迅维网
标题:
【经验贴】当新手遇到:新鬼影病毒@@@
[打印本页]
作者:
梅勒.
时间:
2010-11-18 13:18
标题:
【经验贴】当新手遇到:新鬼影病毒@@@
本帖最后由 梅勒. 于 2010-11-18 17:11 编辑
本文绝对原创,
如转载,请标明出处及作者,谢谢!
终于体会到了鬼影病毒的厉害,但是再厉害也有解决的方法。
今天客户拿来一台机器,说机器不好用了,好像有病毒,客户自己重做系统也不好使,
拿来检查,发现桌面有一个名为“淘宝网”的快捷方式,而且桌面还多了一个IE图标,开机自动弹出网页。
将两个图标删除,出现了错误,检查发现有一个名字为“nat.exe”的进程,
将此进程结束,图标顺利删除,重新启动,发现桌面再次出现了这两个图标,
再次删除,再次重启,还是继续出现。
**想了想思路,检查一下启动项,
发现有一个,名为“nat.exe”的可以启动项,将其禁止启动,保存---重启
发现桌面仍然继续出现两个图标,再检查启动项,发现又出现一个"nat.exe"的启动项,
然而在它的下面有一个刚刚被禁止启动的“nat.exe”,但是,它并没有打勾
由此可知,病毒在每次开机的时候自动生成启动项和图标,
到此,建议客户重新安装系统,客户同意。
**进入PE,将C盘格式化,重新GHO系统,
系统安装一切顺利,安装完毕---重启
开机发现桌面竟然出现了之前的两个图标,一个“淘宝网”,一个IE图标
而且,开机之后,自己会弹出来一个网页,
检查发现进程里面和启动项又一次出现”nat.exe“的身影。
这可是第一次遇见这样的问题,这病毒可真强,
**这怎么办呢,网上查一下,找到点思路,
用360安全卫士修复一下,立刻蓝屏。
用另一种方法,替换windows目录下的"nat.exe"文件,
建立一个空文件,保存名称为“nat.exe”并设置为“只读”
结束nat.exe进程,并替换windows目录下的 nat.exe文件,
然后将桌面图标删除,禁用启动项---重启
发现进入系统不再弹出网页,而且桌面也不在生成图标。
**至此,应该是解决了,但是这种病毒是写在分区表里面的,
无论如何格式化,删除分区,都没有用处,
只有重新建立MBR,或者修复分区表。
**最后帮客户把硬盘分区全部删除,重新建立MBR,安装系统
没有出现以上问题。
**希望各位基地的朋友,遇到此类问题不要慌,静下心捋顺一下思路。适当的话到网上查查相关资料,希望这个经验能与大家分享,
望转载的朋友留下署名谢谢!
最后希望各位朋友,如果觉得有用,请收藏,支持一下@@!
作者:
hfcm2008
时间:
2010-11-18 14:01
真的有那麽牛吗???用其他的杀毒软件试了没有,我不相信还有杀不了的病毒》》》》
作者:
梅勒.
时间:
2010-11-18 14:02
回复
hfcm2008
的帖子
杀过了,没用,因为他是写在主引导里面的。听说金山好像有专杀,不过没有尝试。
作者:
hfcm2008
时间:
2010-11-18 14:06
不过还是O(∩_∩)O谢谢你的思路,
作者:
qiaohel1
时间:
2010-11-18 15:06
恩恩·我也遇到过·我比你还点·直接重新安装,在使用360修复就可以了··
作者:
冠捷售后
时间:
2010-11-18 15:14
用分区软件直接重写MBR就OK了,进系统再查杀病毒!其实360急救箱就可以解决这个问题!
作者:
夹江江诚电脑
时间:
2010-11-18 15:27
金山卫士可以杀掉的!
作者:
d1164540993
时间:
2010-11-18 15:33
在中鬼影毒不是很严重的时候可以用金山来杀。。。
作者:
scq330
时间:
2010-11-18 15:34
本帖最后由 scq330 于 2010-11-18 15:35 编辑
进pe后重写mbr,清每个盘下的auto病毒,紧接着就在pe下ghost系统,ghost完系统并安装后第一时间随便装个杀毒扫描整个硬盘。搞定收工收钱。
作者:
ywwxja
时间:
2010-11-18 15:34
最多GHOST完的时候重建MBR就是了。根本用不做全格盘。
作者:
yangh1029
时间:
2010-11-18 15:44
我用360解决了啊
作者:
维修佬
时间:
2010-11-18 16:21
以前听客户说过有这么回事,但没遇到过,以为他忽悠我,看来是真的哦!谢谢楼主分享宝贵经验
作者:
蕜傷致死
时间:
2010-11-18 17:11
真正的鬼影病毒好像比这个厉害!!!
