刚安装的卡巴试用版,杀毒重起后桌面打不开什么了问题?急求高手解答!!
- 提问者网友:唤魂
- 2021-04-27 03:33
- 二级知识专家网友:绝望伪装
- 2021-04-27 05:10
- 1楼网友:走,耍流氓去
- 2021-04-27 07:11
解决的方法有2个。
如果能进入安全模式,就是开机按f8 在安全模式下 卸载掉卡巴。然后在重新启动机器,就可以恢复。
如果进入安全模式不成功。就把这个盘挂到其他机器上,做从盘。在那个机器里卸载掉卡巴。然后在作为主盘在你的机器上重新启动。
如果还是不行的话,只有重新做系统了。
- 2楼网友:社会水太深
- 2021-04-27 06:28
最佳有个盗号病毒很猖狂,看看是不是他作怪,,中这个病毒最大的特点就是开机进入系统很慢很慢,如果是的话建议你吧你硬盘上的所有以.EXE结尾的未见全部删除,还有那些安装文件包==,一运行就马上会中毒,搞完后重装系统,这是相关资料: Trojan/Win32.Vilsel.xbd[Downloader]分析 出处:安天实验室 时间:2010年3月31日 病毒标签
病毒名称: Trojan/Win32.Vilsel.xbd[Downloader] 病毒类型: 木马 文件 MD5: A744D5A2A8F3C5416745CA3751C502D2 公开范围: 完全公开 危害等级: 4 文件长度: 85,504 字节 感染系统: Windows98以上版本 开发工具: Microsoft Visual C++ 6.0
病毒描述
病毒运行之后动态获取多个API函数,在临时目录下释放一个*.tmp临时文件,调用regsvr32.exe系统文件将病毒释放在临时目录下的文件注册为Windows链接库和ActiveX控件并加载已释放的病毒文件,病毒运行完毕之后删除自身文件,被加载的病毒文件执行命令后拷贝%System32%目录下的msvcp50.dll为msvcp60.dll文件,并对该进程进行提权操作,判断自身进程是否是regsvr32与svchost.exe进程,拷贝自身到%System32%目录下的并命名为:rpcss.dll~951531,添加注册表启动项,将%System32%目录下的rpcss.dll命名为rpcss.dll1248234,再将病毒DLL文件命名成rpcss.dll以达到伪装成系统文件的目的,开启一个SVCHOST.EXE进程将病毒DLL注入到该进程中,被感染的用户会被执行下载恶意病毒文件、控制计算机截取敏感账号密码等操作。
行为分析-本地行为
1、衍生文件到以下目录内: %System32%\arpcss.dll (系统文件rpcss.dll) %System32%\apa.dll (病毒的配置文件) %System32%\rpcss.dll356812 (病毒文件,后几位为随机数字) %System32%\0005c5a9.~tp (病毒文件,为随机病毒名) %System32%\rpcss.dll (病毒文件,为随机病毒名) %System32%\rpcss.dll~378640 (系统文件rpcss.dll) %Windir%\temp\56b83~.tmp (病毒文件,为随机病毒名) %Documents and Settings%\a\Local Settings\Temp\5339a~.tmp (病毒文件,为随机病毒名) 2、调用regsvr32.exe系统文件将病毒释放在临时目录下的文件注册为"cmd /c %System32%\regsvr32.exe /s C:\DOCUME~1\a\LOCALS~1\Temp\1f1a38~.tmp ,C:\Documents and Settings\a\桌面\jax[1].exe"Windows链接库和ActiveX控件并加载该释放的病毒文件,对进程进行提权操作,判断自身进程是否是regsvr32与svchost.exe进程,再将病毒DLL文件命名成rpcss.dll达到伪装系统文件的目的,开启一个SVCHOST.EXE进程将病毒DLL注入到该进程中
3、添加注册表启动项: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\PendingFileRenameOperations 值: 字符串:"\??\C:\DOCUME~1\当前所在用户\LOCALS~1\Temp\4f72d~.tmp..." HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\PendingFileRenameOperations 值: 字符串:"\??\C:\DOCUME~1\a\LOCALS~1\Temp\4f72d~.tmp..." 行为分析-网络行为
http://202.103.67.***/mg48.exe 描述:开启80端口连接以上地址下载病毒文件 74.126.179.***:8080 描述:连接以上IP地址请求数据 注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 %Windir% WINDODWS所在目录 %DriveLetter% 逻辑驱动器根目录 %ProgramFiles% 系统程序默认安装目录 %HomeDrive% 当前启动的系统的所在分区 %Documents and Settings% 当前用户文档根目录 %Temp% \Documents and Settings \当前用户\Local Settings\Temp %System32% 系统的 System32文件夹 Windows2000/NT中默认的安装路径是C:\Winnt\System32 windows95/98/me中默认的安装路径是C:\Windows\System windowsXP中默认的安装路径是C:\Windows\System32
清除方案
1、使用安天防线可彻底清除此病毒(推荐),请点击下载( http://www.antiyfx.com)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 推荐使用ATool管理工具,请点击下载( http://www.antiy.com/cn/download/index.htm)。 (1)使用ATOOL进程管理结束病毒开启的SVCHOST.EXE进程。 (2)强行删除病毒下载的大量病毒文件 %System32%\arpcss.dll %System32%\apa.dll %System32%\rpcss.dll356812 %System32%\0005c5a9.~tp %System32%\rpcss.dll %System32%\rpcss.dll~378640 %Windir%\temp\56b83~.tmp %Documents and Settings%\a\Local Settings\Temp\5339a~.tmp
- 3楼网友:寂寞的炫耀
- 2021-04-27 05:28
你可以去系统的安全模式,如果能进就把卡巴卸载,不能进就重新装系统吧