[注意][开机不显示桌面]木马的解决办法

andysky · 发表于 2007-4-12 15:16

前言：从四月初开始，大规模地流行起了一种木马病毒，症状主要是：开机不显示桌面和任务栏，只显示桌面背景。最近，我也在身边的朋友们的电脑上与之狭路相逢，与之较量了一番，大获全胜。现将解决方案分享给大家。
[一]、如何恢复桌面？
在查杀病毒前，先将桌面恢复出来，这样才能够更加方便地操作。恢复方法：
1.按CTRL+ALT+DEL调出任务管理器，点“进程”，然后结束“explorer.exe”。
2.点任务管理器的“文件”——“新建任务”，运行explorer.exe，桌面就显示出来了。
（补充说明，有站友反映自己的explorer.exe已被杀毒软件隔离或删除。如果有这种情况，可以先下载本贴底端的地址的附件explorer.exe，并将其复制到c:\windows目录下，再按上述操作）
[二]、如何彻底查杀病毒？
由于该木马病毒用卡巴斯基5.0等杀毒软件能够扫描出来，但无法杀掉，而且它在windows、system32、temp等文件夹下生成了很多病毒文件并且修改了几处注册表键值。所以需要借助于工具进行手动查杀。
具体操作步骤：
1.关闭卡巴斯基等杀毒软件。（没错。因为它无法杀毒该病毒，而且还会干扰下一步用其他工具查杀，所以关闭）。
2.在任务管理器里结束病毒进程（有可能有cmdbcs.exe、winform.exe、mppds.exe、wsttrs.exe、msccrt.exe中的一个或几个，有几个就关几个。注意，此时不要关闭explorer.exe）
3.运行“费尔木马强力清除助手 2.0.exe”（该软件见本贴底端的地址的附件）
用它杀掉下列位置的病毒文件，在清除时，选中软件中的“清除，并抑制文件再次生成”，然后点“开始即可”，这样可以保证病毒不再生成，而且会产生一个与病毒同名的空文件夹，这是正常的，是为了免疫病毒再次感染而产生的。
c:\windows\cmdbcs.exe
c:\windows\winform.exe
c:\windows\mppds.exe
c:\windows\wsttrs.exe
c:\windows\msccrt.exe
c:\windows\system32\winform.dll
c:\windows\system32\mppds.dll
c:\windows\system32\wsttrs.dll
c:\windows\system32\msccrt.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\mppdys.dll
4.除了上述文件外，由于该病毒在不同的电脑上有不同的变种，所以还需要进一步查杀其他有可能存在的病毒文件。具体方法：
分别打开c:\windows
c:\windows\system32
c:\Documents and Settings\（你电脑的用户名）\Local Settings\Temp
c:\Documents and Settings\（你电脑的用户名）\Local Settings\Temporary Internet Files
检查里面是否有可疑的exe文件（比如，可以按修改时间排列，看近期的修改时间的exe、dll等文件）。
如果还有病毒文件，用第3步的方法查杀之。
5.如果第3、4步中，用“费尔木马强力清除助手 2.0.exe”有杀不掉的文件，可以用IceSword杀。（该软件见本贴底端的地址的附件）
6.运行“查看自启动程序.exe”（该软件见本贴底端的地址的附件），从里面找到cmdbcs.exe、winform.exe、mppds.exe、wsttrs.exe、msccrt.exe等很明显是病毒的启动项，删之。（★特别提示：千万不要删除正常的userinit.exe和explorer.exe）
最后，如果你确认已经完全按上述步骤成功操作了，重启电脑，应该就正常了。当然，还可以继续再用卡巴等杀软扫描一下系统，如果还有残留的病毒文件，或者并发感染了其他病毒，再用类似上述的方法删之。
[后记]用上述方法，能够完全杀毒该木马病毒。当然，如果你的计算机同时感染了其他的病毒，或者有其他并发症，并不能保证用该方法解决所有问题。此外，为了照顾大多数不特别懂电脑的同学，我写的教程通常非常的详细、简明，尽量每一步都写得很清楚，如果你看了该教程，仍然不太会操作，可以请身边比较熟悉电脑的人协助操作。

