瑞星卡卡安全论坛

这是网友昨天发给我的一个样本。卡巴斯基报Email-Worm.Win32.Brontok.q。当时，那位网友说删除C:\Documents and Settings\当前用户名\Local Settings\Application Data\中的winlogon.exe等文件时遇到困难（一点击病毒文件名，系统即刻重启！）。
现将手工查杀方法罗列如下：
1、用autoruns等工具删除注册表中病毒的加载项（图1）。【WINDOWS的注册表编辑器已被病毒禁用】
利用其它注册表编辑工具（如：TuneUp等）编辑以下注册表项：
展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
将"NoFolderOptions"=dword:00000001改为："NoFolderOptions"=dword:00000000
展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
将"DisableRegistryTools"=dword:00000001改为"DisableRegistryTools"=dword:00000000
展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
将"Hidden"=dword:00000001改为"Hidden"=dword:00000000
2、重启系统。
3、删除病毒文件（图2）。


图1

附件: 1558472006724121228.jpg

图2

附件: 1558472006724121311.jpg

C:\Documents and Settings\当前用户名\Local Settings\Application Data\中的winlogon.exe等文件   
这个不能用清空缓存吗？？？

昨天有好几个问这个

引用:

【独孤豪侠的贴子】C:\Documents and Settings\当前用户名\Local Settings\Application Data\中的winlogon.exe等文件    这个不能用清空缓存吗？？？ ...........................

C:\Documents and Settings\当前用户名\Local Settings\Application Data\
不是C:\Documents and Settings\当前用户名\Local Settings\Temp\

引用:

【独孤豪侠的贴子】C:\Documents and Settings\当前用户名\Local Settings\Application Data\中的winlogon.exe等文件    这个不能用清空缓存吗？？？ ...........................

好象是一点就重启

噢~~~~~~~
收了先。。。。

猫叔..昨天那女的样本还真送过去了...

学习下...

学习,另外,在HJ和SRENG中的日志会有什么表现??

引用:

【mopery的贴子】猫叔..昨天那女的样本还真送过去了... 学习下... ...........................

她急中生智，索性把整个Application Data文件夹打包给我发过来了！
也是不得已呀！

请问baohe版主,那个网友说点击那个文件时是立即黑了屏重启还是正常重启???如果是正常重启,用SSM禁止shutdown.exe就爽了...

引用:

【闪电风暴的贴子】请问baohe版主,那个网友说点击那个文件时是立即黑了屏重启还是正常重启???如果是正常重启,用SSM禁止shutdown.exe就爽了... ...........................

按照我这种查杀操作顺序，没有什么“自动重启”问题。
基本思路是：既然病毒没有注册表监控，那好——柿子拣软的捏！先从注册表下手。
启动项都删了，重启系统后，病毒文件只有等死了。
杀毒操作顺序的确定——要灵活。

引用:

【闪电风暴的贴子】学习,另外,在HJ和SRENG中的日志会有什么表现?? ...........................

SRENG的日志，没扫。估计也就是加载项和进程吧。
现在用惯了autoruns，已经不愿意用其它的日志工具了。用autoruns的“自动比较”读日志——省时、省眼啊。

引用:

【baohe的贴子】 SRENG的日志，没扫。估计也就是加载项和进程吧。 现在用惯了autoruns，已经不愿意用其它的日志工具了。用autoruns的“自动比较”读日志——省时、省眼啊。 ...........................

呵呵。自已用比较好。但看别的人的话那就~~~~~~~~~~~~~~~

引用:

【独孤豪侠的贴子】 呵呵。自已用比较好。但看别的人的话那就~~~~~~~~~~~~~~~ ...........................

是的。
我现在对SREng日志“过敏”！看见就头晕。闪！

SRENG 还是无邪厉害。我还是习惯看HJ的。。。。。

学习

<table width="100%" border="0" cellspacing="0" cellpadding="0"><tr><td>
<a href="http://sms.rising.com.cn/" target="_blank"><font color=#FF0000>√订阅《电脑知识每日一帖》，告别菜鸟时代。</font></a></td></tr></table>

利用 cmd

用del 命令 也可以的

不言放弃以前写过一篇类似的帖子：
http://forum.ikaka.com/topic.asp?board=28&artid=8075632
现在这个应该是其他的变种。

baohe  版主 您好

我用的是瑞星2006下载版
瑞星提示有病毒
C:\Documents and Settings\Administrator\Local Settings\Application Data\winlogon.exe （文件路径）


Worm.Mail.Brontok.ac （病毒名称）

病毒来源 显示 本机


瑞星杀不了 也删除不了

这是我发的求助贴
http://forum.ikaka.com/topic.asp?board=28&artid=8134719


这是网友回复的的一个链接
http://forum.ikaka.com/topic.asp?board=28&artid=8127464


我下载了autoruns  这个工具 中文版的

可是我不会用  请 教教 我 好吗  谢谢！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！

引用:

【declan的贴子】baohe  版主 您好 我用的是瑞星2006下载版 瑞星提示有病毒 C:\Documents and Settings\Administrator\Local Settings\Application Data\winlogon.exe （文件路径） Worm.Mail.Brontok.ac （病毒名称） 病毒来源 显示 本机 瑞星杀不了 也删除不了 这是我发的求助贴 http://forum.ikaka.com/topic.asp?board=28&artid=8134719 这是网友回复的的一个链接 http://forum.ikaka.com/topic.asp?board=28&artid=8127464 我下载了autoruns  这个工具 中文版的 可是我不会用  请 教教 我 好吗  谢谢！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！ ………………

运行autoruns，对照本帖，找到图显示的那些木马启动项，删除。

该用户帖子内容已被屏蔽

引用:

【闪电风暴的贴子】请问baohe版主,那个网友说点击那个文件时是立即黑了屏重启还是正常重启???如果是正常重启,用SSM禁止shutdown.exe就爽了... ………………

我把shutdown.exe扔进回收箱都没有用。。。