中了清茶的毒

Jeff.家里一口田 · 发表于 2007-12-21 15:55:06

清茶,早上在MSN上不知道发了一个什么文件给我(可能是他的系统自动发送的),我接收后,电脑就开始发颠了,电脑变得象牛车一样慢,鼠标僵硬不听使唤,好象还会自动向我MSN上的其他联系人发信息.

吓得我赶紧强制关机,安全状态下瑞星杀毒,删除MSN重新下载,金山清理专家扫了一遍.

重新开机,以为万事大吉,但只改善了一点点,速度还是很慢,系统还经常提示虚拟内存不够,也不知道是不是中了什么厉害的木马

如果有清茶或我发文件给MSN上的用户,大家千万不要接收

apple3800 · 发表于 2007-12-21 15:58:03

是不是一个类似 img5-2007.zip 的压缩文件，里面有个类似 www.photo5-2007-12.JPEG.com 的东东？这个东西我已经上传到 http://www.virustotal.com/ 测试了，结果现有的 32 个知名防病毒软件测试完之后都不知道是什么东东。要是这个东西我教你怎么清除。

Jeff.家里一口田 · 发表于 2007-12-21 16:08:06

对啊,好象就是这个文件名,我已经把文件删除了

Jeff.家里一口田 · 发表于 2007-12-21 16:09:23

终于找到克星了,大苹果快来救驾

apple3800 · 发表于 2007-12-21 16:09:50

首先打开任务管理器，看看进程列表里是不是有个叫 devic.exe 的进程。有就恭喜你中毒了！干掉它！

Jeff.家里一口田 · 发表于 2007-12-21 16:12:40

任务管理器是不是在控制面板里?没找到啊

土制坦克 · 发表于 2007-12-21 16:14:32

好你个清茶！

apple3800 · 发表于 2007-12-21 16:16:51

第二步，删除这个东西。
打开附件里的 Command Prompt （一个黑乎乎的 dos 窗口），运行以下两条命令：

attrib -s -r -h c:\windows\devic.exe
del c:\windows\devic.exe

apple3800 · 发表于 2007-12-21 16:17:34

Post by Jeff.家里一口田;809874
任务管理器是不是在控制面板里?没找到啊

按 ctl-alt-del，在第二列中间那个按钮。

Jeff.家里一口田 · 发表于 2007-12-21 16:21:29

Post by apple3800;809872
首先打开任务管理器，看看进程列表里是不是有个叫 devic.exe 的进程。有就恭喜你中毒了！干掉它！

Post by apple3800;809880
按 ctl-alt-del，在第二列中间那个按钮。

TNND,终于干掉可恶的devic.exe,遇到苹果算你倒霉

一杯清茶 · 发表于 2007-12-21 16:28:23

我冤枉啊，我也是受害者。

呵呵。。。。对不住了，中毒的各位。

苹果，我找不到你说的devic.exe

一杯清茶 · 发表于 2007-12-21 16:32:08

进程里也没有devic，是不是因为我强制关掉了msn?

要不要打开msn激活这个坏家伙？

apple3800 · 发表于 2007-12-21 16:32:25

Post by 一杯清茶;809887
我冤枉啊，我也是受害者。

呵呵。。。。对不住了，中毒的各位。

苹果，我找不到你说的devic.exe

那你看看 windows 目录下面有没有那个 devic.exe 的隐含可执行文件？

Jeff.家里一口田 · 发表于 2007-12-21 16:33:11

Post by apple3800;809879
第二步，删除这个东西。
打开附件里的 Command Prompt （一个黑乎乎的 dos 窗口），运行以下两条命令：

我输入命令行,总是提示"参数格式不正确",两条命令要回车分行吗?

apple3800 · 发表于 2007-12-21 16:34:15

Post by 一杯清茶;809890
进程里也没有devic，是不是因为我强制关掉了msn?

要不要打开msn激活这个坏家伙？

应该不会吧，那个东西是常驻内存的，不会没有 msn 就自动退出那么乖吧。

apple3800 · 发表于 2007-12-21 16:34:54

Post by Jeff.家里一口田;809892
我输入命令行,总是提示"参数格式不正确",两条命令要回车分行吗?

当然啦，每行是一个命令用回车结束。

apple3800 · 发表于 2007-12-21 16:35:20

如果运行正确的话不会有显示。

lesonli77 · 发表于 2007-12-21 16:36:23

我今天收到好几个类似的MSN信息，还有附件，但我没有打开。这个病毒在网上已经传播好久了。好险呀。公司的防火墙根本挡不住它。

apple3800 · 发表于 2007-12-21 16:39:12

第三步，清楚注册表里的自动启动：
运行注册表编辑器 regedit.exe
找到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
右边可以看到一个字符串类型的值，名称是 SystemDevic，内容是 devic.exe。就是这个东西让病毒开机自动启动。把这一行删掉就搞定了。

一杯清茶 · 发表于 2007-12-21 16:40:19

Post by apple3800;809894
应该不会吧，那个东西是常驻内存的，不会没有 msn 就自动退出那么乖吧。

确实没有，当时我发现msn运行不正常，就关掉了，后来又打开一次，还是不正常，就一直关掉没有用。

现在没有发现进程中有这个家伙，attrib -s -h -s c:\windows\devic.exe 提示没有找到这个文件file not found。

怎么办？

		自动登录	找回密码
密码			注册

中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒

回复: 中了清茶的毒