不看会后悔的Windows XP之经验谈	简单快捷DIY实用家庭影院

机器中了奇怪病毒winsysban8.exe...请教如何查杀啊？

楼主wjl001（良子）2006-02-16 02:43:21 在 Windows专区 / 安全技术/病毒提问

今天在做系统的时候发现C盘突然多了很多文件，每次删除了以后还有。到网上查资料都没有找到相关说明，只好来这里请教各位大侠了/现说明一下我的机器。。。
win2000pro系统，安装了诺顿8.0和天网2.6个人版本。
今天在做系统备份的时候突然发现多了以下一些文件：C:\drsmartload1.exe;gimmygames.exe;gotya.exe;Installer.exe;mc-110-12-0000228.exe;MTE3NDI6ODoxNg.exe;ucmoreiex.exe;VULII.SYS;VPLII.SYS;
C:\WINDOWS\drsmartload2.dat;gimmygames1.dat;winsysban8.exe;winsysupd8.exe
这个c:\windows\肯定是哪个病毒建立的。同时winsysupd8.exe在注册表里的RUN里面也有痕迹，（肯定还有没有找到的）以上文件我删除了，重新启动又有了，而且那些文件都是后台一个一个的下载的，我看着他们一个一个的冒出来，又对他们没有彻底根治的办法，心里哪个急啊。请各位大侠救救我啊，这个系统我装了好久，不想因为这个病毒就重新安装啊。。。。问题点数：100、回复次数：12Top

1 楼mydo（侯佩|hopy|ks）回复于 2006-02-16 08:03:59 得分 5

断网，进入安全模式，用最新的病毒库杀毒，并留意启动项中的可以文件。Top

2 楼5201314（）回复于 2006-02-16 08:38:49 得分 2

没防火墙吗?升级病毒库啊Top

3 楼wjl001（良子）回复于 2006-02-16 09:00:51 得分 0

mydo(坎道斯|Kinds): 安全模式下面全盘查杀找不到病毒的：（
5201314() ：我“安装了诺顿8.0和天网2.6个人版本”并且病毒库是最新的。Top

4 楼wjl001（良子）回复于 2006-02-16 09:03:23 得分 0

我想知道这到底是一个什么病毒？在网上搜索了一下，发现也有其他中招的人，但就是没有对这些文件的描述，以及处理办法。好晕啊，现在机器不停的向外面发包。好郁闷哦。。。Top

5 楼wjl001（良子）回复于 2006-02-16 16:41:22 得分 0

大家帮帮我啊，给自己顶起来。。。Top

6 楼icuc88（职业特种兵）回复于 2006-02-16 16:44:41 得分 2

耐心、信心和毅力Top

7 楼wjl001（良子）回复于 2006-02-16 18:25:10 得分 0

下面是我扫描的进程，我删除以下文件：
C:\drsmartload1.exe;gimmygames.exe;gotya.exe;Installer.exe;mc-110-12-0000228.exe;MTE3NDI6ODoxNg.exe;ucmoreiex.exe;VULII.SYS;VPLII.SYS;
C:\WINDOWS\drsmartload2.dat;gimmygames1.dat;winsysban8.exe;winsysupd8.exe
以及注册表项：
HKLM\..\Run: [winsysupd] c:\windows\winsysupd8.exe
HKLM\..\Run: [gimmygames] c:\\gimmygames.exe
HKLM\..\Run: [winsysban] c:\windows\winsysban8.exe
可是当我一重新启动，只要一连接到互联网，上面的那些文件又自动下载到我的C盘了，郁闷啊。。。求各位大侠帮我分析以下下面的进程，教我一个解决的办法吧。。。

Logfile of HijackThis v1.97.2
Scan saved at 18:20:07, on 2006-2-9
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\nav32.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\SkyNet\FireWall\PFW.exe
C:\WINNT\system32\Clsmn.exe
C:\WINNT\system32\internat.exe
C:\WINNT\explorer.exe
c:\windows\winsysban8.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\macromed\flash\GetFlash.exe
C:\Documents and Settings\Administrator\桌面\HijackThis.exe

O3 - Toolbar: ????? - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: UCmore XP - The Search Accelerator - {44BE0690-5429-47f0-85BB-3FFD8020233E} - C:\Program Files\TheSearchAccelerator\UCMTSAIE.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFW.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [wxClient] C:\WINNT\system32\Clsmn.exe
O4 - HKLM\..\Run: [winsysupd] c:\windows\winsysupd8.exe
O4 - HKLM\..\Run: [gimmygames] c:\\gimmygames.exe
O4 - HKLM\..\Run: [winsysban] c:\windows\winsysban8.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - Startup: NTUSER.DAT
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Global Startup: ntuser.dat
O4 - Global Startup: ntuser.dat.LOG
O4 - Global Startup: ntuser.pol
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?981816321109
O17 - HKLM\System\CCS\Services\Tcpip\..\{7EF55F36-F1FE-4664-BA16-033C084299AF}: NameServer = 192.168.10.1

Top

8 楼wjl001（良子）回复于 2006-02-17 09:04:26 得分 0

自己给自己顶起。。。Top

9 楼logon（天天向上）回复于 2006-02-19 16:57:51 得分 1

因为这个病毒……我三天重装了三次系统~~~~~到现在还是一点辙都没有。我也求有知道的大大解决下阿……Top

10 楼simon1983（忙里偷闲）回复于 2006-02-19 21:30:51 得分 90

http://www.webuser.co.uk/forums/showflat.php/Cat/0/Number/261731/an/0/page/0

Before you begin, please disable the real-time protection you currently have enabled in both Spybot and Ewido as they may hinder our progress. You can re-enable these when I eventually give you the all clear. Instructions for this can be found here .

Then download Look2Me-Destroyer.exe to your desktop.
Close all windows before continuing.

Double-click Look2Me-Destroyer.exe to run it.

Put a check next to Run this program as a task.

You will receive a message saying Look2Me-Destroyer will close and re-open in approximately 10 seconds. Click OK

When Look2Me-Destroyer re-opens, click the Scan for L2M button, your desktop icons will disappear, this is normal.

Once it's done scanning, click the Remove L2M button.

You will receive a Done Scanning message, click OK.

When completed, you will receive this message: Done removing infected files! Look2Me-Destroyer will now shutdown your computer, click OK.

Your computer will then shutdown.

Turn your computer back on.

Please post the contents of C:\Look2Me-Destroyer.txt and a new HiJackThis log.

If you receive a message from your firewall about this program accessing the internet please allow it.

If you receive a runtime error '339' please download MSWINSCK.OCX from the link below and place it in your C:\Windows\System32 Directory.
http://www.ascentive.com/support/new/images/lib/MSWINSCK.OCX

Top

11 楼simon1983（忙里偷闲）回复于 2006-02-19 21:32:49 得分 0

先下mswinsck.ocx控件，再下Look2Me-Destroyer.exe，运行Look2Me-Destroyer.exe,按指示做。Top

12 楼wjl001（良子）回复于 2006-04-26 23:07:15 得分 0

谢谢，我重新安装了系统。问题已经解决了，不错此贴收藏了，谢谢simon1983(每天进步一点！) 兄。！！！Top