瑞星卡卡安全论坛
maokewu - 2006-9-15 22:13:00
该病毒的一个主要模块nwupspx.sys以系统内核模块的方式驻留内存。并在Windows注册表HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\下建立了nwupspx项,可以通过Windows的regedit.exe搜索到,但无法删除。可以利用别的注册表编辑工具来删除。如Registry Workshop,也可以用冰刃IceSword来删除。删除后重启电脑,然后到%SystemRoot%\System32\drivers目录下删除nwupspx.sys。这样处理后瑞星监控也就不报告拦截到Trojan.DL.Small.oan病毒的提示了。当然也不会在%SystemRoot%\System32\目录下生成sysmgr.exe文件了。
现附nwupspx.sys文件的压缩包nwupspx.rar链接,哪位朋友有兴趣拿去分析一下。
http://www.jinbi.com.cn/nwupspx.rar
天天泡泡 - 2006-9-15 22:19:00
请有此问题的朋友试试能否解决问题
Greysign - 2006-9-15 22:31:00
谢谢楼主.回头弄进虚拟机玩玩了。
楼主知道他是怎么实现在注册表无法删除的吗
从头爱你 - 2006-9-15 22:41:00
......还是你们玩吧......
紫影妖怪 - 2006-9-15 23:13:00
中了这病毒,有什么症状?
牛牛一族 - 2006-9-15 23:13:00
楼主有教程吗?小弟是新手不回删除.
gizhi - 2006-9-15 23:24:00
新兵报到,顶顶
王者霸气 - 2006-9-15 23:29:00
dingba
chiyy - 2006-9-15 23:49:00
路过
maokewu - 2006-9-15 23:59:00
| 引用: |
【牛牛一族的贴子】楼主有教程吗?小弟是新手不回删除.
……………… |
关于注册表中清除nwupspx.sys文件的注册项,请到百度搜索Registry Workshop或者IceSword这两个工具中的任意一个,安装后有详细的帮助,按照路径HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\,你会找到注册项nwupspx。至于删除nwupspx.sys文件,%SystemRoot%\是表示你的操作系统在硬盘上的安装路径,假定你的操作系统安装在C盘,则%SystemRoot%可能就是C:\WINDOWS,那么nwupspx.sys文件就有可能在C:\WINDOWS\System32\drivers文件夹下。如果你的操作系统安装在别的逻辑盘上,如D盘,则nwupspx.sys文件就有可能在D:\WINDOWS\System32\drivers文件夹下,如此类推。
中秋月亮圆 - 2006-9-16 0:19:00
真谢谢老大了!!!!我中此毒好久了!!!按照你的方法解决了瑞星不再报毒!
另:我用Registry Workshop也删不掉那可恶的注册表项,用冰刃IceSword成功删除.
sea1996 - 2006-9-16 7:51:00
我使用了 冰剑对注册表的文件进行了删除
重启后,还是无法对drivers目录下的nwupsx.sys进行删除.
提示是:无效的文件句柄
打开IE仍有病毒提示
谁知道为什么吗?
yayaxf - 2006-9-16 8:10:00
谢谢!
我用冰刃干掉那家伙了!
好学的人 - 2006-9-16 8:44:00
好复杂
飞逝流星 - 2006-9-16 9:44:00
呵呵,我想知道一下,这个病毒的行为
猪宝宝2006 - 2006-9-16 9:59:00
搞脑子,只有一个nwupspx.sys文件,怎么玩呀?
maokewu - 2006-9-16 10:06:00
| 引用: |
【sea1996的贴子】我使用了 冰剑对注册表的文件进行了删除
重启后,还是无法对drivers目录下的nwupsx.sys进行删除.
提示是:无效的文件句柄
打开IE仍有病毒提示
谁知道为什么吗?
……………… |
利用Windows的注册表工具regedit.exe搜索一下,看看nwupsx.sys是否真的删除了。
干瘦的青蛙 - 2006-9-16 10:15:00
好样的,不错,终于搞出方法来了,希望长期置顶,这个是新病毒变种,可能以后还会有人中的。
westbeck - 2006-9-16 10:27:00
好
margie09 - 2006-9-16 12:07:00
好晕,我不会用呀
margie09 - 2006-9-16 12:43:00
感谢呀~我也删掉了!!好贴!!
飞翔九天之外 - 2006-9-16 14:57:00
我下了冰刃,但不知道怎么用啊?
雨泪520 - 2006-9-16 15:45:00
晕呼呼``我按照你说的做了``可是结果在注册表里找不到你说的那个文件``就是nwupspx,可是用瑞星查毒``没了Trojan.DL.Small.oan病毒``可是又出来了``Trojan.PSW.Liumazi.hi\Trojan.PSW.Agent.akh \Dropper.Agent.dgx RootKit.Vanti.ls \Trojan.PSW.WoWar.ls 等乱七八糟``各种各样的病毒``我该怎么办呀``
YanQian - 2006-9-16 16:46:00
多谢!!
现在果然好了,之前我也是打开浏览器时OfficeScan就报发现病毒,现在一切正常了。
不过我的处理过程有一点点不一样,你提到的是在:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
下面有nwupspx项,而我的是在:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentontrolSet\Services\
下面,使用IceSword 1.18删除的。
wy_1116 - 2006-9-16 18:12:00
我使用了Registry Workshop对注册表的文件进行了删除
重启后,还是无法对drivers目录下的nwupsx.sys进行删除.
提示是:无效的文件句柄
打开IE仍有病毒提示
谁知道为什么吗?
maokewu - 2006-9-16 19:14:00
| 引用: |
【wy_1116的贴子】我使用了Registry Workshop对注册表的文件进行了删除
重启后,还是无法对drivers目录下的nwupsx.sys进行删除.
提示是:无效的文件句柄
打开IE仍有病毒提示
谁知道为什么吗?
……………… |
用冰刃IceSword试试。
我是明明 - 2006-9-16 19:39:00
先进入安全模式,在SYSTEM32下建一个名为drivers1的文件夹,将drivers下除开nwupspx.sys的文件拷入drivers1中,将drivers改名为drivers2,将drivers1改名为drivers,重启后删除drivers2,再将注册表中与nwupspx.sys有关的删除。
虽然这样有点麻烦但我是这样做的可以删掉nwupspx.sys
peggywen - 2006-9-16 19:45:00
我使用了冰刃IceSword对注册表的文件进行了删除
重启后,还是无法对drivers目录下的nwupsx.sys进行删除.
提示是:无效的文件句柄
打开IE仍有病毒提示
谁知道为什么吗?
怎么办!!!
peggywen - 2006-9-16 20:02:00
多谢maokewu,我是明明二位!
我使用了冰刃IceSword对注册表的文件进行了删除
然后进入安全模式,在SYSTEM32下建一个名为drivers1的文件夹,将drivers下除开nwupspx.sys的文件拷入drivers1中,将drivers改名为drivers2,将drivers1改名为drivers,然后删除drivers2,就删掉nwupspx.sys
与时拒进 - 2006-9-17 0:26:00
用魔法兔子行吗?我一装冰刃就重启
© 2000 - 2026 Rising Corp. Ltd.