SiS001! Board - [第一会所关闭注册]

标题: [求助] 一种新型病毒,至今还没有一款杀毒软件能够查出!!! [打印本页]

作者: a5656949 时间: 2008-12-4 21:40 标题: 一种新型病毒,至今还没有一款杀毒软件能够查出!!!

注意一种新型病毒,至今还没有一款杀毒软件能够查出!!!
最近,多个客户那里出现了一种新型病毒,该病毒用瑞星,卡巴,江民,金山,木马克星和网上的其他非主流杀毒软件都查不出,但是在资源管理器的进程中可以明显的看出来.
  主要后果是导致网络阻塞;CPU占有率不高,但所有软件运行非常慢;一旦上网,就不断从网络中下栽多中木马及病毒进入WINDOWS文件夹和SYSTEM32文件夹,并在SYSTEM32文件夹中建立新的文件夹,并在进程中多出SVCHOST.EXE,CSRSS.EXE,SMSS.EXE等进程,并且杀毒软件无法将它们确认为病毒.
最牛的是:重装系统,无法清除;格式化也无法清除;重新分区格式化仍然无法清除; 最多一天,有会出现病毒.
现在最有效的清除方法是,关机,断电,取出主板电池,主板放电,然后开机从光盘引导,重新分区格式化,再重装系统.病毒才清除掉.- -! 累啊!!!  3天才搞定了4个客户的这种中毒状况. 之前我为这种病毒头疼了一个月了!!!!!  希望大家不要中上这种病毒啊!!!
PS:要注意的是,这种病毒发作只针对直接用猫拨号上网,或用路由上网的,但是设置了虚拟服务器的机器上才会中!!!!

作者: freesyg 时间: 2008-12-4 22:21

谢谢提供方法：效的清除方法是,关机,断电,取出主板电池,主板放电,然后开机从光盘引导,重新分区格式化,再重装系统.病毒才清除掉。

作者: zeroboa 时间: 2008-12-4 22:44

呵呵，很搞笑的清除方法。和主板电池有和关系？病毒还能进BIOS不成？另外你说的重新分区，无非就是为了删除引导型病毒，用得着这么做么？10年前的KV300就能搞定了。

作者: greenland666 时间: 2008-12-5 00:03

哇,用不用这么夸张啊,这类病毒旱就有过可能是新的变种吧,正如楼主所说用国产的杀软不好对付,还引出这么多的处理方法,建议还是改装国外杀软吧,要不也不会有这么多麻烦,我就用的国外杀软根本没必要去关心报上的今天这个明天那个的病毒怎样怎样的,那都是为自己做广告.

作者: 刚刚强强 时间: 2008-12-5 00:09

楼主说的很可怕啊，还需要重新组装一下啊，病毒能进硬件里了？

作者: zd1119 时间: 2008-12-5 00:11

完全是危言耸听，你当这些电脑杀毒软件公司是吃干饭的，早就播报出来了

作者: sexymai 时间: 2008-12-5 01:59

楼主说的有可能是机器狗的最新变种吧
不过你说的清楚方法似乎不太可能
就我知道的好象确实有人在研究BIOS病毒而且BIOS病毒针对的是网吧而机器狗大部分也针对的是网吧因为现在大点的网吧全是用无硬盘技术了。所以一般病毒对于网吧来说基本没什么用处了。

作者: dachuan 时间: 2008-12-5 06:03

楼主说的三个进程中有两个（CSRSS.EXE, SMSS.EXE）是主要进程。是系统默认的啊。怎么回事啊？楼主搞错了吧、

作者: ICE1034121794 时间: 2008-12-5 15:20

系统默认的进程项大部分都是英文小写的。楼主你可以确定这回事吗？
如果你说的都是大写的话，俺就放心了
拆主板电池俺以前也干过蛮有用的

作者: ebook 时间: 2008-12-5 18:22

看了半天才明白,这不是忽悠人嘛
楼主,这是电脑区,不是水区,你这个消息发的

作者: wqfgdm 时间: 2008-12-5 19:17

这几个文件其实是隐藏在windows目录下,中毒后,就无法显示隐藏文件和文件夹了.应该有杀毒软件可以查杀到的.不是新的病毒.

