青霖Br. 發問時間: 電腦與網際網路軟體 · 1 0 年前

suchost.exe的逆襲

suchost.exe搞的我快精神衰落了 誰能提供最有效的殺毒方式?

我目前的狀況是

只要我一開機suchost.exe就會自動執行,吃記憶體5,404K

(在工作管理員可以看到,當我主動關掉它,過不久又會自動執行...)

然後若是我插入隨身碟的話

我裡面的資料通通會被隱藏

但是會跑出另一個同樣名稱但沒有隱藏的資料(副檔名變成.exe)

我的防毒軟體是卡巴6.0.3.837,特徵碼也更新到最新,但抓不到...無效

我想把電腦還原到中毒以前...但電腦跟我說前後沒有什麼不同(還原後還是這個樣子...)...無效

於是我開始到處爬文

(除了英文網站,中文繁體簡體幾乎都爬過了)

我試過執行regedit去刪除機碼...無效

也使用PowerRmv.exe費爾木馬強力清除助手2.0 清除,並抑制檔案再次生成...無效

我利用搜尋suchost.exe有發現到這個檔案,手動刪除後又會自動生成...無效

我也試著把可能的相關檔案刪除,但這些也會自動生成...無效

我也試著改裡面的內容,但又會被覆蓋回去...無效

就算刪掉後立刻建立同名資料夾suchost.exe並且改為唯讀,希望不要再被覆蓋...但還是被病毒給覆蓋回

去...無效

後來我利用procexp.exe來查看suchost.exe的位置

發現是在wscript.exe之下執行的

已更新項目:

於是我進去查看這目錄下到底藏了些什麼...(都是隱藏檔)

1.

在我的C:\WINDOWS\system\Adobe.dll中

有下列檔案:

data

OSPUM.exe

Desktop.ini

suchost.exe

________________________________________

1.1

其中data裡面又有

Desktop.ini

dir.dll

doc.dll

pdf.dll

ppt.dll

rar.dll

SUPER_T.dll

txt.dll

xls.dll

zip.dll

2 個已更新項目:

1.1.1

而該Desktop.ini用記事本開啟的敘述如下:

[.ShellClassInfo]

IconFile=%SystemRoot%\system32\SHELL32.dll

IconIndex=0

1.1.2

其它用記事本開啟的敘述都是亂碼:(取一小段貼)

$鼞蹔 昍E@ O@ Y@ ‧ %\‧ %芋E %X‧......

3 個已更新項目:

1.2

其中OSPUM.exe裡面又有

Adobe.bat

Adobe.vbs

Desktop.ini

sup.vbs

1.2.1

而該Adobe.bat用記事本開啟的敘述如下:

4 個已更新項目:

補充內容不夠,容許我放在我的網誌上繼續敘述:

http://www.wretch.cc/blog/kuoshinglin/12707416

5 個已更新項目:

Microsoft Windows 惡意軟體移除工具試過了~沒用耶...

6 個已更新項目:

我試了James的方法了,結果連

C:\Program Files\Common Files\Adobe\Updater5\Adobe_update.exe

砍了又會自動生出來...

全部一次砍完後,重開機又通通長回來...真是打不死的蟑螂XD

然後我知道svchost.exe是 NT 核心系統的非常重要的程序

但我中的是suchost.exe兩者有差呢!

7 個已更新項目:

我已經用過kavo_killerv4.15.exe了,但是無效...

8 個已更新項目:

我換卡巴斯基最新版本 2009了,但是抓不出來...@@"

9 個已更新項目:

是台灣人寫的阿...XD

謝謝〃☆軒の那天☆〃,不過方法有點複雜,因為今天要趕報告,我明天再來試試囉^^

10 個已更新項目:

解壓縮密碼是1234656

http://www.sendspace.com/file/ivuxar

4 個解答

評分
  • 匿名使用者
    6 年前

    到下面的網址看看吧

    ▶▶http://qoozoo09260.pixnet.net/blog

  • 1 0 年前

    圖片參考:http://fcu.org.tw/%7Es92a0173/no5/b01/bbm02/bb0103...

