mmbeamm - 2008-5-19 23:13:00
附件: SREngLOG.log (2008-5-19 23:12:48, 45.42 K)
该附件被下载次数 94
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
豪斯登堡新郎 - 2008-5-20 0:31:00
c:\windows\system32\a1cc1.exe
c:\windows\system32\kernel32.sys
c:\program files\海尔速启通\海尔速启通.exe
c:\windows\soundman.exe
c:\windows\system32\drivers\bdguard.sys
2.删除重启后使用SREng修复下面各项:
启动项目 -- 注册表之如下项删除:
注意该项[AppInit_DLLs]修改:把<kernel32.sys,ieprot.dll>修改为<>即清空
[8751bol]
[SoundMan]
启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
[NetBI0S / NetBI0S]
启动项目 -- 服务-- 驱动程序之如下项删除:
[BdGuard / BdGuard]
上面蓝色部分 自己确认下是什么东西 因为他的注册表键值名字起的怪
姑苏残月 - 2008-5-20 11:15:00
奇怪的日志。怀疑EXE被感染了。
mmbeamm - 2008-5-20 14:32:00
请问[AppInit_DLLs]修改:把<kernel32.sys,ieprot.dll>修改为<>即清空,是把该项删除吗?
另 SREng提示:UIHOST logonui,exe的值和原设置不一致,需要改吗?怎么操作?
mmbeamm - 2008-5-20 14:36:00
Trojan.DL.Win32.Mnless.acf,所在的路径是C:\WINDOWS\i07.exe>>$SYSDIR\inf\mscomfix128.exe>>TOHA 和C:\WINDOWS\g07.exe>>$SYSDIR\inf\mscomfix128.exe>>TOHA
天月来了 - 2008-5-20 14:39:00
这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip删除:
C:\WINDOWS\i07.exe
C:\WINDOWS\g07.exe
姑苏残月 - 2008-5-20 14:54:00
mmbeamm - 2008-5-20 15:05:00
在C:\System Volume Information\_restore{EB64E17A-F156-4AA0-8E97-B0E43410E362}\RP1
WINDOW的两个都删除了,又查杀一次,才发现在上列中有两个还存在
mmbeamm - 2008-5-20 15:11:00
刚刚用了费尔,但它提示说C:\System Volume Information\_restore{EB64E17A-F156-4AA0-8E97-B0E43410E362}\RP1
是不正确的文件名,可瑞星的提示就是这个,我粘贴过去的,还能用费尔解决这个毒吗?
天月来了 - 2008-5-20 15:11:00
关闭系统还原
你在删除那两个文件时,系统还原备份了他们。
天月来了 - 2008-5-20 15:12:00
原帖由 姑苏残月 于 2008-5-20 14:54:00 发表
人家不是在6楼说了么???:default3:
姑苏残月 - 2008-5-20 15:13:00
原帖由
天月来了 于 2008-5-20 15:12:00 发表
原帖由 姑苏残月 于 2008-5-20 14:54:00 发表
人家不是在6楼说了么???:default3:
没注意看,只记得日志中没有了。睡觉,最近睡眠不足,都丑了。
© 2000 - 2026 Rising Corp. Ltd.