绿色家园 » 『系统救援』 » 任务管理器被劫持,杀不掉

2008-11-16 17:30 liweibo9
任务管理器被劫持,杀不掉

任务管理器倍劫持了,用ARSWP查杀说中了特洛伊木马,清除以后貌似没了,而且后来查不出来,我ARSWP升级后居然又查出来了。调看任务管理器没反应,注册表里面没见TASKMGE.EXE,上C盘看TASKMGR。exe也打不开。。懂行的教教我怎么弄,麻烦说详细点~~~谢谢

2008-11-16 17:31 liweibo9
[quote]原帖由 [i]liweibo9[/i] 于 2008-11-16 17:30 发表 [url=http://www.arswp.com/bbs/redirect.php?goto=findpost&pid=166060&ptid=39675][img]http://www.arswp.com/bbs/images/common/back.gif[/img][/url]
任务管理器倍劫持了,用ARSWP查杀说中了特洛伊木马,清除以后貌似没了,而且后来查不出来,我ARSWP升级后居然又查出来了。调看任务管理器没反应,注册表里面没见TASKMGE.EXE,上C盘看TASKMGR。exe也打不开。。懂 ... [/quote]
[attach]19115[/attach]

2008-11-16 20:55 西门吹雪
回复 #2 liweibo9 的帖子

打不开有什么提示?

2008-11-17 04:25 liweibo9
没有提示,就是光标闪一下又恢复原状,然后一切依旧

2008-11-17 08:53 shoo
下载IFEO修复程序修复一下看看
[url]http://www.dodudou.com/down/download.php?fname=./02.[/url]常用工具/IFEO.rar


如果仍然无效的话,按照下面的步骤清理之后扫日志上来:(建议用迅雷等工具下载)

1、下载windows清理助手清理恶意软件
[url=http://www.arswp.com/download.html][color=#2f5fa1]http://www.arswp.com/download.html[/color][/url]

2、下载临时文件清理工具
[url=http://www.dodudou.com/down/download.php?fname=./02.常用工具/ATF-Cleaner-cn.exe][color=#2f5fa1]http://www.dodudou.com/down/download.php?fname=./02.常用工具/ATF-Cleaner-cn.exe[/color][/url]

3、下载执行[url=http://www.kztechs.com/sreng/download.html][color=#2f5fa1]SREng最新版[/color][/url]扫日志上来

2008-11-17 10:22 liweibo9
扫完了,arswp看不出来了,任务管理器还是打不开[attach]19126[/attach]

2008-11-17 10:40 shoo
先按照下面的步骤清理病毒项目:

[b]1.建议使用XDelBox删除以下文件[/b]:([url=http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0][color=#2f5fa1]XDelBox最新版[/color][/url])
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板[b]“不检查路径”[/b]导入,勾选“抑制再生”,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\winibt32.dll到多引擎病毒验证地址:[url]http://www.virustotal.com/zh-cn/[/url]验证是病毒再删除
c:\windows\system32\drivers\8rxke.sys
c:\docume~1\asus\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\upc.sys
c:\windows\system32\drivers\ujpmwf.sys
c:\docume~1\asus\locals~1\temp\_tmp.bat
c:\windows\system32\drivers\71.tmp
c:\windows\system32\flashcatchernew.dll

[b]2.删除重启后使用SREng修复下面各项:[/b]

    启动项目 -- 注册表之如下项删除:
[WinlogonNotify: Wintji32]    <C:\WINDOWS\System32\Winibt32.dll>根据前面的验证结果确定是否删除

    启动项目 -- 服务-- 驱动程序之如下项删除:
[8rxk / 8rxke]    <System32\DRIVERS\8rxke.sys>
[xurop / xurop]    <\??\C:\DOCUME~1\asus\LOCALS~1\Temp\_tmp.bat>
[upc / upc]    <\??\C:\WINDOWS\system32\drivers\upc.sys>
[ujpmwf / ujpmwf]    <\??\C:\WINDOWS\system32\drivers\ujpmwf.sys>
[pmjfg / pmjfg]    <\??\C:\DOCUME~1\asus\LOCALS~1\Temp\_tmp.bat>
[NPF / NPF]    <\??\C:\WINDOWS\system32\drivers\71.tmp>

    系统修复-- 浏览器加载项之如下项删除:
[]    <C:\WINDOWS\system32\flashcatchernew.dll>

    系统修复-- HOSTS文件--重置

[b]3.完成清理[/b]

下载windows清理助手清理恶意软件
[url]http://www.arswp.com/download.html[/url]

