好厉害的病毒啊! (1人在浏览)

[湖海山人]

这几天电脑老是打开这几个网站：
一个说有6位QQ号码送，二是什么奥运火。
我在用绿色浏览器，可以IE刚才又跑出凤凰卫视来，http://ww.netstv.cn/phenixstv/green1soft.html?keyrunget=MzE5N3wxNDA1NDR8bW01NXwxfGh0dHA6Ly90eHNoaS5jb20vbW92aWVsaXN0YWN0aW9uMTEuaHRtbA%3D%3D其实是美女视频什么的。
用清除流氓的软件干掉她，可以下次连空软件也打不开了；用过优化大师后，它认得了。
用的杀软，它全认得。
诺顿安装不了，卡巴斯基到最后一步又不行了。一打开，不到两秒钟就自动关了。
重装系统后，一切照旧。
这是什么毒？这么厉害？

 

[白衣书生]

希望不是AV终结者.

 

[木糖醇]

http://www.onlinedown.net/soft/53325.htm

这个东西它绝对认不得！

如果你的电脑打开提示需要管理员授权，那么你把IceSword.exe随便改名字：如IceSword000.exe

1，
安全模式
2，
启动IceSword.exe
3，
终结可疑进程
4，
启动Windows清理助手。下载地址：http://www.newhua.com/soft/52983.htm
5，
启动杀毒软件。查杀即可

 

[白衣书生]

冰刃??

哈哈哈,读书的时候经常用这软件搞定老师的控制玩游戏....

 

[湖海山人]

谢谢楼上诸位，还有一点，当我用清流氓软件清了后，，后来，发现出现一个“Rar.exe"的程序，这个程序在任务管理器框中跑上跳下――很象要当官的在拉关系，想结束它的任务，一是难点它，二是点了也结束不了。

 

[木糖醇]

IceSword.exe

可以帮助你随意关掉任意的进程

 

[木糖醇]

驱动级木马删除工具XDELBOX（剑盟出品）
可以删除unlocker，冰刃无法删除的文件

真正的DOS级文件删除工具

文件删除终结者 -- XDelBox 简介


1、dos级文件删除方式，打造病毒清除新模式
2、无须进入安全模式，即可删除所有病毒文件
3、支持一次重启批量删除多个文件
4、复制路径的删除添加方式更适用于网络求助(支持拖曳)

[attachmentid=175822]

新增驱动安全删除模式
因少数恶意流氓驱动保护在安全模式下也加载，当在DOS下删除sys文件重启后，会导致系统无法进入，蓝屏等（极少数）
系统以为是缺少某个正常硬件驱动呢，碰到这种情况如果可以用icesword，unlocker先卸载删除文件，在重启前一定要停止这个驱动服务
否则也会造成系统无法进入(当然其实存在icesword，unlocker无法卸载的驱动的，终极流氓嘛，那就要xdelbox出马了，哈）
因此，此次更新是确保在停止驱动服务之前删除文件的安全性
驱动安全删除模式使用替换恶意驱动的做法，因此删除系统重启后，那个驱动文件仍旧在的，但已经可以正常删除了



他可以帮你删除你想删除的任意文件....

 

[小筑]

我正在使用卡巴斯基,不知道效果如何,而且我所有用的卡巴也只是有效期半年,如果真是没用的,那我就试用着冰刃吧.因为本身就不是很懂电脑,曾经听人家说冰刃是不可以乱用的.是真的吗?

 

[木糖醇]

是的,不可以乱用.

但是用来终结进程是可以的...

 

[小筑]

但是我不懂什么是可疑的进程啊~咋办了？？
在任务管理器看了又看都看不出有什么不同的。

 

[木糖醇]

那没办法了.

 

[湖海山人]

谢谢楼上诸位!
我再次重装系统后,马上进入安全模式,用清软件找出病毒,好样的,连注册表也感染上了,要注册里清除.
再用清除流氓软件复查,清除,重新开机,OK!

 

[湖海山人]

实际上，病毒发作后连关机都困难，强行关机后，无法进入安全模式。
所以我重装后，不敢乱动，马上进入安全模式。

 

[Delete]

夹带着蠕虫病毒.

所以.....

 

[湖海山人]

老病又发作了！还是搞不定。
出现一个：alg.exe或ALG.exe的程序运行，无法停止，用冰剑也无能为力了。卖六位QQ的网页又自动弹出来，而且无法进入安全模式。

 

[Delete]

ALG.EXE


进程文件： alg 或者 alg.exe
进程名称： Application Layer Gateway Service
路径:C:\WINDOWS\system32\alg.exe
命令行:C:\WINDOWS\System32\alg.exe
文件描述:Application Layer Gateway Service
出品公司:Microsoft Corporation
文件大小:43 KB
文件版本:5.1.2600.2180
MD5值:a9de20df2c89b6b2ffda0e6cd52a8599


描述：
alg.exe是微软Windows操作系统自带的程序。它用于处理微软Windows网络连接共享和网络连接防火墙。这个程序对你系统的正常运行是非常重要的。
出品者： Microsoft Corp.
属于： Microsoft Windows Operating System
系统进程： 是
后台程序： 是
使用网络： 是
硬件相关： 否
常见错误： 未知N/A
内存使用： 未知N/A
间谍软件： 否
广告软件： 否
病毒： 否
木马： 否