费尔木马强力清除助手 2.0.exe 附件较大,上传不便,大家自己到百度下吧

男儿当自强 · 发表于 2007-4-12 21:37

拜读了！

前几天我有同事的电脑就出现这种情况，苦于没有好的方法解决，只好重装系统了。

TGB · 发表于 2007-4-13 09:56

真正的高手耶．．．

lfspecter · 发表于 2007-4-14 00:35

最近威金变种病毒9Sy.exe文件肆虐

将下面的内容复制，保存为del.bat再点击运行即可

@ECHO OFF
del c:\winnt\logo1_.exe
del c:\windows\logo1_.exe
del c:\winnt\0sy.exe
del c:\windows\0sy.exe
del c:\winnt\1sy.exe
del c:\windows\1sy.exe
del c:\winnt\2sy.exe
del c:\windows\2sy.exe
del c:\winnt\3sy.exe
del c:\windows\3sy.exe
del c:\winnt\4sy.exe
del c:\windows\4sy.exe
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
net share c$ /d
net share d$ /d
net share e$ /d
net share F$ /d
net share G$ /d
net share h$ /d
net share i$ /d
net share j$ /d
net share admin$ /d
net share ipc$ /d
del c:\winnt\logo1_.exe
del c:\windows\logo1_.exe
del c:\windows\vdll.dll
del c:\winnt\vdll.dll
del c:\winnt\kill.exe
del c:\windows\kil.exe
del c:\winnt\sws32.dll
del c:\windows\sws32.dll
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
echo.
echo.
echo.
echo.                *****************************
echo.
echo.                正在查毒...请不要关闭......
echo.
echo.                *****************************
echo.
echo.
echo.
echo.
ping 127.0.0.1 -n 5
del c:\winnt\logo1_.exe
del c:\windows\logo1_.exe
del c:\windows\vdll.dll
del c:\winnt\vdll.dll
del c:\winnt\kill.exe
del c:\windows\kil.exe
del c:\winnt\sws32.dll
del c:\windows\sws32.dll
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
echo.
echo.
echo.
echo.                *****************************
echo.
echo.                正在查毒...请不要关闭......
echo.
echo.                *****************************
echo.
echo.
echo.
echo.
ping 127.0.0.1 -n 5
del c:\winnt\logo1_.exe
del c:\windows\logo1_.exe
del c:\windows\vdll.dll
del c:\winnt\vdll.dll
del c:\winnt\kill.exe
del c:\windows\kil.exe
del c:\winnt\sws32.dll
del c:\windows\sws32.dll
del c:\windows\0sy.exe
del c:\winnt\1sy.exe
del c:\windows\1sy.exe
del c:\winnt\2sy.exe
del c:\windows\2sy.exe
del c:\winnt\3sy.exe
del c:\windows\3sy.exe
del c:\winnt\4sy.exe
del c:\windows\4sy.exe
del c:\winnt\rundl132.exe
del c:\windows\rundl132.exe
del C:\winnt\Logo1_.exe
del C:\winnt\rundl132.exe
del C:\winnt\bootconf.exe
del C:\winnt\kill.exe
del C:\winnt\sws32.dll
del C:\winnt\dll.dll
del C:\winnt\vdll.dll
del C:\winnt\system32\ShellExt\svchs0t.exe

del C:\Program Files\Internet Explorer\0SY.exe
del C:\Program Files\Internet Explorer\1SY.exe
del C:\Program Files\Internet Explorer\2sy.exe
del C:\Program Files\Internet Explorer\3sy.exe
del C:\Program Files\Internet Explorer\4sy.exe
del C:\Program Files\Internet Explorer\5sy.exe
del C:\Program Files\Internet Explorer\6SY.exe
del C:\Program Files\Internet Explorer\7sy.exe
del C:\Program Files\Internet Explorer\8sy.exe
del C:\Program Files\Internet Explorer\9sy.exe

del C:\winnt\system32\Logo1_.exe
del C:\winnt\system32\rundl132.exe
del C:\winnt\system32\bootconf.exe
del C:\winnt\system32\kill.exe
del C:\winnt\system32\sws32.dll

del C:\windows\Logo1_.exe
del C:\windows\rundl132.exe
del C:\windows\bootconf.exe
del C:\windows\kill.exe
del C:\windows\sws32.dll
del C:\windows\dll.dll
del C:\windows\vdll.dll
del C:\windows\system32\ShellExt\svchs0t.exe
del C:\windows\system32\Logo1_.exe
del C:\windows\system32\rundl132.exe
del C:\windows\system32\bootconf.exe
del C:\windows\system32\kill.exe
del C:\windows\system32\sws32.dll

del c:\_desktop.ini /f/s/q/a
del d:\_desktop.ini /f/s/q/a
del e:\_desktop.ini /f/s/q/a
del f:\_desktop.ini /f/s/q/a
del g:\_desktop.ini /f/s/q/a
del h:\_desktop.ini /f/s/q/a
del i:\_desktop.ini /f/s/q/a
del j:\_desktop.ini /f/s/q/a
del k:\_desktop.ini /f/s/q/a

xpm130 · 发表于 2007-4-14 08:41

谢谢版主,偶用过了.

双击打开后,都提示"找不到共享资源"或"找不到文件路径"之类,几秒钟后就自动关闭了.大概我的机没有遭受威金病毒侵害吧.

谢谢

		自动登录	找回密码
密码			免费注册

[注意][开机不显示桌面]木马 的解决办法

[注意][开机不显示桌面]木马的解决办法