张水2006 - 2006-6-20 15:48:00
通过你的诊断我中的病毒如下 C:\WINDOWS\LSASS.exe
这是个针对瑞星的木马。估计你的瑞星防火墙得重装了(rfwcfg.exe被改写了)。
————————————————
木马Trojan.Agent.awa的手工查杀流程:
1、断开网络连接。关闭瑞星杀软及瑞星防火墙(已被木马进程插入)。
2、结束木马进程C:\windows\LSASS.EXE。
3、删除木马文件(见附图)
4、重启。清理注册表:
先将RegFix或SREng的后缀改为.com 或.bat,再运行之。(恢复HKEY_CLASSES_ROOT\.exe的键值)。
展开:HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开:HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" -nohome"
展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}"
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Top
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0" 有两个问题:,我照你的方法做,
1:"展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
里面跟本就没有 "WindowFiles" 2:展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}" 可是我的GUID"="{D8X873-J622Q6-5J24A8-31JBB0-IP93B1}" 怎么办?????
baohe - 2006-6-20 15:52:00
【回复“张水2006”的帖子】
不知道这是什么时候的事了。
杀净了没(杀软还报毒否)?
如果没杀净,请找到那个C:\windows\LSASS.EXE,打包(解压密码用:virus),发到:baohelin@yahoo.com.cn。
张水2006 - 2006-6-20 15:57:00
【回复“baohe”的帖子】请问:我刚才改了前几步注册表,现在要去出差,是否可以关机,或正常使用,等过两天回来再接着改(而且注册表没有备份)
baohe - 2006-6-20 16:00:00
| 引用: |
【张水2006的贴子】【回复“baohe”的帖子】请问:我刚才改了前几步注册表,现在要去出差,是否可以关机,或正常使用,等过两天回来再接着改(而且注册表没有备份)
........................... |
关机——可以。
木马未杀掉前,不要连接网络。
脱网时,可以使用电脑。
mopery - 2006-6-20 16:00:00
| 引用: |
【张水2006的贴子】【回复“baohe”的帖子】请问:我刚才改了前几步注册表,现在要去出差,是否可以关机,或正常使用,等过两天回来再接着改(而且注册表没有备份)
........................... |
可以 但是你要记住修改到那步...
张水2006 - 2006-6-20 16:09:00
如果一定要上网,是否下次重头操做即可?这两天很多报表要赶啊,谢谢
mopery - 2006-6-20 16:19:00
一定要上网...下次一步一步检查 ...
© 2000 - 2026 Rising Corp. Ltd.