我的电脑里有木马，但是奇虎和avast都查不出

囡囡goooo

是这个吗？我上次下错了，不好意思啊~

kiss me SVP

搞那么麻烦做甚
帖照片，然后选一个志愿者～～～

囡囡goooo

我已经贴了，但是没有说话的。。。555
还有问一下，杀牧木马什么软件比较好呢？推荐一个好吗？我妈妈也中了，但是我找不到一个合适的软件，能不能提供一款比较简洁免费的下载地址呢？谢谢阿！

fuyiu0

不用太担心，根据LZ的描述应该不是木马，就是一般的程序死连接。
你应该装了卡巴7.0吧。有这个，一般情况不用担心。
你可以用360关掉一些不常用的启动程序，比如ipod相关的软件呀升级程序呀，你华硕本子的升级程序呀，skype呀，Nero呀，java的升级程序呀。msn，qq呀。
都不要开机运行，常用的东西，打开用的时候就升级了。这样开机的时候，就不会那么高了。
你是不是在拷完照片后没有安全卸载。
找一个优化大师清理一下就ok了。
最简单的方法是，把那个文件夹复制到别的地方，把原来的删了。就ok了
如果还不行，我再给你想办法。
去吃饭了。

[ 本帖最后由 fuyiu0 于 2008-4-20 13:47 编辑 ]

囡囡goooo

谢谢阿~我已经按照你的说法做了。然后安装了windows优化大师！但是每次优化的时候半路上自动关闭了~是为什么啊？我现在的一个问题是我的Ie浏览器，时不时会谈出2个窗口，一个窗口是法语网站，另一个是空白的。所以我以为是中木马了，但是听你这么说没有木马。。不知道是什么呢？请指教阿～谢谢楼！

at_wfg

1. C:\Users\HOUGuannan\AppData\Local\yaymvj.exe

复制代码

去掉这个启动项，不知道是什么程序。
另外，找工具查ie得插件，估计有1个是会让ie弹出广告窗口的。
其它的没什么问题。

fuyiu0

LS说的很对。佩服，我没注意到！
用360修复一下IE。就不会弹出来了。
不要优化，是清理垃圾和注册表。
半路关闭可能是因为一些硬件支持不好。你可以自己手动逐个优化。
说没有木马主要是你装了卡巴和360，
这俩个都对目录有记忆扫描过程，有可能是扫描过程中内存出错了，就锁死了。
所以复制不剪切，因为这段内存已经可读不可写了。
有点木马也没有关系，不用太紧张，不影响使用就好了。

[ 本帖最后由 fuyiu0 于 2008-4-20 15:58 编辑 ]

囡囡goooo

谢谢各位高手抽时间解答啊~终于搞定了！现在已经正常了~~
问题就出在那个C:\Users\HOUGuannan\AppData\Local\yaymvj.exe 上面了。不知道那是个什么东西。。。真讨厌~
对了。顺便问一下，我妈妈在家用avast杀毒出木马来了，然后我遥控指挥她装了360，但是没有查出木马。。那怎么办呢？ 那个avast警铃声还特别大。。。

囡囡goooo

我借lz的地盘，解决了自己的问题。。嘿嘿~ 希望Lz也早日解决问题呀！！

fuyiu0

原帖由 囡囡goooo 于 2008-4-20 19:56 发表
谢谢各位高手抽时间解答啊~终于搞定了！现在已经正常了~~
问题就出在那个C:\Users\HOUGuannan\AppData\Local\yaymvj.exe 上面了。不知道那是个什么东西。。。真讨厌~
对了。顺便问一下，我妈妈在家用avast杀毒出木马来 ...

最简单就是下次报警的时候把那个程序添加成信任，不过这么做有点危险。
360不是万能的，毕竟是免费的。
伯母是在用什么的时候报警呀？

囡囡goooo

原帖由 fuyiu0 于 2008-4-20 23:53 发表

最简单就是下次报警的时候把那个程序添加成信任，不过这么做有点危险。
360不是万能的，毕竟是免费的。
伯母是在用什么的时候报警呀？

就是每次开机扫描的时候，avast就会检测出来一个叫 Win32:Trojan-gen {Other} 的木马。而且会有好几次。然后我给让她下载了360，只有漏洞没有木马，
所以那个每次开机还会叫。这是怎么回事啊？该怎么操作呢？ 谢谢！你人真好，每次都耐心回答我的问题，感动呀！

fuyiu0

设置系统启动前杀毒，允许查杀系统文件（慎用，不行了再选上，一般不会有问题）
如果不行，进安全模式杀毒，应该就可以了！
还不行，我再想办法。

[ 本帖最后由 fuyiu0 于 2008-4-21 12:37 编辑 ]

