【求助】系统频繁自启------折腾3天、1个开关！

hz-lp

每次开机，瑞星提示找到并且删除，
Trojan.DL.Agent.xdw
再次开机还会重新出现，
如何处理？
又：电脑经常自动重启；

木马杀客报告如下：
开始进行全盘扫描:...
系统事件：已发现木马!
木马名称：Trojan-Spy.Win32.Agent.nw.18968
木马路径：C:\WINDOWS\system32\alsmt.exe
处理方式：删除 成功
发现日期：2006年10月5日

系统事件：已发现木马!
木马名称：Trojan-Spy.Win32.Agent.nw.18968
木马路径：C:\WINDOWS\system32\alsmt.exe
处理方式：删除 成功
发现日期：2006年10月5日

系统事件：已发现木马!
木马名称：Win32.ADWARE.DesktopMedia.e.22336
木马路径：C:\WINDOWS\system32\drivers\Albus.SYS
处理方式：删除 成功
发现日期：2006年10月5日

系统事件：已发现木马!
木马名称：Win32.ADWARE.DesktopMedia.e.22336
木马路径：C:\WINDOWS\system32\drivers\Albus.SYS
处理方式：删除 成功
发现日期：2006年10月5日

再次开机还会发现；

TNND**\**\**\**\**\

[ 本帖最后由 hz-lp 于 2006-10-17 00:09 编辑 ]

onway

用的坛里的木马专杀吧，
安全下试一下，
Win32.ADWARE.DesktopMedia.e.22336,这个应该是一个正常的软件，有的时候我也用，

afire

用超级兔子最新版试试。
安全模式下。

afire

木马专杀我觉得不好用。会误杀。

croclly

木马克星怎么样？我一直在用～
网址给你PM了

kylin

不知道问题解决没有？

我不懂，帮顶一下！

中华帝国元帅

像是个广告软件

hz-lp

QUOTE:

原帖由 中华帝国元帅 于 2006-10-15 17:50 发表
像是个广告软件

兄弟：落石下井**\
谢谢  
croclly ，俺这正在下载折腾中、、、、、、、

hz-lp

机器又自动关机了，
没有任何预兆突然关机，
不是死机，
有的时候关机自动重启，
有的时候关机就消停，
croclly推荐的木马克星运行中、、、、、、

zxcvbasdfg1

楼上的病毒我昨天处理过，是病毒检测到你运行的窗口带ＥＸＥ，ＡＳＰ的字样就会自动重新启动你电脑
现在你可以看运行一下ＣＭＤ窗口，如果再关就说明是这个病毒

下面是处理办法：
Worm@W32.Rontokbro.2
空白主旨的邮件别乱收，小心 Rontokbro.2 骇虫入侵您的计算机
Rontokbro.2 骇虫会使用自己的 SMTP 引擎传送骇虫邮件，此邮件的主旨是空白的，客户若收到 空白主旨的邮件，请先确认是否为不明信件。此骇虫会复制多个病毒文件在计算机内，造成计 算机不稳定。
基本介绍
病毒名称
Worm@W32.Rontokbro.2
病毒别名
W32/Rontokbro.gen@MM [McAfee], WORM_RONTOKBRO.J [Trend Micro],W32. Rontokbro.K@mm[symantec]
病毒型态
Worm , E-Mail
病毒发现日期
2005/10/26
影响平台
Windows 95/98/ME , Windows NT/2000/ XP/2003
风险评估
散播程度：高
破坏程度：中
Worm@W32.Rontokbro.2信件格式：
发信者：  < 随机 >
主旨：  空白
内文：
BRONTOK.A[10]  [ By: H[REMOVED]nity ]
-- Hentikan kebobrokan di negeri ini --
1. Penjarakan Koruptor, Penyelundup, Tukang Suap, & Bandar NARKOBA
( Send to "NUSAKAMBANGAN")
2. Stop Free Sex, Aborsi, & Prostitusi
( Go To HELL )
3. Stop pencemaran lingkungan, pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
附加文件：  Kangen.exe
Worm@W32.Rontokbro.2 行为描述：
注：%Windir%代表系统所在目录，在Win95/98/me系统默认值为 C:\windows
在WinNT/2000/XP/2003系统默认值为 C:\WinNT
注：在Win95/98/me %System% 默认值为 C:\windows\System
在WinNT/2000/XP/2003 %System% 系统默认值为 C:\WinNT\System32
添加一个Windows 工作排程，并且每日下午5:08 运行下列文件：
%UserProfile%\Templates\A.kotnorB.com
当骇虫发现窗口标题含有下列字串并重新开机：
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
..............
骇虫会从下列副档名文件，取得电子邮件地址：
ASP
CFM
CSV
DOC
EML
HTML
PHP
TXT
WAB
透过自己的SMTP大量发送病毒信件。
病毒运行后，将骇虫本身复制到%Windir%
eksplorasi.exe
透过病毒运行后，将骇虫本身复制到%System%
[USER NAME]'s Setting.scr
病毒运行后，在%UserProfile%\Local Settings\Application Data\ 目录生成
csrss.exe
inetinfo.exe
lsass.exe
services.exe
smss.exe
winlogon.exe
病毒运行后，在 %UserProfile%\Start Menu\Programs\Startup\ 目录生成
Empty.pif
病毒运行后，在 %UserProfile%\Templates\ 目录生成
Brengkolang.com
病毒运行后，在 %Windir%\ShellNew\ 目录生成
sempalong.exe
更改登录档，如此开机即会启动骇虫。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Bron-Spizaetus" = ""%Windir%\ShellNew\sempalong.exe""
"Tok-Cirrhatus" = "%UserProfile%\Local Settings\Application Data\smss.exe""
更改登录档，如此开机即会启动骇虫。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"Shell" = "Explorer.exe "%Windir%\eksplorasi.exe""

