瑞星卡卡安全论坛
baohe - 2006-9-4 17:22:00
这个帖子,本是一个多月前就出来的,但是那个时候webwork.dll并没有被瑞星列为病毒。然而过了一个月,瑞星用户们却被瑞星所报的这个病毒搞得焦头烂额。于是特地将此帖再翻出来置顶。
说明:先在控制面板的添加/删除程序中找到并卸载webwork,如果卸载不净,再考虑以下方法手工清除。这是个“极品”流氓。比较难对付。
查杀流程:
1、打开IceSword。用IceSword禁止进/线程创建。
2、用IceSword删除下列文件(图1)。有一个文件,IceSword删不掉。点击IceSword工具栏上的“文件”、“重启并监视”。重启系统后,即可删除。
3、删除其启动项(图2)。
4、剩下两个注册表项,自己打开注册表编辑器,找到后——删除!
(1)HKEY_CLASSES_ROOT\CLSID\
删除:{4C611512-2C1D-44b2-A044-872AD2AD5A61}
(2)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:Albus
图1
附件:
155847200694171401.jpg
baohe - 2006-9-4 17:22:00
独孤豪侠 - 2006-9-4 17:26:00
收拉。 3Q
问一下图一那个是什么工具???
westbeck - 2006-9-4 17:29:00
学习
见过很多日志有c:\windows\webwork\webwork.dll的
mopery - 2006-9-4 17:31:00
c:\windows\webwork
在控制面版 添加和删除程序中..有个 webwork 卸载一下..
估计也卸不干净..
baohe - 2006-9-4 17:33:00
| 引用: |
【mopery的贴子】c:\windows\webwork
在控制面版 添加和删除程序中..有个 webwork 卸载一下..
估计也卸不干净..
……………… |
你领教它一下,就知道了。
这个流氓设计的很精致。
mopery - 2006-9-4 17:33:00
猫叔 我也想问..那什么工具...很好用的样子...
baohe - 2006-9-4 17:34:00
| 引用: |
【mopery的贴子】猫叔 我也想问..那什么工具...很好用的样子...
……………… |
什么工具?
mopery - 2006-9-4 17:35:00
baohe - 2006-9-4 17:36:00
| 引用: |
【独孤豪侠的贴子】收拉。 3Q
问一下图一那个是什么工具???
……………… |
图1——Tiny的Track'nReverse
mopery - 2006-9-4 17:38:00
和Tiny 连一起的还是分开的?
baohe - 2006-9-4 17:44:00
| 引用: |
【mopery的贴子】和Tiny 连一起的还是分开的?
……………… |
是Tiny的一个组件
mopery - 2006-9-4 17:45:00
恐怕我也得装 Tiny 头晕..全是E文...
呱澎澎 - 2006-9-4 22:01:00
果然那个webwork有问题。
谢谢,明天去弄一下。
shugenyang - 2006-9-10 0:39:00
老大,没有看到 webwork的进程,可是搜狐游戏的还在那边,
可恨,每次关机都要拔电源!!!
各位老大帮帮忙啊……
附件:
747167200691003303.JPG
AC米兰的小铁匠 - 2006-10-14 10:10:00
那个工具下了之后我不会用啊,真是急死人啊,各位大哥帮帮忙,介绍个简单有效的工具我
fdsfsfsdfsa - 2006-10-14 10:19:00
图2哪个软件怎样打开啊
爬围墙上青天 - 2006-10-14 10:24:00
大家有收藏起来噢```
有问请答复 - 2006-10-14 11:15:00
有其它方法吗?
灰黑sè幽默 - 2006-10-14 12:08:00
那工具去哪下载啊???我这病毒怎么都杀不了
灰黑sè幽默 - 2006-10-14 12:59:00
我好像是删除了 呵呵!!!
阿蕾 - 2006-10-16 21:58:00
我电脑也是中了这个,我怎么删也删不掉啊!!!
强中的弱者 - 2006-10-17 5:11:00
楼主,我的为什么删不掉呢?文件已经删掉了,但是注册表删不掉,怎么办?
