瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » mopery帮我看看,我按你指示的操作遇到新问题不能解决啦!
张水2006 - 2006-6-20 14:43:00
通过你的诊断我中的病毒如下                                                C:\WINDOWS\LSASS.exe
这是个针对瑞星的木马。估计你的瑞星防火墙得重装了(rfwcfg.exe被改写了)。
————————————————

木马Trojan.Agent.awa的手工查杀流程:

1、断开网络连接。关闭瑞星杀软及瑞星防火墙(已被木马进程插入)。
2、结束木马进程C:\windows\LSASS.EXE。
3、删除木马文件(见附图)
4、重启。清理注册表:
先将RegFix或SREng的后缀改为.com 或.bat,再运行之。(恢复HKEY_CLASSES_ROOT\.exe的键值)。
展开:HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开:HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" -nohome"
展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}"
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Top
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0"                                                                              有两个问题: 先将RegFix或SREng的后缀改为.com 或.bat,再运行之。(恢复HKEY_CLASSES_ROOT\.exe的键值)。"
什么意思啊?还有,我照你的方法做,
"展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0"
里面跟本就没有 "WindowFiles"和"wextract_cleanup0"
张水2006 - 2006-6-20 14:49:00
通过你的诊断我中的病毒如下                                                     C:\WINDOWS\LSASS.exe
这是个针对瑞星的木马。估计你的瑞星防火墙得重装了(rfwcfg.exe被改写了)。
————————————————

木马Trojan.Agent.awa的手工查杀流程:

1、断开网络连接。关闭瑞星杀软及瑞星防火墙(已被木马进程插入)。
2、结束木马进程C:\windows\LSASS.EXE。
3、删除木马文件(见附图)
4、重启。清理注册表:
先将RegFix或SREng的后缀改为.com 或.bat,再运行之。(恢复HKEY_CLASSES_ROOT\.exe的键值)。
展开:HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开:HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" -nohome"
展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}"
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Top
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0"                                                                                有两个问题: 先将RegFix或SREng的后缀改为.com 或.bat,再运行之。(恢复HKEY_CLASSES_ROOT\.exe的键值)。"
什么意思啊?还有,我照你的方法做,
"展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0"
里面跟本就没有 "WindowFiles"和"wextract_cleanup0"
mopery - 2006-6-20 14:50:00
SREng
http://forum.ikaka.com/topic.asp?board=28&artid=6979213第4楼下载System Repair Engineer

这个 下面红字说清楚一下...
710207 - 2006-6-20 14:56:00
【回复“张水2006”的帖子】
把RegFix,SREng重命名,把原先的后缀(例如:RegFix.exe,exe就是后缀)去掉,换成com (换成后例如:RegFix.com,SREng.com).
张水2006 - 2006-6-20 14:58:00
【回复“mopery”的帖子】我按昨天你写给我的方法操作,但在修改注册表时操作到

"展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
时找不到里面跟本就没有 "WindowFiles"怎么办?
张水2006 - 2006-6-20 15:00:00
我按昨天你写给我的方法操作,但在修改注册表时操作到

"展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
时找不到里面跟本就没有 "WindowFiles"怎么办?
710207 - 2006-6-20 15:00:00
【回复“张水2006”的帖子】
删的是注册表右边的wextract_cleanup0和WindowFiles,而不是左边的,况且左边根本就没有.
张水2006 - 2006-6-20 15:04:00
【回复“710207”的帖子】"展开HKEY_CLASSES_ROOT\.exe下面只有一个目录是PersistentHandler啊???????
张水2006 - 2006-6-20 15:05:00
【回复“710207”的帖子】
删的是注册表右边的wextract_cleanup0和WindowFile在那啊?????????
mopery - 2006-6-20 15:09:00
注意看解决的方法...
别删错注册表...
张水2006 - 2006-6-20 15:12:00
【回复“mopery”的帖子】谢谢!我仔细看啦!还是找不到那一步、怎么办啊?跪求!!!!!!!!!!!!!!!
张水2006 - 2006-6-20 15:14:00
"展开HKEY_CLASSES_ROOT\.exe下面只有一个目录是PersistentHandler啊???????按照你上面说的——————————————————"展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles、怎么操作啊?
张水2006 - 2006-6-20 15:17:00
【回复“mopery”的帖子】你帮我看看好吗?我的注册表已经修改啦前几步、现在有找不到——删除WindowFiles、怎么办?又不敢关机
mopery - 2006-6-20 15:17:00
【回复“张水2006”的帖子】

全是注册表 修改项 找不到 直接跳一步 看看...

全处理完  重装瑞星...
张水2006 - 2006-6-20 15:19:00
【回复“mopery”的帖子】好!正在操作中,等一下有问题再请教你!再次感谢你!!!!!!!!!!!
张水2006 - 2006-6-20 15:27:00
在下一步中:展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}" 可是我的GUID"="{D8X873-J622Q6-5J24A8-31JBB0-IP93B1}"  怎么办?????
710207 - 2006-6-20 15:29:00
有些奇怪,先不要删.
张水2006 - 2006-6-20 15:30:00
【回复“710207”的帖子】好!高手帮忙给我分析分析!先谢过啦
张水2006 - 2006-6-20 15:41:00
各位高手:给我个回复啊!急急急、现在真不知道该怎么办啦!
1
查看完整版本: mopery帮我看看,我按你指示的操作遇到新问题不能解决啦!
© 2000 - 2026 Rising Corp. Ltd.