瑞星卡卡安全论坛
baohe - 2006-8-21 14:01:00
| 引用: |
【se7en25的贴子】按照楼主的方法把那些注册表都删除了
但是重启后显示隐藏文件~回收站里什么垃圾都没有
电脑现在又出了2个问题~一个是任务管理器打开不了
一开就马上消失~还有最严重的就是上不到网了~
我现在用一个电脑发贴询问
……………… |
你说的现象与删除此马的这几个加载项无关。
尤其是那个load键。删除了,重启系统后,系统一样正常运行;一样上网。看图——我现在的情况
附件:
1558472006821135306.jpg
艾玛 - 2006-8-21 14:11:00
本样本请检查以下键值:[HKEY_LOCAL_MACHINE\SOFTWARE\wSkysoft]
wSkysoft MSkysoft同类病毒,还会下载其它病毒,禁用删除安全软件设置
芢歲釺歲 - 2006-8-21 14:43:00
救命啊~!~!~
我是中了木马
再安装SSM
结果安装了以后
电脑无限循环重启
没办法删除掉了
可是这样就没办法按照上面的做了啊
wdm.exe
这个文件没办法定位啊
找不到它在哪里
而且注册表也不跟那个一样
没书签什么的
怎么办啊。。。。
baohe - 2006-8-21 14:59:00
| 引用: |
【艾玛的贴子】本样本请检查以下键值:[HKEY_LOCAL_MACHINE\SOFTWARE\wSkysoft]
wSkysoft MSkysoft同类病毒,还会下载其它病毒,禁用删除安全软件设置
……………… |
附件:
1558472006821145134.jpg
宝贝如逸 - 2006-8-21 15:14:00
我按照版主给的路径下载了SREng工具,找到了,但不能选中发上来怎么半呀?真是汗颜呀!!!!
baohe - 2006-8-21 15:20:00
| 引用: |
【宝贝如逸的贴子】我按照版主给的路径下载了SREng工具,找到了,但不能选中发上来怎么半呀?真是汗颜呀!!!!
……………… |
发上来干吗?
自己核对一下。
没问题,就删。
有问题,再问。
宝贝如逸 - 2006-8-21 15:23:00
我就是不懂呀,结果与你的不同,但病毒相似呀!
艾玛 - 2006-8-21 15:25:00
| 引用: |
【baohe的贴子】| 引用: | 【艾玛的贴子】本样本请检查以下键值:[HKEY_LOCAL_MACHINE\SOFTWARE\wSkysoft]
wSkysoft MSkysoft同类病毒,还会下载其它病毒,禁用删除安全软件设置
……………… |
……………… |
没有?汗,SSM不会挡了吧。。
baohe - 2006-8-21 16:08:00
| 引用: |
【艾玛的贴子】| 引用: | 【baohe的贴子】| 引用: | 【艾玛的贴子】本样本请检查以下键值:[HKEY_LOCAL_MACHINE\SOFTWARE\wSkysoft]
wSkysoft MSkysoft同类病毒,还会下载其它病毒,禁用删除安全软件设置
……………… |
……………… |
没有?汗,SSM不会挡了吧。。
……………… |
不是。
应该是“断网”与“连网”的区别。
我玩儿病毒,都是断网。杀净后,才连接网络。因此,我不可能看到后面的“戏”。
kiddietime - 2006-8-21 16:09:00
楼住大哥啊,图片2是什么软件打开的?
从哪下啊?
baohe - 2006-8-21 16:39:00
| 引用: |
【kiddietime的贴子】楼住大哥啊,图片2是什么软件打开的?
从哪下啊?
……………… |
那是TuneUp的注册表编辑器。
不一定非得用它。
用WINDOWS自带的注册表编辑器也行。
kiddietime - 2006-8-21 17:35:00
老大第3步具体怎么操作
3、显示隐藏文件。
baohe - 2006-8-21 17:38:00
| 引用: |
【kiddietime的贴子】老大第3步具体怎么操作
3、显示隐藏文件。
……………… |
附件:
1558472006821173021.jpg
kiddietime - 2006-8-21 18:02:00
猫叔~~
可我执行完第3步骤后
第4步,回收站里没有那些文件啊?
kiddietime - 2006-8-21 18:03:00
还有我的所有监控都被禁用了 伞变红了
是不是因为这个病毒的事哦?
baohe - 2006-8-21 18:12:00
于维克托 - 2006-8-21 18:49:00
学习啦~~~~~~~~~~~!