作者: crister 时间: 2008-12-5 20:34

不会吧,楼主,要像你那么说的,就是没办法的办法,中了就完了

作者: pan333333 时间: 2008-12-5 20:51

真的假的啊.太可怕了.是谁发明的病毒啊.太有才了

作者: 732451996 时间: 2008-12-15 15:22

杀毒软件都是无用的，一个新病毒出来了用户中毒了，它正更新。

作者: chenchaosb 时间: 2008-12-15 16:04

没见过是真的还是假的啊真的有这种病毒吗那可真是太可怕了啊

作者: 超级大色虎 时间: 2008-12-15 16:20

看了楼主说的那几个进程，自己查理一下，我的进程里有csrss.exe，然后上百度一搜：csrss.exe是微软客户端/服务端运行时子系统。该进程管理Windows图形相关任务。这个程序对你系统的正常运行是非常重要的。注意：csrss.exe也有可能是W32.Netsky.AB@mm、W32.Webus Trojan、Win32.Ladex.a等病毒创建的。该病毒通过Email邮件进行传播，当你打开附件时，即被感染。该蠕虫会在受害者机器上建立雏菊TP服务，用以自身传播。该病毒允许攻击者访问你的计算机，窃取木马和个人数据。这个进程的安全等级是建议立即进行删除。
这怎么判断是不是病毒啊？

作者: snkxxx 时间: 2008-12-15 16:27

BIOS病毒是存在的.没什么好奇怪的.我遇到过.唯一的办法就是进入DOS>用软驱或者U盘来杀.

作者: zzy20156183 时间: 2008-12-15 17:05 标题: 回复 1楼的帖子

汗，我的情况和楼主描述的一样

莫非我也中了这该死的未知名病毒？

555欲哭无泪

重装了4次系统才好

作者: zzy20156183 时间: 2008-12-15 17:06 标题: 回复 16楼的帖子

我电脑里面也有这些进程

估计楼主说的进程是大写字母表示的

那才是真正的假冒进程

作者: mecca1211 时间: 2008-12-16 01:22

楼主说的是不是真的啊,有什么办法预防这种病毒吗?

作者: boxpig 时间: 2008-12-16 01:27

这么说来这人很牛了，安全技术厂商可以把他招安了

作者: qq269788399 时间: 2008-12-16 03:30

有这么厉害的病毒么.?
那种了这病毒基本上就等于是等死了额.

作者: hnsse2008 时间: 2008-12-17 00:25

又长见识了,我现在怕得病毒.中了一次主机都开不了

作者: cocoazy 时间: 2008-12-18 17:57

有点搞笑，查不出也不表示杀不掉啊！看看winpe.

作者: ck893210 时间: 2008-12-18 19:28

病毒没什么大不了的，而求一般都有解决办法，只是快慢而已。

作者: mizone123 时间: 2008-12-18 20:25

楼主，既然这种病毒连那些杀毒软件大公司的专业人才都找不出，怎么就被你找到了？
就算是被你找到了，那么那些杀毒软件的公司怎么就没有新的杀毒补丁？
难道说金融危机让那些技术人员都回家吃泡饭不管事了？
要忽悠人，请远离这，谢谢

作者: yzh586 时间: 2008-12-18 22:00

看来没这么历害吧只是你在杀病毒的时候没全盘杀吧

作者: 草草了事 时间: 2008-12-18 22:11

说真的，目前不会有这样的病毒出现，只是楼主所在的局域网，重复感染罢了。

下载好ARP防火墙，就可以轻易防止重复感染

作者: dayuhao 时间: 2008-12-18 22:53

还有重新分区无法清楚的病毒，那一定是“心病”了。
哈哈，不是玩笑吧，是不是你的安装盘上就有病毒呀，怎么会重新分区了病毒还在，它在哪里栖身呀

作者: zhesheng83519 时间: 2008-12-28 16:16

没听说过有这样的病毒。再说了病毒跟你的主板能拉上关系吗？

作者: linglu 时间: 2008-12-28 18:42

楼主是个大忽悠，没听说过还要拆电池的。二楼说的BIOS病毒不知现在有没有，BIOS版本太多了，能感染BIOS还能让机器正常运行难度太大，估计就算是有BIOS病毒也不会传播开，关键的是如果真的中了传说中的BIOS病毒，拆电池也没有用啊，bios是写在FLASH中的，拆电池只能放CMOS的电。

