查看完整版本: 这个木马是什么？总杀不掉

这个木马是什么？总杀不掉

我安装的是eset杀毒软件，最近总跳出木马C:\WINDOWS\help\bai.BAT  无法彻底清楚，求高手帮忙。。。

批处理文件，先看看内容是什么？然后用冰刃杀掉吧，一般的防病毒软件都能隔离的！不要双击运行啊

应该是木马程序，刚才百度了一下，提供个参考的吧，LZ自己把握。
好像此病毒原程序是 soundman.exe （好像特点是任务管理器被禁用,显示隐藏文件夹属性失效，任务栏提示信息字体改变）
解决办法：
解决方法：

一、清除病毒文件和其创建的注册表项目
1.打开sreng
启动项目 注册表 删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<SoundMan><SoundMan.exe> [1]

2.打开Icesword
点击左下角的文件按钮
删除如下文件
%SystemRoot%\system32\ineters.exe
%SystemRoot%\system32\SoundMan.exe
%SystemRoot%\system32\tthh3.ini
%SystemRoot%\system32\Alcmtr.exe
%SystemRoot%\system32\alcwzrd.exe
%SystemRoot%\system32\qoq.exe

二、修复系统
1.请把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\

Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Adva

nced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

2.开始－运行 输入regedit
展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\helpsvc
双击Image path 编辑数值数据为
%systemroot%\system32\svchost.exe -k netsvcs确定
回答人的补充   2009-12-05 10:06 文件感染病毒 仔细一看 就是3个文件 c:\windows\help\bai.vbs c:\windows\help\help.dll 以及c:\windows\system32\cc*.exe 这里的*代表 cc1 ccc1 什么的
仔细琢磨了下 打开 help.dll 看看里面有一段代码 open 一个ip地址 很明显 从这里下载的bai.vbs 以及bai.bat 2个文件 一个是批处理文件 一个是数据库文件 来支持批处理文件 这时候 在打开bai.bat 发现里面代码真不少 首先就是察看电脑里面是否有cc.exe 如果有 就不执行 如果没有 就在c:\windows\里面放入 bai.vbs以及 help.dll 然后 在检查时候有 bai.vbs 以及help.dll 如果有就在 c:\windows\system32 下面放 cc.exe 以及 ccc1.exe cc1.exe 等等 反正就是 cc*.exe 然后再加载其放入的exe文件到进程 如果有杀毒软件的话就会提示了 这就是为什么老提示这个病毒的原因 。 现在来看 目前就是help.dll 来引导的后面的一切病毒 怎么办呢 help.dll是什么来的呢 找不到 那不要紧 那就改下里面的内容把 以为不知道是否判断help.dll 是否覆盖问题 所以我们 打开bai.bat 然后把里面代码全删除 这样写 自己写的不知道对不对。

del cc.exe
if not exist cc.exe sfd -
exit
if not exist cc.exe sft -
exit
if not exist cc.exe
exit
:end
exit
del c:\windows\help\bai.vbs /q/s
del c:\windows\help\help.dll /q/s
if not exist bai.vbs sfd - sft -
del c:\windows\system32\cc*.exe
if not exist cc*.exe sfd -
exit
if not exist bai.vbs sfd - sft -
del c:\windows\system32\cc*.exe
if not exist cc*.exe sfd -
exit
:end
exit

切忌写完 修改属性为只度 存档 就好了。在删除 bai.vbs 以及 help.dll 重起电脑

1、在开始－运行输入msconfig在启动选项下只剩下ctfmon（输入法）和杀毒程序
2、病毒库升级到最新开机按F8到安全模式下杀毒。再用360安全卫士扫描一下。
3、如果不行用手动删除，DOS、注册表、停止服务。
4、如果还是不行建议把数据备份一下，把所有的盘都分区格式化，这样一定最彻底（呵呵，实在没办法，出此绝招了~~^_^)

晕啊，楼主是懒的一塌糊涂了，百度一下就好了啊。实在不行最好重装系统。

进安全模式，用DOS 删除，如果还出现的，那还有其它木马程序，试下《Windows木马清道夫》。
本人机器就是用ESET+360+Windows木马清道夫+ZONEALARM    4套软件   3年多都未中过毒及木马（24小时开机，公网）。:teeth

用兵刃杀一下就可以了。
不行的话。
就重新做一下系统

批处理文件不一定是木马或病毒，你可以在文件上点击右键再点一下编辑，看看里面到底是什么，然后再根据情况处理

病毒

我也遇见过这个病毒
但后来用诺顿杀掉了

回复 2楼 的帖子

我以前也遇到过同样的问题。粉碎机都没有办法。你这处办法就是行。但是我的U盘里老是有一个隐形文件夹，用你这种方法都删不了。看不家什么朋友没有。这个文件夹还会给已有文件夹复制一个相同的1.36M的文件夹。搞不懂了。可以帮忙解决一下吗？

重新启动微机，或者用启动盘进入安全模式，然后启动杀毒软件，这样一般的病毒都可以杀除。

进入安全模式用杀毒软件查杀 或者下载个360专杀工具工具

不行的话，gHOST安装一次就可以的了，以后小心就好

这个不像是病毒文件，不过你既然说是病毒，杀不了，把C盘的东西COPY走，重装系统把

一般情况下用360和ARSWP一起用的，普通木马都能杀掉，遇到比较顽固的木马的话，360还有顽固木马专杀，如果用遍了各种杀马软件都没用的话，建议用冰刃，直接强行删除

多谢各位帮忙，杀毒软件只会隔离，而且在我的电脑里根本找不到这个文件。。。不知道该怎么办，就是不想重装才想让各位帮忙的。。。

惨…你中了循环木马了……哈哈你玩咯，建议重装电脑

进入安全模式，然后搜索bai.BAT ,把搜索到的全部删除就可以了.

我这机子也有，好像没有什么威胁，直接可以删掉

你可以用360安全卫士——高级工具——文件粉碎，粉碎文件就可以了