    您好:

      微軟的XP WINDOWS 系統可能發生一些問題,建議您按照如下步驟處理!

    一.WINDWOWS系統軟體不要裝太多,避免使用任何修改的軟體,

    如超級兔子,WINDOW醫生等等...盡量能在內部就能修改就修改..如用REGEDIT 控制台等等..,真的遇到問題時再下載免費軟體,但是安裝之後要馬上掃毒,問題解決完之後,再將它移除掉.

    (軟體越多,問題越多,簡單就好,甚至於一些免費軟體都含有木馬或病毒)

    二.先進入安全模式: 開機之後,按F8。

    在包含網路的安全模式下重組dll檔

    {按開始→執行,輸入cmd,按確定,然後會出現命令提示字元視窗,輸入以下指令

      for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1

    然後按Enter鍵(有些問題是動態連結檔DLL所造成)}。

    三.賽門鐵克線上掃病毒:

    建議開機的時候,按F8進入安全模式,先上網使用免費線上掃毒去清除看看,(掃描中建議先關掉原防毒軟體)

    href="http://security.symantec.com/sscv6/default.asp?lan...

    四.假如找到木馬或病毒之後,在到google的地方安裝norton security scan與Spyware Doctor解決問題

    href="http://pack.google.com/intl/zh-tw/pack_installer.h...

    五.假如以上的方法都無法解決問題,使用安裝光碟進行重灌: 請參考【系統重灌】圖解說明網址

    http://libura.myweb.hinet.net/9.htm

    重灌注意事項

    一 : FORMAT 的時候要確實的做,不要偷工減料用快速的方法,有可能問題還在,無法解決問題。

    二 : 用FAT32格式安裝WINWODS XP(WINDOWS執行速度較快), 且只假如文書用途只要XP-SP1就好,假如要上網用途要更新到SP2,千萬不要更新到SP3.

    三. A.先裝晶片組驅動程式 (假如有的話,一定要先裝,這樣電腦跑起來更快且更順, )

    B.再裝其他硬體驅動程式

    C.最後安裝其他作業文書..等軟體

    四.用PERFECTDISK 重組程式.

    五.GHOST備份系統

    希望以上的方法對您有幫助,能解決您的問題,

  • 1 0 年前

    這病毒作者撰寫方是一直拐彎抹角

    可能防止一般人一下子就看出路徑出來吧

    進入下列路徑刪除啟動檔吧

    桌面左下角 -> 執行 輸入 regedit 後按 enter

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    依照這個路徑 來尋找

    找到後 裡面會有一項 Adobe_update

    把它刪除 之後 重開機

    C:\Program Files\Common Files\Adobe\Updater5\Adobe_update.exe

    到這路徑把這檔案刪除

    這就是病毒的靈魂所在 它會再開機時自動執行

    刪除後 把妳提到的那些檔案都刪除

    之後重開機 檢測看看是否又出現

    祝你好運 ....

    2009-05-30 13:58:35 補充:

    先使用 procexp.exe 或 工作管理員 把 Adobe_update.exe 和 suchost.exe

    結束程序後把它們刪除並且其他的檔案也刪除再執行我上面提到的步驟

    2009-05-30 14:02:04 補充:

    還有我忘記提到一點 :

    你應該要安裝卡巴斯基最新版本 2009

    http://www.kaspersky.com.tw/KL-Downloads/ProductDo...

    2009-05-31 17:12:47 補充:

    bat 檔案裡面有繁體中文

    還有寫作風格猜測應該是台灣人做的

    2009-06-01 00:15:16 補充:

    可以麻煩你傳送所有檔案到免費空間或是你自己的空間(ftp)

    然後把下載網址貼出來

  • Lin
    Lv 6
    1 0 年前

    Microsoft Windows 惡意軟體移除工具 - 2009 年 5 月.

    http://support.microsoft.com/kb/890830/zh-tw

    去下載來用!

    試試看!可以移除很多喔!防毒軟體!我遇到趨勢的一樣砍不掉!

    重新開機了一百遍也一樣後來用這個!才幫客戶移除!

    試試看!

還有問題?馬上發問,尋求解答。