fuyiu0

哈哈!搞定了!!
针对症状，我先上网找了相关的资料，首先，要显示隐藏文件
　　在这个：HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\ Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1
　　还是没有用，隐藏文件还是没有显示，仔细观察发现病毒它有更狠的招数：它在修改注册表达到隐藏文件目的之后，为了稳妥起见，把本来有效的DWORD值 CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0（如图）！这样你以为把0改为1就会万事大吉，可是故障依旧如此！也就难怪出现以上的现象了。
　　正确的方法是：先检查CheckedValue的类型是否为REG_DWORD，如果不是则删掉“李鬼”CheckedValue（例如在本“案例” 中，应该把类型为REG_SZ的CheckedValue删除）。然后单击右键“新建”--〉“Dword值”，并命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”。
　　经过刚才一番操作，我的电脑里的隐藏文件可以看到了，假如上述方法无效，那么可能是 HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced \Folder\Hidden的数据丢失或损坏，遇到这种情况，请在Windows XP安装光盘中找到Hidden.reg，双击它，然后单击“确定”按钮，将该完整的注册表数据添加到当前系统的注册表中即可。（备注：可是我手头上的 XP安装光盘找来找去都没有这个东西，假如你不幸遇到这种情况，可以尝试使用这种方法：找一部没有问题的电脑，把
　　HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer
\Advanced\Folder\Hidden这个分支导出（假如命名为1.reg）；然后备份有问题的电脑的该注册表分支；最后把1.reg导入看能否解决问题。我没试过所以不知道会不会出现什么意外，祝各位好运！假如某人能够在XP安装光盘里找到这个东西，请把文件里面的内容复制到评论里面，并且注明该XP安装光盘有没有打过SP1或者是SP2，谢谢！）
　　我看到在我的D：E：F：这些盘中（除了c盘）都出现了autorun.inf和sxs.exe两个文件，删除又再生.而且U盘插进去也出现这两个文件。此时杀毒软件一直是无法启动，我把金山的换成江民的，还是没用，看来是病毒限制了杀毒软件的运行，所以首先要把病毒的自动运行关掉，我也找了网上的资料，不过我试了，没有用，找不到rous.exe,我提供给你们，自己去试一下看看！
　　你这是修改过的ROSE病毒
　　可以结束SXS的进程删除，记住，用鼠标右键进入硬盘
　　同时按下Ctrl+Shift+Esc三个键 打开windows任务管理器
　　选择里面的“进程”标签
　　在“映像名称”下查找“sxs.exe” 但击它 再选择“结束进程”
　　一定要结束所有的“sxs.exe”进程
　　打开我的电脑 单击 工具菜单下的“文件夹选项”
　　单击“查看”标签 把“高级设置”中的
　　“隐藏受保护的操作系统文件（推荐）”前面的勾取消
　　并选择下面的“显示所有文件和文件夹”选项
　　单击“确定”
　　用鼠标右键点C盘（不能双击！） 选择 “打开”
　　删除C盘下的 “autorun.inf”文件 和“sxs.exe”文件
　　用鼠标右键点D盘 选择 “打开”
　　删除D盘下的 “autorun.inf”文件 和“sxs.exe”文件（另外有个文件也是，是个.exe 同样删了它）
　　……
　　以此类推 删除所有盘上的 AUTORUN.INF文件 和“rose.exe”文件
　　单击开始 选择“运行” 输入 "regedit"(没有引号) ，回车
　　依次展开注册表编辑器左边的 我的电脑>HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
　　删除Run项中的 ROSE （c:\windows\system32\SXS.exe)这个项目
　　关闭注册表编辑器
　然后重新启动计算机
　　删除硬盘上是ROSE：
　　按下shift键不放 插入U盘 直到电脑提示“新硬件可以使用”
　　打开我的电脑
　　这时在U盘的图标上点鼠标右键 选择“打开” （不要点自动播放或者是双击！）
　　删除 SXS.exe和autorun.inf文件 病毒就没有了
　　上面我说了这个方法对我没有用！sxs.exe没有专杀,现在只能通过注册表杀毒
　　打开注册表“regedit”,找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　有些网友说删除Run项中的 ROSE （c:\windows\system32\SXS.exe)这个项目
　　我找了一下没找到这个Run项目，但是我看了一下在Run里面有两个"SoundMam"，而且后面给的数值不一样，一个给的是“C:\\ WINDOWS\\system32\\SVOHOST.exe”另一个是“SOUNDMAN.EXE”我想大家也发现了，肯定有问题，我看了一下，只有后面一个是正确的，前一个是豪杰超级解霸的“自动播放伺服器”的程序，看来病毒是加到这个里面了，借助自动播放到处传播！（这是我认为的，不知道对不对）于是就删除了这个项，退出注册表，打开杀毒软件，可以使用了，只是在一般杀毒时，还是找不到sxs.exe的，我用的是江民的，他有未知病毒扫描，在那里里面可以发现的，他是一种“硬盘蠕虫病毒”，删掉就行了，本来我是想截屏给大家看看的，可惜我重启了，没复制下来，哪位朋友补充一下在下面！感谢！
　　那还剩下autorun.inf，直接到各个硬盘删就可以了，再清空回收站就可以了，其他的都正常了，可能还有些网友系统可能出现些问题，如豪杰超级解霸的“自动播放伺服器”不能使用了，我的建议是：不要用了，就是他坏的事！要是你非要用就重新装吧！最后重新启动，可以了！

fuyiu0

别处粘过来的，我没找到病毒的种子，不知道行不行，试试吧。

囡囡goooo

哇，看起来很挺麻烦，也不知道我妈能不能自己解决。。。谢谢啊！我已经发信给她了，让她自己操作一下，是在不行，就找人啦！哈哈。。辛苦你了！！:11700: