系统时间被更改,主页被更改,无法终止进程! 打开有关杀毒网页自动关闭。

系统时间被更改,主页被更改,电脑很慢，无法终止进程! 打开有关杀毒网页自动关闭。

============================================================================

主页被更改,电脑很慢，无法终止进程! 打开有关杀毒网页自动关闭了!。此病毒处理起来最麻烦的。

C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\WINDOWS\system32\REG.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\HijackThis.exe
..........

卡巴提示:发现木马,点击清除, 卡巴提示: 已清除木马!
可是没过多久, 卡巴又提示:发现木马,点击清除, 卡巴提示: 已清除木马!
用 “AV终结者”专杀, AutoRun克星 V2.2 扫描, 提示:发现木马病毒,点击清除, 提示: 已清除木马病毒!

以为会没事的啦, 可是没过多久, 360卫士,卡巴6.0,完美卸载全部被病毒关闭, 双击不能启动, 安装.双击安装一闪就没了,知道大事不妙,仔细一看: 电脑系统时间被更改。

电脑很慢，几乎动不了！无法终止进程! 只能搜索不能打开有关杀毒网页!刚打开就自动关闭了!

把所有的分区全部格式化了,从新安装XP系统,安装程序复制文件完成,系统初始化后死机, 系统安装无法进行。

反复进行安装多个不同版本的WINXP和WIN200结果和上述情节相同, 安装程序复制文件完成,系统初始化后死机, 系统安装无法进行。

[1]先删除原来的ＧＨＯＳＴ备份的隐藏分区!
[2]如进DOS操作不能正常工作,用早期的WIN2000的D盘版,在安装程序下:删除原来的ＧＨＯＳＴ备份隐藏分区!它没有盘符的,再创建,格式化!隐藏分区可能不只一个!
[3]用新版ＧＨＯＳＴ克隆盘含[深山红叶],它在DOS下恢复系统的前过程会自动查找和删除:磁盘里的autorun.inf文件及nx.exe病毒，隐藏文件!

只有<猪猪猫WINXPSP2标准版>克隆很顺利完成, 赶紧安装卡巴6.0,完美卸载,360卫士,全部成功! 扫描, 提示:发现木马病毒,点击清除, 提示: 已清除木马病毒!

终于大功告成。

<猪猪猫WINXPSP2标准版>克隆光盘,很容易找到,在电脑城里有的是。

发表于:2007-12-5

=============================================================

默认主页被修改

（一）.默认主页被修改

1.破坏特性：默认主页被自动改为某网站的网址。

2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。

3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main 分支，找到Default_Page_URL键值名(用来设置默认主页)，在右窗口点击右键进行修改即可。按F5键刷新生效。

（二）.默认首页被修改

1.破坏特性：默认首页被自动改为某网站的网址。

2.表现形式：浏览器的默认主页被自动设为如********.COM的网址。

3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支，找到StartPage键值名(用来设置默认首页)，在右窗口点击右键进行修改即可。按F5键刷新生效。

（三）.默认的微软主页被修改

1.破坏特性：默认微软主页被自动改为某网站的网址。

2.表现形式：默认微软主页被篡改。

3.清除方法：

(1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main 分支，找到Default_Page_URL键值名(用来设置默认微软主页)，在右窗口点击右键，将键值修改为 http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。

(2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在c盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。

regedit4

[hkey_current_user\oftware\olicies\icrosoft\nternet explorer\ontrol panel]
"homepage"=dword:00000000

===================================================

清除New Malware.aj 病毒

杀毒软件反复弹出警告：已移动(清除失败，因为文件不可清除)

NT AUTHORITY\SYSTEM C:\WINDOWS\SYSTEM\smss.exe New Malware.j
已移动(清除失败，因为文件不可清除) NT AUTHORITY\SYSTEM C:\WINDOWS\Temp\38exmodul32c.1.exe New Malware.j

在共享文档里，以及c:\windows\temp文件夹内，出现autorun.inf和setup.exe，删除后又自动生成。

使反病毒、防火墙和Windows更新软件失效。

症状：windows自动更新无法运行，无法打补丁。

原因是“管理工具”中的“本地服务”中的automatic updates(负责管理更新)被莫名其妙禁用。这个病毒开机自动加载。

这不是一个单纯的病毒，是一种安装IRC后门的特洛伊病毒，可能下载并运行任意文件。它可以被用于群发恶意邮件，或者被用作黑客的攻击跳板。危险级：高。五个+号。

解决方法看了网上的所有方法，似乎磁盘格式化是必杀技。能不能在格式化之前换个必杀技。

说明具体如下：
1、控制面板——管理工具——（本地）服务——开启automatic updates（负责windows update的）——然后更新系统——重起。必须做。（基础）

