12   2  /  2  页   跳转

求助:灰鸽子变种

收藏
现在进行时
头像
锋芒艾服狮
  • 帖子:1837
  • 注册: 2005-06-24
  • 来自:
发表于: 2005-08-22 21:10 | 短消息 资料
字号: 11楼

引用:
【现在进行时的贴子】O23 - NT 服务: svchost.exe (system) - Unknown owner - C:\WINNT\svchost.exe
这项就是灰鸽子的服务项.,先在注册表里把它删除了.再在WINNT文件夹下打svchost.exe  svchost.dll  svchost_hook.dll,删除.

服务的位置HKEY_LOCAL_MACHINE\ SYSTEM \ CURRENTCONTROLSET \ SERVICES找svchost.exe删除



...........................

你再打一下,svchostkey.dll有没有,有就删除都在WINNT文件夹下.
gototop
 
现在进行时
头像
锋芒艾服狮
  • 帖子:1837
  • 注册: 2005-06-24
  • 来自:
发表于: 2005-08-22 21:12 | 短消息 资料
字号: 12楼

实在不行,就把瑞星升到最新版本,在DOS下杀吧,瑞星现在能杀掉它变种.
gototop
 
碎片
头像
初生襁褓狮
  • 帖子:32
  • 注册: 2005-04-14
  • 来自:
发表于: 2005-08-22 21:13 | 只看楼主 短消息 资料
字号: 13楼

我试一下,谢谢~
gototop
 
碎片
头像
初生襁褓狮
  • 帖子:32
  • 注册: 2005-04-14
  • 来自:
发表于: 2005-08-22 21:19 | 只看楼主 短消息 资料
字号: 14楼

我找了注册表下面没有那一项,我在服务里已经把那个禁用了
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-08-22 21:23 | 短消息 资料
字号: 15楼

你可以在注册表,编辑-查找,C:\WINNT\svchost.exe
找到这个所在的项,删除
gototop
 
碎片
头像
初生襁褓狮
  • 帖子:32
  • 注册: 2005-04-14
  • 来自:
发表于: 2005-08-22 21:40 | 只看楼主 短消息 资料
字号: 16楼

谢谢,重起后,捆绑得那个IE进程已经没了,用瑞星扫描了一下内存和引导区也没病毒了,可是那个SVCHOST得进程还是有得~我怎么记得,很久以前这个进程就有了啊??这是怎么回事?
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-08-22 21:52 | 短消息 资料
字号: 17楼

SVCHOST,这个在system32下为正常
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT