瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 求助,如何删除trojan.adclient及变种(试了一些方法,还不行)

1234   3  /  4  页   跳转

求助,如何删除trojan.adclient及变种(试了一些方法,还不行)

收藏
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-09-03 13:35 | 短消息 资料
字号: 21楼

不要着急,好象今天斑竹有事,我已经发悄悄话给他了,如果让我来看样本,手工查杀我写的肯定乱七八糟
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-03 18:44 | 短消息 资料
字号: 22楼

【回复“老冈”的帖子】
此木马禁用任务管理器,但未禁用注册表编辑器,也无注册表监控功能。

因此,手工查杀过程可从此木马的这一“软肋”入手。

1、展开:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\分支,
删除"rxhufh"="C:\\windows\\system32\\uvylvuo.exe r"
(注意:此注册表项名称及木马文件名均为随机生成)
2、重启系统。
3、删除木马创建的文件(及文件夹):
C:\windows\system32\uvylvuo.exe
C:\Documents and Settings\当前用户名\Application Data\Microsoft\Crypto
4、用RegFix和SREng修复文件关联。
gototop
 
老冈
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2004-12-17
  • 来自:
发表于: 2005-09-03 20:17 | 只看楼主 短消息 资料
字号: 23楼

谢谢baohe版主,不过我要如何打开这个呢?用注册表吗?为什么我在注册表里找不到HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\分支这一部分呢?
请您详细说说说,谢谢。
gototop
 
命运里の金色
头像
社区嘉宾
  • 帖子:11442
  • 注册: 2005-01-01
  • 来自:
发表于: 2005-09-03 20:23 | 短消息 资料
字号: 24楼

就是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-03 20:28 | 短消息 资料
字号: 25楼

引用:
【老冈的贴子】谢谢baohe版主,不过我要如何打开这个呢?用注册表吗?为什么我在注册表里找不到HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\分支这一部分呢?
请您详细说说说,谢谢。
...........................

HKLM是HKEY_LOCAL_MACHINE的缩略写法。你要展开的是——
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
gototop
 
老冈
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2004-12-17
  • 来自:
发表于: 2005-09-03 20:31 | 只看楼主 短消息 资料
字号: 26楼

谢谢版主了。我这个菜鸟要学的很多呀
gototop
 
老冈
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2004-12-17
  • 来自:
发表于: 2005-09-03 20:55 | 只看楼主 短消息 资料
字号: 27楼

谢谢楼上二位,我试过了。可是还是不行

当我删除完注册表中病毒生成的项以后,重启机器,病毒会生成一个新随机文件名的.exe文件。

进而如果我要是直接想删除病毒生成的.exe文件时,必须先停止系统中的进程,可是当我一旦停止,在windows\system32中的可执行文件也就会自动删除。导致无法彻底删除。

我也打开了C:\Documents and Settings\RL0(我的文件夹名)\Application Data\Microsoft这一目录,可是找不到Crypto这个名字的文件夹,也没有任何随机生成的文件夹存在。

还请版主费心,给处理一下我又新传上了个样本,这是最新生成的。

附件附件:

下载次数:0
文件类型:application/octet-stream
文件大小:
上传时间:2005-9-3 20:55:32
描述:
gototop
 
老冈
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2004-12-17
  • 来自:
发表于: 2005-09-03 21:32 | 只看楼主 短消息 资料
字号: 28楼

UP UP一下,问题还没有解决,哪位帮助一下呀。
gototop
 
老冈
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2004-12-17
  • 来自:
发表于: 2005-09-03 22:38 | 只看楼主 短消息 资料
字号: 29楼

UP UP
gototop
 
老冈
头像
初生襁褓狮
  • 帖子:61
  • 注册: 2004-12-17
  • 来自:
发表于: 2005-09-04 08:09 | 只看楼主 短消息 资料
字号: 30楼

顶一下,就真的没人知道了吗?
gototop
 
<<上一主题|下一主题>>
1234   3  /  4  页   跳转
页面顶部
Powered by Discuz!NT