网站安全教程:最近局域网内部很多电脑出现windows-无软盘地对话框[库库中文网]-网络安全教程 QQGB.com

系统老是弹出Windows-没有软盘,
内容是Exception Processing Message c0000013 Parameters 764ebf9c 4 764ebf9c 764ebf9c.....
下面有三项选择:取消重试继续
无论选哪个次对话框还是重复出现哦....

禁用软驱无效,无法开启360中的arp防火墙
瑞星和清理助手杀毒无效

请问该如何解决，谢谢

这个问题第1个回答：
楼主可以先试试下载 DrWeb CureIt! 或超级巡警查杀病毒

不见效的话，用卡卡安全助手或autoruns检查并清理开机启动项

如果还不行，可以下载 HijackThis 扫描 log 贴上来看看

遭遇Trojan.DL.Multi.wfg(sss.exe、SCVHOST.EXE、autorun.inf)等
http://blog.csdn.net/Purpleendurer/archive/2006/12/22/1454383.aspx

endurer 原创

2006-12-23 第2版补充修订
2006-12-22 第1版

昨天下午，一位朋友的电脑接入U盘后弹出错误信息框，提示找不到A盘什么的，关了又调出来。让我帮忙看看。

用WinRAR打开U盘，发现文件 autorun.inf 和 sss.exe，删除后又立即生成。

到 http://endurer.ys168.com 下载 HijackThis 和 ProcView。

运行ProcView，按最后修改时间排序，发现可疑进程：
/=====
C:\Program Files\Microsoft\svhost32.exe
C:\WINDOWS\system32\scvhsot.exe
=====/
终止它们，错误信息框也消失了，再删除U盘里的autorun.inf 和 sss.exe，这下不再重生了。

用 pe_xscan 扫描log，发现如下可疑项：
/=====
pe_xscan by Purple Endurer
2006-12-21 15:30:29
Windows XP Service Pack 2(5.1.2600)
管理员用户组
[System Process]*0
C:\WINDOWS\system32\ztdll.dll*2006-12-21 8:24:38
C:\WINDOWS\system32\dllms.dll*2006-12-21 8:24:36
C:\WINDOWS\Explorer.EXE*1160*2004-8-23 16:0:0
C:\WINDOWS\system32\ztdll.dll*2006-12-21 8:24:38
C:\WINDOWS\system32\dllms.dll*2006-12-21 8:24:36
C:\Program Files\Common Files\Real\Update_OB\realsched.exe*1988*2001-1-1 0:17:54
C:\WINDOWS\system32\ztdll.dll*2006-12-21 8:24:38
C:\WINDOWS\system32\dllms.dll*2006-12-21 8:24:36
C:\WINDOWS\system32\rundll32.exe*2004*2004-8-23 16:0:0
C:\WINDOWS\system32\ztdll.dll*2006-12-21 8:24:38
C:\WINDOWS\system32\dllms.dll*2006-12-21 8:24:36
C:\WINDOWS\Intel\rundll32.exe*2028*2006-11-8 16:58:44
C:\WINDOWS\system32\ztdll.dll*2006-12-21 8:24:38
C:\WINDOWS\system32\dllms.dll*2006-12-21 8:24:36
C:\WINDOWS\system32\ctfmon.exe*2036*2004-8-23 16:0:0
C:\WINDOWS\system32\ztdll.dll*2006-12-21 8:24:38
C:\WINDOWS\system32\dllms.dll*2006-12-21 8:24:36
C:\Program Files\Internet Explorer\iexplore.exe*188*2004-8-24 0:0:0
C:\WINDOWS\system32\ztdll.dll*2006-12-21 8:24:38
C:\WINDOWS\system32\dllms.dll*2006-12-21 8:24:36
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe*1212*2006-10-30 18:10:2
C:\WINDOWS\system32\ztdll.dll*2006-12-21 8:24:38
C:\WINDOWS\system32\dllms.dll*2006-12-21 8:24:36
C:\Program Files\WinRAR\WinRAR.exe*424*2004-12-27 9:18:26
C:\WINDOWS\system32\ztdll.dll*2006-12-21 8:24:38
C:\WINDOWS\system32\dllms.dll*2006-12-21 8:24:36
F:\Tools11\HijackThis.exe*1064*2005-2-16 11:6:16
C:\WINDOWS\system32\ztdll.dll*2006-12-21 8:24:38
C:\WINDOWS\system32\dllms.dll*2006-12-21 8:24:36
C:\WINDOWS\system32\NOTEPAD.EXE*288*2004-8-23 16:0:0
C:\WINDOWS\system32\ztdll.dll*2006-12-21 8:24:38
C:\WINDOWS\system32\dllms.dll*2006-12-21 8:24:36
F:\Tools11\3.exe*2516*2006-12-21 15:29:42
C:\WINDOWS\system32\ztdll.dll*2006-12-21 8:24:38
C:\WINDOWS\system32\dllms.dll*2006-12-21 8:24:36

