12   2  /  2  页   跳转

求救!!!!!!!

收藏
lgnli
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2005-12-19
  • 来自:
发表于: 2005-12-21 20:03 | 只看楼主 短消息 资料
字号: 11楼

版主大哥:

    您好!我发觉C:\WINNT\TEMP\EF88C5.EXE这个文件会经常变换名字的,有时是GQ674C.EXE,现在又变为FZ532B,另外重启电脑还没登录进windows桌面时,是不会有http://vip1.66wo.com这个地址连接的,只要一登录进桌面就会一直有这个连接!

  我已把病毒文件压缩EMAIL给你了,请帮忙分析,多谢!
gototop
 
魔法学徒
头像
卡卡技术团队
  • 帖子:11465
  • 注册: 2004-10-03
  • 来自:
发表于: 2005-12-21 21:12 | 短消息 资料
字号: 12楼

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<system64><"C:\WINNT\system32\diskcheck.exe">
问题出在这里

建议进入安全模式,用SREng扫描并修复这一项
显示隐藏文件
然后找到如下文件并删除(如果有的话)。
C:\WINNT\system32\diskcheck.exe
C:\WINNT\system32\diskcheck.dll
C:\WINNT\system32\devenum.dll(这个比较可疑,建议查看一下属性是否为微软出品,如果不是,建议打包备份后删除)
gototop
 
lgnli
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2005-12-19
  • 来自:
发表于: 2005-12-24 10:27 | 只看楼主 短消息 资料
字号: 13楼

已搞定了,多谢!
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT