僧闲呱呱 - 2007-1-7 12:54:00
1月4日中午一进UC的电脑医生房间,卡巴斯基就报了病毒,但无法删除.于是赶紧去安全模式下清理了UC的临时文件和IE临时文件夹,回到正常模式卡巴斯基还是报了毒,感觉有问题,又去安全模式进行了全盘扫描,没有报毒.
查查进程,发现于个叫ltnward.exe的陌生进程,并且在系统盘system32下有ltnward.exe和ltnwardl.dll文件,在Prefetch文件夹下有个LTNWARD.EXE-382FD329.pf文件.
注册表编辑器里多了
一、[HKEY_CLASSES_ROOT\CLSID\{2709089A-DCD8-4a03-865F-08207179FD08}]
@="C:\\WINDOWS\\system32\\ltnwardl.dll"
二、[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}]
"UseSearchOptions"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\ContainingTextMRU]
"000"="ltnward"
"001"="ltn"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]
"000"="ltn"
三、[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
下多了"C:\\WINDOWS\\system32\\ltnward.exe"="ltnward 应用程序"一项
四、[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\360Disabled]
"ltnward"="rem C:\\WINDOWS\\system32\\ltnward.exe"
这么四项.
请大家懂行的看下这是不是病毒 有关文件和注册表都做有备份的 如有需要研究的可以联系QQ3915240
天之尘 - 2007-1-7 13:40:00
是不是这东西啊
http://forum.ikaka.com/topic.asp?board=28&artid=8246040
附件:
460366200717133153.jpg
UFO不幸外人 - 2007-1-7 13:53:00
是啊 比较可疑,哈哈哈
上报瑞星看看是不是病毒,是不是让他们决定,在咱们手里肯定是可以程序
发给我一份:1987noodle0158@sina.com
deadmanzj - 2007-1-7 14:04:00
瑞星不报的话可以拿来看看!!哈哈,特殊渠道上报!
天之尘 - 2007-1-7 21:04:00
可是为什么楼主是在系统目录下发现的呢,而我是在星空急速目录下发现的啊,而且ltnwardl.dll还被报毒了。可以看看我的帖子http://forum.ikaka.com/topic.asp?board=28&artid=8246040
© 2000 - 2026 Rising Corp. Ltd.