请看图片1,文件已经删掉了.
附件:
7682922006101750326.jpg
强中的弱者 - 2006-10-17 5:13:00
但是注册表怎么删也删不掉,删了又出来,怎么办?
附件:
7682922006101750445.jpg
强中的弱者 - 2006-10-17 5:19:00
强中的弱者 - 2006-10-17 5:20:00
还有日志:请帮帮忙!
HijackThis_815汉化版扫描日志 V1.99.1
保存于 5:08:43, 日期 2006-10-17
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Rising\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Rising\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
d:\rising\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Rising\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\wdfmgr.exe
d:\rising\rising\rfw\RfwMain.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Rising\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Rising\Rising\Rav\Ravmon.exe
C:\PROGRA~1\Kuree\kpupdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
D:\QQ\QQ.exe
D:\QQ\TIMPlatform.exe
E:\Hijackthis1991zww\HijackThis1991zww.exe
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\QQ\QQIEHelper.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\网际快车\ComDlls\XunLeiBHO_002.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\cnshook.dll
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O3 - IE工具栏增项: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - 启动项HKLM\\Run: [CnsMin] rem Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [RfwMain] "D:\Rising\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTask] "D:\Rising\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\RunOnce: [RavStub] "D:\Rising\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\网际快车\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\网际快车\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - D:\网际快车\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - D:\网际快车\Thunder.exe
O9 - 浏览器额外的按钮: Yahoo 3.5G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - 浏览器额外的按钮: 名品折扣 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=http://www.taobao.com/vertical/mall/pro.php?allyesPara=816 (file missing)
O9 - 浏览器额外的按钮: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - 浏览器额外的按钮: 雅虎WIDGET - {6354ABE6-05F1-49ed-B850-E423120EC338} - http://cn.widget.yahoo.com/index.htm?source=Cns (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O11 - Options group: [!CNS] 中文上网
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - 列举现有的协议: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: SysTime - {724C75F1-B757-408D-A50A-4CF99DA35D73} - C:\PROGRA~1\WinKld\WinKld.dll
O21 - SSODL: webwork - {4C611512-2C1D-44b2-A044-872AD2AD5A61} - C:\WINDOWS\webwork\webwork.dll (file missing)
O21 - SSODL: MediaCheck - {D1F73845-4BAB-4061-A46B-FCF7ECC19217} - C:\PROGRA~1\Kuree\MService.dll
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\rising\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\rising\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Rising\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Rising\Rising\Rav\Ravmond.exe
闲友 - 2006-10-17 9:43:00
斑竹,我照你说的去试了,可是图一中的c:\winnt\system32\alpst.dat没有发现,里面有个c:\winnt\system32\almms.dat我没敢删;c:\winnt\webwork重起后删掉了,但它下面的那些项根本就没有显示。c:\~de10.tmp和c:\~deF.tmp没有发现,但有c:\~de8.tmp和c:\~deE.tmp,不知道是不是,我也没敢弄,请指教一下。
图二启动项里没有发现您所标的那个webwork文件,但里面有个c:\winnt\system32\hkcmd.exe不知道是什么?
注册表编辑器里没有找到(1)HKEY_CLASSES_ROOT\CLSID\
{4C611512-2C1D-44b2-A044-872AD2AD5A61}
您看我应该怎么弄,才能把webwork给彻底删掉?
闲友 - 2006-10-17 9:45:00
我的删注册表(2)HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:Albus 时也死了
发发公子 - 2006-10-17 19:57:00
极度昏迷 用添加删除程序 搞定了
又是一个没事爱搞病毒的高手
jhnicjhnet - 2006-10-18 11:46:00
这个病毒最坏的就是这个,在添加删除程序里提供了项目,但是往往用不了,因为系统已经被拖得很慢,而安全模式下,很难看清验证码.
似乎它告诉用户,它不是流氓,但你就是拿它没办法!比流氓还小人!
简单点,在dos下干掉它!再回到windows删除注册表里的项目.如果以后再关联文件,更难对付!
坏,实在是坏
© 2000 - 2026 Rising Corp. Ltd.