[ 本帖最后由 zxcvbasdfg1 于 2006-10-15 18:20 编辑 ]

hz-lp

CPU温度正常、显卡温度正常、220V电压稳定、、、、
所有软件全部关闭，机器也会不定时关机；

zxcvbasdfg1

如果你试图打开%UserProfile%\Local Settings\Application Data\目录就会重新启动电脑

afire

不知道你用了我推荐的超级兔子没有?

下午用他又帮人搞定了个杀了还有的worm病毒变种。

那个电脑的初期症状也是不定时重启。

我觉得病毒与某个恶意程序勾结,杀毒软件认不出,或者杀了再上网也会重新装入。

所以先用兔子把恶意软件搞定,再杀毒。

hz-lp

更新了最新版病毒库、
查杀了个中恶意软件、
打齐了所有XP2补丁、
、、、、、、、、、、

坐在电脑前，
感觉身后有个隐形杀手，
不晓得什么时候出刀捅过来，
自动关机前没有任何预兆

hz-lp

不知道哪个方案起作用了，
还长一段时间没有自动关机啦，
继续测试中、、、、、、、、
感谢各位的帮助！

zxcvbasdfg1

楼主的那几个文件好象就是最出名的彩信通

hz-lp

自动关机问题暂时没有出现，
Trojan.DL.Agent.xdw这个家伙，
每次开机瑞星提示发现并删除，
再次开机还会出现，既然瑞星发现并删除，为什么还会再次出现？
瑞星道行不够？

Hasea55

说实话一直就不信任瑞星

sweet_cafe

看来是启动就自动加载的
要手动删除

ppyycc

瑞星不行 我最近kaspersky+nod32 还不觉得安全 最好装一个smartdefender

hz-lp

这木马克星，本身就是TNND垃圾，自带的广告都够恶心的啦！

hz-lp

机器仍然在频繁自启，
TNND，俺换个版本重装系统去！

ybyan

你换个正版的恢复盘搞一下不就好了？

hz-lp

除了瑞星，俺就没其他正版的盘啦

ice_poss

好强悍的病毒.RP一定超级霹雳NB!

ybyan

让你用正版的IBM恢复盘啊;)
















--------------------------------

QUOTE:

原帖由 hz-lp 于 2006-10-16 00:10 发表
除了瑞星，俺就没其他正版的盘啦

hz-lp

这瑞星是俺唯一支持国产软件的产物（还是拍片给的），
也是这么不争气的玩意儿！

ybyan

也不会到今天才知道？

hz-lp

QUOTE:

原帖由 ybyan 于 2006-10-16 00:11 发表
让你用正版的IBM恢复盘啊;)

这玩意儿俺倒是有，窃以为网上当来的，都叫D版呢：）

hz-lp

这几天，喝口凉水都呛着了

X24莫名其妙不开机，尸体还没下葬呢，
这台机又频繁出毛病啦，
俺要重装系统的是台机，用IBM恢复盘，合适吗？