下载临时文件清理工具
[url]http://www.dodudou.com/down/download.php?fname=./02.[/url]常用工具/ATF-Cleaner-cn.exe

如果清理后任务管理器还是打不开的话,可以参照下面的办法修复:

[url]http://iask.sina.com.cn/b/1846823.html?from=related[/url]

2008-11-17 11:10 liweibo9
我下载了XDB,粘贴了路径,可为什么提示我  “ 无此文件”呢。。。。

2008-11-17 11:23 shoo
有的文件被你前面的清理步骤清除了,已经写得很清楚了,用“不检查路径”导入,如果没有这一项的话,导入的时候提示无此文件就跳过,继续导入其他的文件,进行后面的操作

2008-11-17 12:12 liweibo9
还和以前一样,winibt32.dll被隐藏了,无法上传验证,我   工具-文件夹选项-查看-显示所有文件夹和文件     也没用,点完确定那个钮还在--不显示隐藏文件和文件夹   上,同时sreng运行后本文件夹产生了一个新图标SREb82aef3a.EXE,一旦运行就卡死。。。。。补充下,开sreng时候提示我说system repair engineer在UPLOAD子目录里面发现一个有效地,拥有正确数字签名信息的第三方文件上传插件。当你使用“自动将可疑文件复制到SUSPICIOUSFILES子目录里面”功能时,SRE会在后台自动将可疑文件的信息传递给第三方插件。。  附上最新版X光片[attach]19131[/attach]

[[i] 本帖最后由 liweibo9 于 2008-11-17 12:39 编辑 [/i]]

2008-11-17 12:17 shoo
下载USBcleaner,这个软件里有修复“隐藏文件”的项目

[url]http://bbs.dnwx.com/thread-34636-1-1.html[/url]

2008-11-17 13:16 liweibo9
:gr43 太专业了看不懂


文件 Winibt32.dll 接收于 2008.11.03 09:49:21 (CET)
当前状态: 完成

结果: 9/36 (25.00%)
格式化文本 打印结果  
反病毒引擎 版本 最后更新 扫描结果
AhnLab-V3 - - -
AntiVir - - HEUR/Crypted
Authentium - - W32/Heuristic-VFM!Eldorado
Avast - - -
AVG - - -
BitDefender - - Trojan.Autorun.Delf.P
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - W32/Heuristic-VFM!Eldorado
F-Secure - - -
Fortinet - - -
GData - - Trojan.Autorun.Delf.P
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - Trojan:Win32/AgentBypass.gen!K
NOD32 - - -
Norman - - -
Panda - - Suspicious file
PCTools - - -
Prevx1 - - -
Rising - - -
SecureWeb-Gateway - - Heuristic.Crypted
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - suspected of Malware.Delf.58 (paranoid heuristics)
ViRobot - - -
VirusBuster - - -
附加信息
MD5: acbf0c566893936d681d69d18069a845
SHA1: 907d7c05e279df6586c78953a09442937ef7875d
SHA256: 617440a385bd999969e9696fa9e59b47da834c7727a3adda7ee1fcfe8db3bbf2
SHA512: 65bec3f52274fdc8d51e9b461a6c9904f47a5dc957b5170295d4fc6d2d916b1c50f79fa53f3e5c3473569c951938c224e3718780d83d82073eb0900b12d7aa33

2008-11-17 13:24 shoo
???到这里下载usbcleaner这个软件,然后扫描全盘,按照默认的操作做,就会有恢复“隐藏文件”的功能项目,运行就可以了,有那么难么???


[url]http://www.usbcleaner.net/download.htm[/url]

2008-11-17 13:27 liweibo9
不是那个意思~~俺智商最起码也过50.。那是WINIBT32。DLL发到文件病毒验证网站以后得到的信息。。。看不懂

2008-11-17 14:43 shoo
那个意思是36个杀毒引擎有9个报毒

最好还是清理掉,按照前面的办法清理

2008-11-17 16:03 liweibo9
一切已经照办,这是清理以后的X光片[attach]19147[/attach]

2008-11-17 16:20 shoo
日志已经看过了,没什么问题

你现在的机器还有什么问题???

2008-11-17 16:24 liweibo9
管理器还是打不开。。CTRL+DEL+ALT还是光标闪一下就没反应,arswp简单扫描扫出了木马,清理以后再定制扫还有。。。比小强还小强啊

[[i] 本帖最后由 liweibo9 于 2008-11-17 16:40 编辑 [/i]]

页: [1]
查看完整版本: 任务管理器被劫持,杀不掉

※※※※※※

Powered by Discuz! Archiver 5.5.0  © 2001-2006 Comsenz Inc.