瑞星卡卡安全论坛

今天起的较早，开机后输入winlogon搜索，果然又发现了阴魂不散的32c57d49.pf文件。删除后打开注册表编辑器，输入envsec搜索，再次找到包含fe7zf.exe等13个注册项，删除后再次输入envsec搜索，查找到NextInstance,其键值位置在system--Root--LEGACY_ENVSEC,双击展开它后，出来6个键值。我用笔记录后想删除LEGACY_ENVSEC,却无法删除掉。
根据这6个键值名称，返回打开资源管理器，先后输入这6个键值名称进行搜索。
输入service找到7个文件，其中3个日期为2005年的文件怀疑是病毒文件（我是今年7月4日装机，10月23日上午请人用GHOST恢复了一次系统）
输入class找到260个文件，其中IEDown class文件怀疑是病毒文件。
输入其他4个键值名称搜索后，没有任何结果。
现在我还没有进行任何删除操作，恭请二位老大给予具体指导。
请看帖的朋友先不要回帖，让我贴完7张图片再发表意见讨论，以保持贴图的连续性。
谢谢！


附件: 59089920051116112539.jpg

NO:2

附件: 59089920051116112645.JPG

3.

附件: 59089920051116112746.jpg

4.

附件: 59089920051116113000.jpg

5.

附件: 59089920051116113130.JPG

6.

附件: 59089920051116113228.JPG

7.legacy_envsec键值已导出。上传时提示格式不对。（忘了制作JPG图片了。）
不知网警是否还需要上述的这些可疑病毒文件否。

【回复“漂亮妹妹1989”的帖子】
嘘～网警在吃饭……

看的偶直晕，偶是帮不了忙了
不过只是删除注册表项应该不会把病毒搞定。恐怕病毒注册了启动项或者服务，或者其他深层的东东。

不懂.

引用:

【漂亮妹妹1989的贴子】7.legacy_envsec键值已导出。上传时提示格式不对。（忘了制作JPG图片了。） 不知网警是否还需要上述的这些可疑病毒文件否。 ...........................

需要

注册表偶不太懂哈……

附件: 28054420051116131554.jpg

【回复“漂亮妹妹1989”的帖子】将文件压缩打包发送给我。
邮箱：linningning8@hotmail.com

如果PLMM真的想删除某项注册表项，可能需要修改该项的权限。如我的截图示意：
（my god，这个截图软件功能还挺全）

附件: 28054420051116171348.jpg

我在注册表输入envsec什么都没找到
          输入fe7zf和winlogon都只找到下面2个

附件: 56990320051116154822.BMP

在文件里输入winlogon还是找到下面的

附件: 56990320051116155302.BMP

关注中,好象14楼的朋友也招了家伙.我的都搜不到[fe7zf]这东东,不知是不是用的一样的系统.

我的也有!是不是病毒啊?用瑞星扫了一下没发现病毒!

附件: 61321220051116213011.jpg

引用:

【雪晶灵的贴子】我的也有!是不是病毒啊?用瑞星扫了一下没发现病毒! ...........................

你应该正常

引用:

【雪晶灵的贴子】我的也有!是不是病毒啊?用瑞星扫了一下没发现病毒! ...........................

不是有这个文件就有病毒的哈
正常的系统中本身在system32下有一个winlogon.exe的正常文件。

什么和什么啊 晕死了

根据注册表中fe7zf.exe的键值ACTOR提供的C:\WINDOWS\SRCHARSST\CHARS\ROVER.ACS路径，应该是找到病毒的大本营了。根据其子键值5603、5604的文件路径，在同一个srchasst\mui\0804文件夹中也找到了一名为lclmm.xml的文档文件，双击后显示的画面中有5603、5604字样。不过当将整个0804文件夹删除到回收站后，系统的文件搜索功能就不能使用了。只好留下lclmm.xml,其他几十个就还原回老家了。

附件: 5908992005111783010.jpg

再来一张！

附件: 5908992005111783357.jpg

【回复“漂亮妹妹1989”的帖子】
支持你的探索之旅。你说的偶都不明白，无能为力。只能观望一下了。
哈哈……

最后一张图！

附件: 5908992005111783452.jpg

我也不明白.

引用:

【C++果冻的贴子】如果PLMM真的想删除某项注册表项，可能需要修改该项的权限。如我的截图示意： （my god，这个截图软件功能还挺全） ...........................

果冻啊果冻，你这个大菜鸟可把我这个小菜鸟整晕了！我不但照本宣科，还无师自通的学会点击“高级”－－“添加”设置，把那个ROOT给彻底报销了。
结果你猜怎么着？返回到正常模式下死机了！重启回到安全模式后，又发现桌面的背景都没了，点击系统还原，弹出的窗口居然是空白一片！
晕菜！！！
呵呵，不是怪你啦，应该是我删除错了某个ROOT了！
一个通宵没睡，将删除的文件通通还原，用超级兔子还原注册表，总算是使系统还原功能恢复正常了，还原到11月11日，搞定！
下辈子打死我都不当小菜鸟了！
下辈子我一定要做个飞得高高的大菜鸟！

庆贺一下！

附件: 5908992005111790401.gif

引用:

【漂亮妹妹1989的贴子】 果冻啊果冻，你这个大菜鸟可把我这个小菜鸟整晕了！我不但照本宣科，还无师自通的学会点击“高级”－－“添加”设置，把那个ROOT给彻底报销了。 结果你猜怎么着？返回到正常模式下死机了！重启回到安全模式后，又发现桌面的背景都没了，点击系统还原，弹出的窗口居然是空白一片！ 晕菜！！！ 呵呵，不是怪你啦，应该是我删除错了某个ROOT了！ 一个通宵没睡，将删除的文件通通还原，用超级兔子还原注册表，总算是使系统还原功能恢复正常了，还原到11月11日，搞定！ 下辈子打死我都不当小菜鸟了！ 下辈子我一定要做个飞得高高的大菜鸟！ ...........................

罪过、罪过……
删除的时候千万要备份，而且要看准哦。
让你麻烦了，真是不好意思

不会真的通宵没睡吧？……
那我的罪过可真大了
万一你出现象熊猫一样的黑眼圈会被送去台湾的