2、安装木马查杀软件（个人喜欢ewido），升级。查杀。

3、安装杀毒软件（个人喜欢Mcafee），升级，查杀。附注：上面三项不是最终解决方法，确实是最后手法的基础，必须作。为了长治久安，最好还安装防火墙。

4、删除共享文档里面的autorun.inf和setup.exe，删除c:\windows\temp文件夹内的所有文件。

5、手动清除。打开注册表（在“运行”里输入命令regedit） HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run ，立即删除“.nvsvc”并重启机器。

如果不会用注册表，可以尝试用优化大师的“开机速度优化”，立即把“.nvsvc”删除，然后重起，可以尝试。

New Malware.w 木马手动清除方法: 感染特征:出现SystemServer.exe进程,上网后会不断打开IE进程,直至系统资源耗尽. 中止SystemServer.exe进程后,会出现
gkdieudjs#@.exe进程将其恢复。步骤:(假设Windows系统安装在C盘)

1.先删除C:\Windows\目录下的SystemServer.DLL和SystemServer.exe.这两个文件是系统属性的,并已隐藏。

2.再删除C:\Documents and Settings\用户名\Local Settings\Temp\目录下的所有文件。

3.最后删除C:\Program Files\目录下的Explorers.exe 4.运行注册表编译器(RegEdit),以SystemServer和gkdieudjs#@为关键字搜索注册表,并将找到的项目删除。

(最好事先备份) 还是花了点时间来搞定它,得了一点经验,FileMon是个非常好用的监视工具,几下就能找到所启动的异常程序及其位置. 病毒思路:先利用SystemServer.exe生成

SystemServer.dll病毒文件,McAfee检测到异常,遂删除之。

但SystemServer.exe不断重建,将SystemServer.exe删除后Explorers.exe又将其重建.并将SystemServer.exe添加为系统服务。