作者: wanjj 时间: 2008-12-28 19:26

smss.exe　　进程文件: smss or smss.exe　
　　简介：smss.exe(Session Manager Subsystem)，该进程为会话管理子系统用以初始化系统变量，MS-DOS驱动名称类似LPT1以及COM，调用Win32壳子系统和运行在Windows登陆过程。这是一个会话管理子系统，负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的，包括已经正在运行的Windows登录程序(winlogon.exe)，Win32子系统（csrss.exe）线程和设定的系统变量作出反映。在它启动这些进程后，它等待Winlogon或者Csrss结束。如果这些过程是正常的，系统就关掉了。如果发生了什么不可预料的事情，smss.exe就会让系统停止响应（就是挂机）。
　　-----------------------------------------------------
　　SMSS病毒
　　QQ尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒：
　　进程文件: smss.exe
　　进程名称: PWSteal.Wowcraft.b木马病毒
　　英文描述: N/A
　　进程分析: QQ尾巴，Trojan/PSW.MiFeng蜜蜂大盗等木马病毒。主要通过浏览恶意网页传播。该病毒修改注册表创建Run/Tok-Cirrhatus项实现自启动。新变种也通过修改注册表Winlogon项下的Userinit实现自启动，并将病毒模块regsvr.dll，cn_spi.dll注入进程运行。
　　安全等级 (0-5): 0 (N/A无危险 5最危险)
　　间谍软件: 是
　　广告软件: 是
　　病毒: 是
　　木马: 是
　　系统进程: 否
　　应用程序: 否
　　后台程序: 是
　　使用访问: 是
　　访问互联网: 否
　　清除方法：
　　1. 运行Procexp.exe和SREng.exe
　　2. 用ProceXP结束%Windows%\SMSS.EXE进程，注意路径和图标
　　3. 用SREng恢复EXE文件关联
　　1,2,3步要注意顺序，不要颠倒。
　　4. 可以删除文件和启动项了……
　　要删除的清单请见: http://www.pxue.com/Html/736.html
　　删除的启动项：
　　Code:
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"TProgram"="%Windows%\SMSS.EXE"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices]
　　"TProgram"="%Windows%\SMSS.EXE"
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
　　"Shell"="Explorer.exe 1"
　　修改为：
　　"Shell"="Explorer.exe"
　　删除的文件就是一开始说的那些，别删错就行
　　5. 最后打开注册表编辑器，恢复被修改的信息：
　　查找“explorer.com”，把找到的“explorer.com”修改为“explorer.exe”；
　　查找“finder.com”、“command.pif”、“rundll32.com”，把找到的“finder.com”、“command.pif”、“rundll32.com”修改为“rundll32.exe”；
　　查找“iexplore.com”，把找到的“iexplore.com”修改为“iexplore.exe”；
　　查找“iexplore.pif”，把找到的“iexplore.pif”，连同路径一起修改为正常的IE路径和文件名，比如“C:\Program Files\Internet Explorer\iexplore.exe”。
　　Code:
　　smss.exe是微软Windows操作系统的一部分。该进程调用对话管理子系统和负责操作你系统的对话。这个程序对你系统的正常运行是非常重要的。注意：smss.exe也可能是Win32.Ladex.a木马。该木马允许攻击者访问你的计算机，窃取密码和个人数据。该进程的安全等级是建议立即删除。
　　清除的方法请见:http://www.pxue.com/Html/729.html
　　1. 结束病毒的进程%Windows%\smss.exe（用进程管理软件可以结束，如：Process viewer）
　　2. 删除相关文件：
　　C:\MSCONFIG.SYS
　　%Windows%\1.com
　　%Windows%\ExERoute.exe
　　%Windows%\explorer.com
　　%Windows%\finder.com
　　%Windows%\smss.exe
　　%Windows%\Debug\DebugProgram.exe
　　%System%\command.pif
　　%System%\dxdiag.com
　　%System%\finder.com
　　%System%\MSCONFIG.COM
　　%System%\regedit.com
　　%System%\rundll32.com
　　%ProgramFiles%\Internet Explorer\iexplore.com
　　%ProgramFiles%\Common Files\iexplore.pif
　　3. 恢复EXE文件关联
　　删除[HKEY_CLASSES_ROOT\winfiles]项
　　4. 删除病毒启动项：
　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
　　"Torjan Program"="%Windows%\smss.exe"
　　修改[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]下
　　"shell"="Explorer.exe 1"
　　为
　　"shell"="Explorer.exe"
　　5. 恢复病毒修改的注册表信息：
　　(1)分别查找“command.pif”、“finder.com”、“rundll32.com”的信息，将“command.pif”、“finder.com”、“rundll32.com”修改为“rundll32.exe”
　　(2)查找“explorer.com”的信息，将“explorer.com”修改为“explorer.exe”
　　(3)查找“iexplore.com”的信息，将“iexplore.com”修改为“iexplore.exe”
　　(4)查找“iexplore.pif”的信息，将找到的“%ProgramFiles%\Common Files\iexplore.pif”修改为“%ProgramFiles%\Internet Explorer\iexplore.exe”
　　6 在command模式下写入assoc .exe=exefile
　　修复exe关联，这样exe文件才可以打的开
　　-------------------------------------------------------------
　　英文版本
　　进程文件: smss.exe or smss
　　进程名称: Session Manager Subsystem
　　描述:
　　smss.exe is a process which is a part of the Microsoft Windows Operating System. It is called the Session Manager Subsystem and is responsible for handling sessions on your system. This program is important for the stable and secure running of your computer and should not be terminated.
　　Note: smss.exe is a process which is registered as a trojan. This 木马 allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.
　　Determining whether smss.exe is a virus or a legitimate Windows process depends on the directory location it executes or runs from in WinTasks.
　　Recommendation for smss.exe:
　　smss.exe should not be disabled, required for essential applications to work properly.
　　Author: Microsoft Corp.
　　Part Of: Microsoft Windows Operating System
　　安全等级 (0-5): 0
　　间谍软件: No
　　病毒: No ( Remove smss.exe )
　　木马: No ( Remove smss.exe )
　　Memory Usage: N/A
　　System Process: Yes
　　Background Process: Yes
　　Uses Network: No
　　Hardware Related: No
　　Common smss.exe Errors: N/A
　　中文描述：
　　smss.exe是一个进程，这是一种部分的微软视窗操作系统。这就是所谓的会话管理子系统和负责处理会在您的系统。这项计划是重要的稳定和安全运行的计算机，而不应被终止。
　　注意： smss.exe是一个进程，这是注册为木马。这木马允许黑客访问您的计算机从遥远的地点，窃取密码，网上银行和个人数据。这是一个安全风险，应删除您的系统。
　　确定是否是一个smss.exe病毒或合法的Windows进程取决于它的位置目录执行或执行从WinTasks 。
　　建议smss.exe ：
　　smss.exe不应该被禁用，需要必要的应用能够正常工作。
　　作者：微软公司
　　部分：微软Windows操作系统
　　安全等级（ 0-5 ）： 0
　　间谍软件：否
　　病毒：否（删除smss.exe ）
　　木马：否（删除smss.exe ）
　　内存使用情况：无/阿
　　系统进程：是
　　后台进程：是
　　利用网络：无
　　硬件相关：无
　　共同smss.exe错误：无/阿