甛甛圏οo - 2006-8-21 19:08:00
我的日志中有
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> []
<run><> []
但是没有找到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<KernelFaultCheck><C:\WINDOWS\system32\wdm.exe> [Microsoft Corporation],
不知道中毒了没有?
甛甛圏οo - 2006-8-21 19:30:00
还有,我昨天在注册表里搜索的时候,发现我的注册表里HKEY_USERS\S-1-5-21-329068152-1708537768-854245398-1003\Software\Mcrosoft\Search Assistant\ACMru\5603这个文件夹里有
ksld.sys
wdm.exe
_hook.dll
YOK
HKEY_USERS\S-1-5-21-329068152-1708537768-854245398-1003\Software\Mcrosoft\Search Assistant\ACMru\5604里面有wdm.exe 和_hook.dll
但是搜索C;\WINDOWS\SYSTEM32 没有wdm.exe
其他地方没有这些,不知道有没有问题,这些注册表项目除了_hook.dll,其他的昨天删了,刷新了几遍也没有再出现了.
ksld.sys,wdm.exe 这些在网上都说是病毒.可是我除了在注册表的这个地方找到以外,其他地方都没有,想问问楼主,我这种情况是不是还是属于中毒状态?
甛甛圏οo - 2006-8-21 19:36:00
楼主,我按照你的方法来找,第一步就没有找到,我的启动项里没有你说的那个
附件:
7334202006821192817.BMP
甛甛圏οo - 2006-8-21 19:47:00
楼主第二步杀毒的那个步骤图,我的和你相比,多了个Run,不知道这两个load和run 要不要按照你的杀毒步骤来删?怕删了影响系统,又因为没有找到你杀毒第一步的那个启动项,到现在还没动工.求教~~~
附件:
7334202006821193910.BMP
feifeier411 - 2006-8-21 19:53:00
真是救命贴,谢谢加菲猫斑竹.图二那个东东你说用WINDOWS自带的注册表编辑器也可以,我想问,WINDOWS自带的注册表编辑器又在哪里找出来啊??汗~哪位知道请告诉我!!
wuao1 - 2006-8-21 19:55:00
运行 输入 regedit
feifeier411 - 2006-8-21 20:07:00
谢谢,我打开了,可是找不到加菲猫斑竹在图二里说的那个东东.好像WINDOWS这个和他用的有点不一样吧,在哪里找啊?能不能发个图图上来我看看..我不会发也~~
baohe - 2006-8-21 20:32:00
【回复“甛甛圏οo”的帖子】
load和run ——都删除!
baohe - 2006-8-21 20:33:00
| 引用: |
【feifeier411的贴子】谢谢,我打开了,可是找不到加菲猫斑竹在图二里说的那个东东.好像WINDOWS这个和他用的有点不一样吧,在哪里找啊?能不能发个图图上来我看看..我不会发也~~
……………… |
细心一点。OK?
甛甛圏οo - 2006-8-21 20:49:00
| 引用: |
【baohe的贴子】【回复“甛甛圏οo”的帖子】
load和run ——都删除!
……………… |
注册表删了以后,要重新启动电脑来清理那两个病毒吗?我现在显示了系统和所有文件以后,在C盘SYSTEM32下找不到那两个文件
baohe - 2006-8-21 20:51:00
| 引用: |
【甛甛圏οo的贴子】
注册表删了以后,要重新启动电脑来清理那两个病毒吗?我现在显示了系统和所有文件以后,在C盘SYSTEM32下找不到那两个文件
……………… |
我一直没弄明白——你怎么知道你中了这个木马?
甛甛圏οo - 2006-8-21 20:51:00
...楼主,我碰到个问题,LOAD无法删除..
甛甛圏οo - 2006-8-21 20:53:00
load删除的时候提示进程名称C:\WINDOWS\regedit.exe,注册表项HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINDOWS,删了没有关系吧?
© 2000 - 2026 Rising Corp. Ltd.
