救人啊！中了超流氓的P2P-Worm.Win32.Polipos.a 毫无办法了！

winse

救人啊！中了超流氓的P2P-Worm.Win32.Polipos.a 毫无办法了！
中了P2P-Worm.Win32.Polipos.a 那时某人正在帮我装晴窗 本来卡巴有报"风险软件"的 不过他说他装的时候也没事（他是全打补丁裸奔族）于是全跳过了 还勾上了 "以后也采取同样操作"然后就出事了 有个javaw开头的进程运行了 还开网页、然后所有程序都用不了了 扫描时发现很多exe都查出病毒  包括[我的电脑-管理]也打不开 所以读不了U盘（我的XP系统要在管理那分配盘符后才能读USB）所有.exe程序都运行不了，我用网线共享把两种专杀工具拷过去中毒的机子却拷不了exe文件，都显示"请确认文件未被使用"什么的 ，而且换了扩展名拷过去后再改名也改不了，专杀工具也不用了了，只有卡巴在显示"此病毒重启后才能杀"我全盘扫描也扫不完 ，查到svhost.exe~的时候就不动了 exe运行不了自然也没办法用hijack之类的扫log工具了 ，请各位救救我给我一点光明的希望啊~~~ 说格掉重装的就算了-v- 我的软件实在太多 重装起码要3-4天 先谢谢各位了！

http://zhidao.baidu.com/question/24445253.html
知道怎么搞的也可以在百度那回答拿分

Asfpu

冰刃用过吗？
若你要防止进程被结束时，需要以命令行形式输入：IceSword.exe /c

sansa520

扫个日志上来吧

sansa520

一、病毒描述：
         
      P2P-Worm.Win32该蠕虫不仅仅依靠P2P网络(Gnutella)传播，而且该蠕虫病毒没有实体文件，感染Windows可执行程序，采用EPO(Entry-Point
      Obscuring)技术对抗启发式扫描，不修改原文件入口点，病毒自带多态/变形引擎，确保每一次感染文件后病毒体均不相同。

      二、病毒行为：
          1、感染后的载体文件运行后，病毒代码将插入除下列列表的所有系统活动进程：
         
             csrss
             dumprep
             drwtsn32
             smss
             spoolsv
             ctfmon
             ...
            
          2、启动可执行文件感染模块进行感染。
         
          3、启动P2P网络感染模块感染。
         
         
          4、删除部分反病毒产品的相关程序和文件：
         
             antivir.dat
             lguard.vps
             ...
          5、不感染大多数的反病毒产品文件、EXE Packer主程序，和包括如下字符串的文件：
         
             anti
             ida
             retina
             virus
             firewall
             debug
             root
             hunter
             hack
             webroot
             iss
             proxy
             disasm
             ...
         
          注：自解压的包裹文件被感染后(包括安装程序)将遭到病毒覆盖。

      三、清除办法：
         
      目前大多数杀毒厂商对此病毒尚无有效处理方案，今日卡巴斯基的升级中，已经包含了对该病毒的检测，遗憾的是，由于该病毒的加密变形引擎，使得卡巴斯基检测到病毒后采用的临时清除方案是删除染毒文件。
         
         这对于重要的文件感染了病毒后将是个灾难，在杀毒厂商没有提供有效处理方案之前，强烈建议用户开启反病毒产品的监控，预防病毒传播到本机。
         对于已经感染的重要程序文件，可以采用手动恢复的办法临时处理：
         
         1、利用PE工具删除病毒增加的区段，同时进行PE校验和修复。
         
         2、利用调试工具载入该文件，定位到调用病毒区段代码，结合上下文代码进行手动代码修复，例：
         
            被病毒破坏的代码：
      
         

010061DC   .  FF75 08         PUSH DWORD PTR SS:[EBP+8]            
            010061DF      E8 2FDD0500     CALL 002.01063F13
            010061E4   .  01EB            ADD EBX,EBP
            010061E6   .  32E8            XOR CH,AL

            修复代码：
         
           

010061DC  |.  FF75 08              PUSH DWORD PTR SS:[EBP+8]         
                     
            010061DF  |.  FF15 E8130001        CALL DWORD PTR
      DS:[<&USER32.DefWindowProcW>]    ; \DefWindowProcW
            010061E5  |.  EB 32                JMP SHORT 01006219
            010061E7  |>  E8 551B0000          CALL 01007D41                     
            ;  Case 401 (WM_USER+1) of switch 01006006

[ 本帖最后由 sansa520 于 2007-4-17 11:03 PM 编辑 ]

大雨落幽燕

看了你的日志，还是有不明白的地方，你自己安装过那些软件？分别装在哪个分区？？看的我乱乱的，呵呵，按照卡巴的斑竹回复的方法，建议你在用PE之类的启动盘启动后去清除。

sansa520

好像LZ没扫日志上来。。而且发完这贴就闪人了。。看来只是个转贴者

大雨落幽燕

http://bbs.kafan.cn/viewthread.php?tid=74373&extra=page%3D1

sansa520

哇。。我是初学者。。看得我一头雾水

Asfpu

:L :L :L ...既然闪到别的论坛了

booklong

看得都有点怕怕的了.