最近电脑突然卡，发现进程了多了很多个ALG.EXE
感觉不对，马上用在线杀毒http://www.antidu.cn/board/online/ 查杀
杀了很多，都报告没有病毒，安心了，其实alg.exe是微软出的东西，不是病毒

★如果此文件在C:\windows\alg.exe★(标准地址为C:\windows\system32\alg.exe 这里前面的写的是一种病毒)
这是一个病毒样本eraseme_88446.exe 释放到系统中的。
C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。

特点：
1、C:\windows\alg.exe注册为系统服务，实现启动加载。
2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。
3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5－6个端口访问网络。
4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较，病毒改动后的ftp.exe和tftp.exe文件大小不变，但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b（见附图）。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目录下。

手工杀毒流程：
1、清理注册表：
（1）展开：HKLM\System\CurrentControlSet\Services
删除：Application Layer Gateway Services（指向 C:\windows\alg.exe）

（2）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将SFCDisable的建值改为dword:00000000

（3）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
删除："SFCScan"=dword:00000000

（4）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions
删除："v7b5x2s1i4h3"="12/15/2006, 01:26 PM"

2、重启系统。显示隐藏文件。
3、删除C:\windows\alg.exe。
4、在C:\WINDOWS\system32\Microsoft\目录下找到backup.ftp，改名为ftp.exe；找到backup.tftp，改名为tftp.exe。然后，将ftp.exe和tftp.exe拖拽到system32文件夹，覆盖被病毒改写过的ftp.exe和tftp.exe。
alg.exe是什么病毒？
正常的alg.exe是windows自带的程序，只是有可能被病毒感染或者被伪装；


C:\windows\alg.exe病毒:
这是一个病毒样本eraseme_88446.exe（样本来自“剑盟”）释放到系统中的。瑞星今天的病毒库不报。 字串1
C:\windows\alg.exe偷偷潜入系统后，下次开机时会遇到1－2次蓝屏重启。
字串9

特点：
1、C:\windows\alg.exe注册为系统服务，实现启动加载。

2、C:\windows\alg.exe控制winlogon.exe进程。因此，在WINDOWS下无法终止C:\windows\alg.exe进程。

3、在IceSword的“端口”列表中可见C:\windows\alg.exe打开5－6个端口访问网络。

4、C:\windows\alg.exe修改系统文件ftp.exe和tftp.exe。与原系统文件比较，病毒改动后的ftp.exe和tftp.exe文件大小不变，但MD5值均变为09d81f8dca0cbd5b110e53e6460b0d3b（见附图）。系统原有的正常文件ftp.exe和tftp.exe被改名为backup.ftp和backup.tftp，存放到C:\WINDOWS\system32\Microsoft\目录下。

 

[湖海山人]

现在的情况是：有些程序不能删除，想上360安全卫士网站就会自动关网页，且出现无数个结束任务的窗口，使电脑完全蓝屏。。

 

[烟花瞬间]

如果是AV终结者就麻烦咯。

 

[独孤小浪]

楼主乱上网页吧..
只要把系统补丁打全.做好防护.
一般都不会出现大问题的了.

 

[湖海山人]

经过两天的艰苦今天忽然发现又可以了：
一、下载杀木马软件，这个很重要。发现或杀了超过近二十处木马。
二、QQ病毒专杀工具。这个也很重要。这个软件能杀其它软件无法搞的病毒。
切断网线，重装系统，马上进入安全模式。
安装杀马软件，查杀，再软件瑞星，但是这时瑞星其实没有什么，因为它的程程序被禁止了。
反复查杀，包括DEFG盘，这些盘才是源头。果然在E盘里发现了木马病毒。
反复杀过。
今天无意中进入正常模式，瑞星竟然自己安装――以前安全时总出错，应该是不完全安装。
360，QQ专杀，ARR，木马克星和瑞星一起，完全正常了！
今天又受到ARP和攻击，但被拦载了。

 

[白衣书生]

我一般只用360,金山,清理助手

 

[木糖醇]

给你个灭绝法:
1,
把你的硬盘卸下.
2,
把它装在另外一台无病毒的电脑里,插口连接的是第二启动线.
3,
无病毒的那台电脑需要准备病毒查杀软件+木马查杀+恶意程序查杀软件.
4,
病毒查杀必须是启动开机前查杀(很多杀软都有这个功能)
5,
然后启动所有查杀程序进行全盘扫描.

 

[木糖醇]

期间,
无病毒那台电脑的电脑漏洞必须打好补丁....

 

[小筑]

....
很复杂啊~有些明白,有很多不明白...
我的那台暂时来说就让卡巴斯基保护着...不受控制的情况也有了一点改善了,不过不知道是不是木马了,总之我鼠标也换了，换了之后又没有说鼠标突然不见了或者不受控制，真是不知道是什么问题了．

 

[聪明的傻猪]

现在的病毒不像以前一样只在C盘了,建议重装系统,重装系统后打开我的电脑-工具-文件夹选项-查看-把隐藏受保护的操作系统文件(推荐)-显示所有文件和文件夹这两个选项的勾去掉确定.然后再用右键盘符按打开来一个一个的打开其它分区,把所有可疑的EXE隐藏文件删除掉,反正不是你要的都删除掉它,两个系统文件除外,最后再上网下载360安全卫士还有杀毒软件安装把病毒库更新到最新进行全面扫描病毒.扫描到病毒有杀过就不要放过,如果你是单机拔号上网最好就是装个防火墙,推荐安装ZA防火墙,希望本猪的建议可以帮到你,西西