个人认为:在Windows目录和Program Files下杀毒软件应予以监视,在拷贝的文件名同系统文件十分类似的时候提示用户选择操作。

欢迎光临午时栏社区	高先网络	QQ远程协助留言	反回首页
软件学习使用栏目	病毒分析查杀栏目	中小学幼儿栏目	英语会话栏目

系统时间被更改,主页被更改,电脑很慢，无法终止进程! 打开有关杀毒网页自动关闭。 ============================================================================ 主页被更改,电脑很慢，无法终止进程! 打开有关杀毒网页自动关闭了!。此病毒处理起来最麻烦的。 C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\WINDOWS\system32\REG.exe C:\Program Files\Internet Explorer\iexplore.exe E:\HijackThis.exe .......... 卡巴提示:发现木马,点击清除, 卡巴提示: 已清除木马! 可是没过多久, 卡巴又提示:发现木马,点击清除, 卡巴提示: 已清除木马! 用 “AV终结者”专杀, AutoRun克星 V2.2 扫描, 提示:发现木马病毒,点击清除, 提示: 已清除木马病毒! 以为会没事的啦, 可是没过多久, 360卫士,卡巴6.0,完美卸载全部被病毒关闭, 双击不能启动, 安装.双击安装一闪就没了,知道大事不妙,仔细一看: 电脑系统时间被更改。电脑很慢，几乎动不了！无法终止进程! 只能搜索不能打开有关杀毒网页!刚打开就自动关闭了! 把所有的分区全部格式化了,从新安装XP系统,安装程序复制文件完成,系统初始化后死机, 系统安装无法进行。反复进行安装多个不同版本的WINXP和WIN200结果和上述情节相同, 安装程序复制文件完成,系统初始化后死机, 系统安装无法进行。 [1]先删除原来的ＧＨＯＳＴ备份的隐藏分区! [2]如进DOS操作不能正常工作,用早期的WIN2000的D盘版,在安装程序下:删除原来的ＧＨＯＳＴ备份隐藏分区!它没有盘符的,再创建,格式化!隐藏分区可能不只一个! [3]用新版ＧＨＯＳＴ克隆盘含[深山红叶],它在DOS下恢复系统的前过程会自动查找和删除:磁盘里的autorun.inf文件及nx.exe病毒，隐藏文件! 只有<猪猪猫WINXPSP2标准版>克隆很顺利完成, 赶紧安装卡巴6.0,完美卸载,360卫士,全部成功! 扫描, 提示:发现木马病毒,点击清除, 提示: 已清除木马病毒! 终于大功告成。 <猪猪猫WINXPSP2标准版>克隆光盘,很容易找到,在电脑城里有的是。发表于:2007-12-5 ============================================================= 默认主页被修改（一）.默认主页被修改 1.破坏特性：默认主页被自动改为某网站的网址。 2.表现形式：浏览器的默认主页被自动设为如******.COM的网址。 3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main 分支，找到Default_Page_URL键值名(用来设置默认主页)，在右窗口点击右键进行修改即可。按F5键刷新生效。（二）.默认首页被修改 1.破坏特性：默认首页被自动改为某网站的网址。 2.表现形式：浏览器的默认主页被自动设为如******.COM的网址。 3.清除方法：采用手动修改注册表法，开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_USER\Software\Microsoft\Internet Explorer\Main分支，找到StartPage键值名(用来设置默认首页)，在右窗口点击右键进行修改即可。按F5键刷新生效。（三）.默认的微软主页被修改 1.破坏特性：默认微软主页被自动改为某网站的网址。 2.表现形式：默认微软主页被篡改。 3.清除方法： (1)手动修改注册表法：开始菜单－>运行－>regedit->确定，打开注册表编辑工具，按如下顺序依次打开：HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main 分支，找到Default_Page_URL键值名(用来设置默认微软主页)，在右窗口点击右键，将键值修改为 http://www.microsoft.com/windows/ie_intl/cn/start/ 即可。按F5键刷新生效。 (2)自动文件导入注册表法：请把以下内容输入或粘贴复制到记事本内，以扩展名为reg的任意文件名存在c盘的任一目录下，然后执行此文件，根据提示，一路确认，即可显示成功导入注册表。 regedit4 [hkey_current_user\oftware\olicies\icrosoft\nternet explorer\ontrol panel] "homepage"=dword:00000000 =================================================== 清除New Malware.aj 病毒杀毒软件反复弹出警告：已移动(清除失败，因为文件不可清除) NT AUTHORITY\SYSTEM C:\WINDOWS\SYSTEM\smss.exe New Malware.j 已移动(清除失败，因为文件不可清除) NT AUTHORITY\SYSTEM C:\WINDOWS\Temp\38exmodul32c.1.exe New Malware.j 在共享文档里，以及c:\windows\temp文件夹内，出现autorun.inf和setup.exe，删除后又自动生成。使反病毒、防火墙和Windows更新软件失效。症状：windows自动更新无法运行，无法打补丁。原因是“管理工具”中的“本地服务”中的automatic updates(负责管理更新)被莫名其妙禁用。这个病毒开机自动加载。这不是一个单纯的病毒，是一种安装IRC后门的特洛伊病毒，可能下载并运行任意文件。它可以被用于群发恶意邮件，或者被用作黑客的攻击跳板。危险级：高。五个+号。解决方法看了网上的所有方法，似乎磁盘格式化是必杀技。能不能在格式化之前换个必杀技。说明具体如下： 1、控制面板——管理工具——（本地）服务——开启automatic updates（负责windows update的）——然后更新系统——重起。必须做。（基础） 2、安装木马查杀软件（个人喜欢ewido），升级。查杀。 3、安装杀毒软件（个人喜欢Mcafee），升级，查杀。附注：上面三项不是最终解决方法，确实是最后手法的基础，必须作。为了长治久安，最好还安装防火墙。 4、删除共享文档里面的autorun.inf和setup.exe，删除c:\windows\temp文件夹内的所有文件。 5、手动清除。打开注册表（在“运行”里输入命令regedit） HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run ，立即删除“.nvsvc”并重启机器。如果不会用注册表，可以尝试用优化大师的“开机速度优化”，立即把“.nvsvc”删除，然后重起，可以尝试。 New Malware.w 木马手动清除方法: 感染特征:出现SystemServer.exe进程,上网后会不断打开IE进程,直至系统资源耗尽. 中止SystemServer.exe进程后,会出现 gkdieudjs#@.exe进程将其恢复。步骤:(假设Windows系统安装在C盘) 1.先删除C:\Windows\目录下的SystemServer.DLL和SystemServer.exe.这两个文件是系统属性的,并已隐藏。 2.再删除C:\Documents and Settings\用户名\Local Settings\Temp\目录下的所有文件。 3.最后删除C:\Program Files\目录下的Explorers.exe 4.运行注册表编译器(RegEdit),以SystemServer和gkdieudjs#@为关键字搜索注册表,并将找到的项目删除。 (最好事先备份) 还是花了点时间来搞定它,得了一点经验,FileMon是个非常好用的监视工具,几下就能找到所启动的异常程序及其位置. 病毒思路:先利用SystemServer.exe生成 SystemServer.dll病毒文件,McAfee检测到异常,遂删除之。但SystemServer.exe不断重建,将SystemServer.exe删除后Explorers.exe又将其重建.并将SystemServer.exe添加为系统服务。个人认为:在Windows目录和Program Files下杀毒软件应予以监视,在拷贝的文件名同系统文件十分类似的时候提示用户选择操作。


回到顶部\|