作者:
hukuns
时间:
2010-11-19 14:54
如果有种病毒就算你全格式化再分区都还存在的话,那就牛了
作者:
hushaoh
时间:
2010-11-19 15:43
用金山急救箱可以解决
作者:
疯子蚁
时间:
2010-11-19 15:58
数据不重要么 ?
作者:
kandy0417
时间:
2010-11-19 16:19
這個真的是一個好用的常識.感謝樓主您無私的分享!
作者:
崴泥
时间:
2010-11-19 16:24
没有那么复杂吧,用360里的系统急救箱应该就可以
作者:
梅勒.
时间:
2010-11-19 17:01
回复
疯子蚁
的帖子
数据的问题,已经和客户协商好了!
作者:
蒙山一修
时间:
2010-11-19 17:39
楼主,你这已经是很省心的了,我遇到过啊,重装系统不行,重新分区不行,最后低格了才行的。从下午4点一直装到晚上8点,每次重装都出淘宝网和一个IE。到现在不明白什么原因啊
作者:
花开终败
时间:
2010-11-19 21:37
这么牛的病毒,重装系统也不行,太绝了,谢谢你的提醒了,
作者:
侯良伟
时间:
2010-11-19 21:50
进PQ 右击C盘 设定为作用 这样可以修复
作者:
侯良伟
时间:
2010-11-19 21:51
然后在装系统
作者:
中恺
时间:
2010-11-19 23:03
好经验,你可以完全格式化啊,
作者:
cc小小秘书
时间:
2010-11-19 23:28
养成一个良好的使用电脑的习惯是很少会中毒的。
1,网上下载的文件或者程序先杀毒,再打开。
2,尽量少用别人的U盘和移动硬盘,即使要用也要先杀毒。
3,不打开来路不明的网页和不进色情网站。
4,杀毒软件及时更新。
5,自己的电脑自己用。
作者:
梅勒.
时间:
2010-11-20 09:02
回复
一帆科技
的帖子
现在貌似有永久免费的版本了。
作者:
为了明天而奋斗
时间:
2010-11-20 09:11
呵呵,重新建一个相同文件夹替换原文件夹,这个方法不错
作者:
柏拉图的永恒
时间:
2010-11-20 09:17
恩恩·我也遇到过;希望各位可以想出保存客户资料的前提下将病毒一次性强杀!
作者:
精品白沙
时间:
2010-11-20 10:40
怀疑引导型病毒就做下mbr怀疑分区表不会去看一下表,这种病毒很多是在网页的临时文件里,现在很多系统为了文件安全把文档临时文件灰弄到了D盘,有的是在浏览器快捷方式后面加东西,弄多了就没那么神秘了。不要老想格式化。。想着怎么干掉它
作者:
李杰明
时间:
2010-11-20 12:51
这方法好,谢楼主分享
作者:
【天马星空】
时间:
2010-11-20 14:10
试用360急救箱
作者:
小狼
时间:
2010-11-20 14:23
今天上午8点50开始这整这个病毒,整到11点50才搞好, 以前碰到过二次,都是把C格一下安装系统就好了,今天上午的就不行了,后来在网址看到别人说。用360,金山可以,我试了一下,还是不行,最后还是和楼主一样,把硬盘分区全部删除,重新建立MBR,安装系统&ok
作者:
lgq0717
时间:
2010-11-20 14:32
我也碰到过,不管是重新分区加重做都不行,重写MBR也不行,我是用DM对硬盘进行清零的,不是全部清零,只清一开头的一点就行了,只几秒的时间,再重新分区做系统绝对没有病毒,现在的专杀工具有时也不好用的,但用DM之前要先备份数据哦!!