作者: zzzzz5163743 时间: 2008-12-29 02:37

任何杀毒软件都杀不掉的毒——感冒病毒。哈哈哈～开个玩笑啦。

作者: zenglirui 时间: 2008-12-29 20:02

楼主，你是修电脑的吗？你的客户真是可怜，还好你没让他们换个硬盘，换个主板什么的。其实你应该先用DDV在硬盘上喷一点，让病毒先昏过去。你觉得这样怎么样。不过杀毒软件没有多少用我是很赞成的

作者: gsdamd 时间: 2008-12-30 22:12

真的假的啊，这么厉害，没有听说过，赶快查一下。

作者: kyo217 时间: 2008-12-31 13:20

不太相信。。。有这么夸张？怎么不干脆一锤子砸上去什么问题都解决了。。。。

作者: fengshui02 时间: 2009-1-1 15:03

真是奇怪的病毒，像楼主的类的情况很少了。

作者: shendongzhao 时间: 2009-1-1 15:09

呵呵
也是今天才知道有这种病毒，以后要注意了

作者: 516113 时间: 2009-1-2 20:54

病毒很生气，后果很可怕．不管真假，谢谢提醒

作者: czz1a1 时间: 2009-1-2 20:59

多谢楼主的提醒，如果电脑不堪中了这样的病毒的话，那就真的很难办了。

作者: kinghunter 时间: 2009-1-3 00:55

楼主可以考虑使用WINDOWS清理助手