“联媒直投媒体客户端”的手工查杀流程 bbs.ikaka.com

baohe - 2006-12-18 11:18:00

这个流氓＋木马比较刁钻。用IceSword与其PK一轮，最终——用户取胜！

操作流程如下：

1、用IceSword禁止进/线程创建（图1）
2、结束rundll32.exe进程（图2）。
3、用IceSword强制删除下列木马、流氓文件:
C:\WINDOWS\system32\ACSs.dll
C:\WINDOWS\system32\Nwsapagent.dll
C:\WINDOWS\system32\sdmAgengt20.dll
C:\Program Files\LinkMedia文件夹
C:\WINDOWS\Temp\sdmagent.exe（如果有）

4、清理注册表：

（1）展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：Nwsapagent
（2）展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除：IPRIP
(3）展开：HKEY_LOCAL_MACHINE\SOFTWARE\
删除：LinkMedia
(4）展开：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\
删除：联媒直投媒体客户端

5、恢复进程创建（图3）。

图1

附件: 15584720061218110933.jpg

baohe - 2006-12-18 11:18:00

图2

附件: 15584720061218111000.jpg

baohe - 2006-12-18 11:19:00

图3：

3、4两步操作完成后，应恢复进/线程创建。

附件: 15584720061218111055.JPG

拉风的高手 - 2006-12-18 11:23:00

猫叔的东西顶~

afkp4e7 - 2006-12-18 11:40:00

实在是高，又学一招。

hotboy - 2006-12-18 12:05:00

引用:

【baohe的贴子】
3、用IceSword强制下列木马、流氓文件:
………………

少两个字：删除

嘿嘿

plxh - 2006-12-18 12:09:00

引用:

【hotboy的贴子】

少两个字：删除

嘿嘿
………………

我也发现了！

baohe - 2006-12-18 12:11:00

引用:

【hotboy的贴子】

少两个字：删除

嘿嘿
………………

谢谢提醒！

少两个字，加上了。
要是将“强制”二字误写成“强X”，那我就糗大了。

klxq - 2006-12-18 12:39:00

学习了

高歌猛进 - 2006-12-18 13:27:00

学习

高歌猛进 - 2006-12-18 13:30:00

这个东东看来极难删除

闪电风暴 - 2006-12-18 13:31:00

学习中。。。

不言放弃 - 2006-12-18 13:32:00

【回复“baohe”的帖子】
还不算是很恶劣的木马及流氓
嘿嘿

与时拒进 - 2006-12-18 15:37:00

引用:

【闪电风暴的贴子】学习中。。。
………………

0冰仔仔0 - 2006-12-18 15:49:00

学习了，谢谢猫叔
最近病毒势头有所减弱！！各位的功劳！！

猪知山 - 2006-12-18 16:10:00

学习

hotboy - 2006-12-18 17:25:00

引用:

【baohe的贴子】
谢谢提醒！
少两个字，加上了。
要是将“强制”二字误写成“强X”，那我就糗大了。
………………

强X也能解释的通,没事

yanmings - 2006-12-18 18:08:00

学习

shengdiabc - 2006-12-19 0:33:00

猫叔这两天说话很搞笑啊

我怕aaa病毒 - 2006-12-19 12:46:00

学了一手

轻松一下 - 2006-12-19 21:34:00

猫叔向你敬礼

瑞星卡卡安全论坛