毒不侵？  [/B]

中毒太深， 今天我都是在安全模式下登陆的电脑，并在安全模式下操作。现在我也是在安全模式下上的XDCAD。

已经将我的文件备份到其他机子上，IT准备明天重新格式化硬盘， 重新分区， 安装系统。

原本今天一早，IT说会帮我解决的， 说是带了一种新的杀毒软件，说在被感染的Server机器上试验OK。 到我来整了1小时， 失败告终。

我自己也没有信心了，杀了又重新来。 注册表也搜索了，并杀了。  真的中毒太深。用电脑那么长时间， 遇到此是第一次。