作者:
李锐峰
时间:
2010-11-20 15:34
呵呵,还没遇到过,学习了
作者:
流星使者
时间:
2010-11-20 19:59
小问题 啊
作者:
servepc
时间:
2010-11-20 20:55
汗,有必要分区吗?把每个分区下的AUTO文件干掉就好了。
作者:
yang494472409
时间:
2010-11-20 22:53
提示:
作者被禁止或删除 内容自动屏蔽
作者:
尹平
时间:
2010-11-21 15:57
看来你那现在还有人中呀,我第一次遇到是在两三个月前,我也用了两个多小时才搞好(也是在网上找的资料)其时现在我的思路:
1、重建MBR(不重建的话,如果还中了其它木马,有可能杀不出新鬼影)
2、360急救箱和金山网盾(360急救箱杀其它木马,因为新鬼影还会下载其它木马.金山网盾杀新鬼影,个人觉得它杀这个毒效果最好)
3、重装系统(如果还要做的好点的话,装杀毒软件全盘东毒)
作者:
test001525
时间:
2010-11-21 17:02
什么病毒啊
这么厉害 还没碰上过
作者:
watld
时间:
2010-11-23 01:59
为何不试试用DISKGEN重建MBR。
作者:
li2892684
时间:
2010-11-23 11:18
我用360解决了啊
作者:
小米`虫
时间:
2010-11-23 11:31
用金山急救箱,扩展扫描打勾后立即扫描。扫玩后重启搞定,不像你说的那么麻烦。这问题我搞了好都这样解决。
作者:
jsyzwfff
时间:
2010-11-23 11:46
鬼影病毒是寄生在MBR里的,所以硬盘从分区都没有用,要重写MBR
作者:
jsyzwfff
时间:
2010-11-23 11:47
不会搞的朋友可以杀个鬼影专杀就搞定了
作者:
daemonlive
时间:
2010-11-23 22:33
..其实...fdisk /mbr就可以清除主引导了..
作者:
HaiDong
时间:
2010-11-24 00:19
我遇到过2次,不过我都是全盘用DM格掉再装的.......
作者:
lujun2318
时间:
2010-11-24 09:06
重建MBR不影响系统,也不用动后边分区,
作者:
xiaofa
时间:
2010-11-24 11:42
我也见到过啊!还是用原版系统装 搞定的啊!
作者:
longlys
时间:
2010-11-24 13:49
我之前也遇到过,我直接进PE。。。拿diskgen重建MBR。。在删除那些文件。就正常了30
作者:
longlys
时间:
2010-11-24 13:53
我之前也遇到过,我直接进PE。。。拿diskgen重建MBR。。在删除那些文件。就正常了30
作者:
chinazhangzhi
时间:
2010-11-24 14:51
怎么重写MBR?
作者:
kknt
时间:
2010-11-25 15:11
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"DisallowRun"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun]
"1"="natl.exe"
作者:
sady
时间:
2010-11-25 15:39
金山 可牛 好像能行
作者:
亮亮1988
时间:
2010-11-25 15:54
用ERASE擦一下,然后分区应该就可以。
作者:
yg593969204
时间:
2010-11-25 16:10
楼主好幸运啊!我朋友碰到这个问题,全盘低格都不管用!
作者:
xiaoxia119
时间:
2010-11-26 11:15
这种病毒我见到了不是一次两次了,必须得用MHDD扫一下...然后进行erase擦除一下,然后全盘格式化,重新分区,重写mbr,可以彻底解决。
作者:
mamade123456
时间:
2010-11-26 11:27
路过 看看
作者:
zhuxiaogang
时间:
2010-11-26 13:37
基本上重新分区就可以了啊·····我遇到的病毒都这样做啊····
作者:
545852756
时间:
2010-11-26 17:37
听不懂 啊太多了
作者:
氏祖
时间:
2010-11-26 18:12
根本不用重分区,直接用可牛专杀nat.exe就可以了。
作者:
aleiwgl
时间:
2010-11-26 21:33
提示:
作者被禁止或删除 内容自动屏蔽
作者:
男人KTV
时间:
2010-11-26 21:55
遇到过。可以不用那么麻烦吧。重装系统后,金山急救箱伺候。解决
作者:
莱格拉斯
时间:
2010-11-26 22:11
一般用360解决的多
作者:
wolfzjs
时间:
2010-12-3 19:52
用DOS启动盘启动,用FDISK /mbr重写引导记录就可以了。用不着找别的软件或者进PE系统的。
作者:
那、太遥远
时间:
2010-12-6 13:41
我碰到这问题直接写mbr GHOST
作者:
中山永邦电脑
时间:
2010-12-6 14:44