O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe
O4 - HKLM\..\Run: [rzt] C:\WINDOWS\Intel\rundll32.exe
O4 - HKLM\..\Run: [QQKAV] C:\WINDOWS\system32\scvhsot.exe
D:\autorun.inf
/-----
[AutoRun]
open=sss.exe
shellexecute=sss.exe
shell\Auto\command=sss.exe
-----/
E:\autorun.inf
/-----
[AutoRun]
open=sss.exe
shellexecute=sss.exe
shell\Auto\command=sss.exe
-----/
F:\autorun.inf
/-----
[AutoRun]
open=sss.exe
shellexecute=sss.exe
shell\Auto\command=sss.exe
-----/
H:\autorun.inf
/-----
[AutoRun]
open=sss.exe
shellexecute=sss.exe
shell\Auto\command=sss.exe
-----/

用WinRAR删除各盘上的 D、F、H 盘上的 sss.exe 和 autorun.inf 文件，留下E盘上的备用。

到 http://endurer.ys168.com 下载并运行瑞星杀毒助手，使用瑞星在线免费扫描，结果如下：
/-----
2006-12-21 16:51:22　瑞星杀毒助手
Windows XP Service Pack 2(5.1.2600)
文件名病毒名
C:\WINDOWS\system32\winscok.dll Trojan.PSW.QQPass.poz
C:\WINDOWS\system32\SVOHOST.exe Trojan.PSW.QQPass.poz
C:\WINDOWS\system32\wincfgs.exe Worm.UsbSpy.a
C:\WINDOWS\system32\dllms.dll Trojan.PSW.WoWar.qq
C:\WINDOWS\system32\ztdll.dll Trojan.PSW.ZhengTu.sm
C:\WINDOWS\system32\scvhsot.exe Trojan.DL.Multi.wfg
C:\WINDOWS\Intel\rundll32.exe Trojan.PSW.ZhengTu.th
E:\sxs.exe>>FSG2.0 Trojan.PSW.QQPass.pqb
E:\sss.exe Trojan.DL.Multi.wfg
-----/

很多以前都见过……

到 http://purpleendurer.ys168.com 下载了 FileInfo 和 bat_do。

用 bat_do 把病毒文件打包，用 FileInfo 提取病毒文件信息，再用瑞星杀毒助手删除了。

用HijackThis修复上面的 O4 项，用WinRAR删除 E 盘上的 autorun.inf 文件。

文件说明符 : C:\WINDOWS\system32\dllms.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-11-8 16:57:57
修改时间 : 2006-12-21 8:24:36
访问时间 : 2006-12-21 0:0:0
大小 : 51200 字节 50.0 KB
MD5 : a6cc05b8ccc4a52a8558fedc7f52cc27

文件说明符 : C:\WINDOWS\system32\ztdll.dll
属性 : A---
获取文件版本信息大小失败!
创建时间 : 2006-11-8 16:58:43
修改时间 : 2006-12-21 8:24:38
访问时间 : 2006-12-21 0:0:0
大小 : 41984 字节 41.0 KB
MD5 : 8d7a011ff9497d111e0892c93fdb4063

文件说明符 : C:\WINDOWS\system32\SVOHOST.exe
属性 : -SH-
获取文件版本信息大小失败!
创建时间 : 2006-9-15 17:3:16
修改时间 : 2006-7-31 8:21:2
访问时间 : 2006-12-21 0:0:0
大小 : 47235 字节 46.131 KB
MD5 : 6fa72cbba8f23eae2797557c704095e5

文件说明符 : C:\WINDOWS\system32\winsock.dll
属性 : A---
语言 : 英语(美国)
文件版本 : 3.10
说明 : Windows Socket 16-Bit DLL
版权 : Copyright ?Microsoft Corp. 1981-1996
备注 :
产品版本 : 3.10
产品名称 : Microsoft?Windows(TM) Operating System
公司名称 : Microsoft Corporation
合法商标 :
内部名称 : WINSOCK
源文件名 : WINSOCK.DLL
创建时间 : 2004-8-23 16:0:0
修改时间 : 2004-8-23 16:0:0
访问时间 : 2006-12-21 0:0:0
大小 : 2864 字节 2.816 KB
MD5 : 68485c5ef0e2efcebf21bbb1042b823b

[1] [2] 下一页