wo就是wo - 2006-10-6 21:51:00
C:\WINDOWS\system32\vpcrm.exe这个文件是一个病毒为什么瑞星查不出来
中了以后他会以9随系统启动
在开机启动里面也是9平时中了看不出来 只要一开QQ就随QQ启动
怎么删也删不掉!!!
newcenturymoon - 2006-10-6 21:54:00
请到http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下载HijackThis
下载后运行HijackThis.rar,再运行HijackThis.exe
单机"扫描日志并保存日志"
把保存的日志复制粘贴上来.
嗷嗷叫的老马 - 2006-10-9 19:49:00
我最近也遇到这种病毒,装的瑞星也没有反应(已经升级到10月8日病毒库,D版).
在IE缓存里发现了几个有MZ文件头的BMP文件,改名为EXE后缀后,出现EXE头像,用EXESCOPE分析,可能是DELPHI编写.
还有N多的东西记不清楚了,反正那些都很好分析,也很好删的.
只有这最后一个麻烦,费了点事.
现象是:
这个文件在注册表里建了某个键值(见后),然后在系统登录时,运行一下就退出了(估计是向系统某进程里插入DLL或代
码).
接着就会出现N多的IE进程(隐藏界面),并且当登录用户是Administrators组成员时,IE进程是SYSTEM权限的.
以下是我导出的注册表文件:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"9"="C:\\WINDOWS\\system32\\vpcrm.exe"
我的解决办法:
由于我的系统是WINDOWS2003,并且系统盘是NTFS,于是就使用了文件权限大法,一下子就搞定,并且以后还不会再中了,嘿
嘿.
具体:
先运行CMD.EXE,CD到system32目录,运行"attrib -h",这样就可以让隐藏文件现形(这个病毒使用了特殊技术,让资源管理
器里的"显示所有文件"无效了),然后用资源管理器打开system32目录,找到这个文件,点右键---属性,把它的访问权限都
去掉,就OK了.
这样谁都无法访问这个文件了,因此以后也不会再中了,嘿嘿.
另外,把注册表里的那个键值也删掉,并且也用同样的办法把注册表的那个RUN键值设置为everyone只读.
嗷嗷叫的老马 - 2006-10-9 19:54:00
...还是处男帖..- -!
本来打算在网上查查看别人是怎么解决的,没想到在GOOGLE里及BAIDU里都没人贴上解决它的办法,于是我就贴下吧~~
© 2000 - 2026 Rising Corp. Ltd.