和楼主碰到过同样的问题,重建主引导记录,格式化C盘就可以了,不必重新分区。
作者:
lv69101963.4
时间:
2010-12-6 14:59
lihuiyy10 你没见过啊,还真有,有客户说自己装了系统不行,我就全格了,分区,刚装好,还是有,最后只有换了一个硬盘解决问题 发表于 2010-11-20 14:24
可能不,至少我没见过
作者:
15914488510
时间:
2010-12-6 15:07
y一般我就直接重建MBR···搞定
作者:
15914488510
时间:
2010-12-6 15:09
y一般我就直接重建MBR···搞定
作者:
15914488510
时间:
2010-12-6 15:15
y一般我就直接重建MBR···搞定
作者:
恒丽科技
时间:
2010-12-6 15:44
拿来看看了 谢谢大侠
作者:
semilee666
时间:
2010-12-6 16:09
确实厉害,我重新分区也不行,最后好像用金山杀的
作者:
15808147849
时间:
2010-12-6 16:15
用360系统急救箱可以
作者:
liusiwen
时间:
2010-12-6 17:40
谢谢楼主分享,看了大家的帖子,积累经验了
作者:
孤星奇缘
时间:
2010-12-6 18:48
360不行,装个金山就可以杀掉了,
作者:
ttkttl
时间:
2010-12-6 18:53
刚刚碰上这样的一台电脑,还没处理呢
作者:
郑鹏(大鹏)
时间:
2010-12-7 08:28
360系统急救箱就可以修复喽
作者:
星星满天飞
时间:
2010-12-7 09:59
不是这么复杂吧,我用360系统急救箱就搞定了
作者:
blueparrot
时间:
2010-12-7 10:22
重建MBR,然后格式化系统盘.可以搞定了
作者:
伟子A
时间:
2010-12-7 10:31
各位大虾。学习了
作者:
greatllb
时间:
2010-12-7 11:52
鬼影、貌似很强大!!!
作者:
文安时代电脑
时间:
2010-12-9 10:38
真牛的鬼[code][/code]影。楼主的思路好清楚
作者:
wchen055
时间:
2011-6-23 23:11
我遇到了!用的是360
作者:
周川
时间:
2011-6-24 10:38
其实用360 的安全急救箱,可以查杀鬼影病毒的,很久以前就遇到了
作者:
278654542
时间:
2011-6-24 11:05
重装系统后别打开IE 然后在用可牛急救箱就OK乐··
作者:
278654542
时间:
2011-6-24 11:11
回复
梅勒.
的帖子
LZ,鬼影有2种的··以前的旧鬼影在任务栏里见到nat这个进程,,新的鬼影是看不到的··
作者:
bfc418025830
时间:
2011-6-24 11:12
现在的杀毒软件 汗颜啊
作者:
江湖告急
时间:
2011-6-25 10:13
不是说 有专门杀鬼影病毒的软件的吗 为什么不用
作者:
丰硕电脑
时间:
2011-6-25 10:53
我也遇到过,不过我一看不行直接全盘格式化重装系统搞定的
作者:
yangzkun2015
时间:
2011-6-25 11:45
鬼影对我来说 小KS
作者:
zouguo2008
时间:
2011-6-25 14:30
真是很难缠的病毒啊.......... 杀毒软件都不给力了么 ?什么卡巴 诺顿 小红伞 小A 的都不行了么?
作者:
sxlsyry
时间:
2011-6-26 00:57
可牛和金山可以杀出来
作者:
675293370
时间:
2011-6-26 09:04
这病毒 我遇到过 最开始是还原系统 但没用 后来重做也没用 用360杀毒 还是不行 用金山 一下就搞定了
作者:
tkuax3344
时间:
2011-6-26 11:56
。。。。太变态了吧这 我一般裸奔
作者:
梅勒.
时间:
2012-7-10 13:23
{:4_113:}{:4_113:}{:4_113:}
作者:
yeekum
时间:
2012-7-10 13:53
真的有那麽牛,还没有遇到过杀不死的病毒,什么病毒都依赖运行环境,没有见过既可以在WINDOWS下运行又可以在LINUX下运行的文件
作者:
Rogue
时间:
2012-7-10 16:03
这病毒 碉堡了
作者:
Rogue
时间:
2012-7-10 16:03
{:soso__7370449527138658886_1:} 好梦啊
作者:
恬淡者寡欲也
时间:
2012-7-10 18:29
以前读书时,学校那些机子经常出现这个问题,可是都是重装系统解决了!!!!!看来那时中毒不深啊!
作者:
灰太狼也玩网游
时间:
2012-7-11 09:55
硬盘里没什么重要数据的话,就直接重新分区,神马病毒都是浮云。
欢迎光临 迅维网 (https://www.chinafix.com/)
Powered by Discuz! X3.4
这么牛的病毒,重装系统也不行,太绝了,谢谢你的提醒了,
金山 可牛 好像能行
{:4_113:}{:4_113:}{:4_113:}