123   2  /  3  页   跳转

大虾近来帮忙看下啊.

收藏
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-02 14:28 | 短消息 资料
字号: 11楼

呵呵,果然厉害,插入进程的灰鸽子+C:\PROGRA~1\svhost32.exe木马+插入进程的C:\WINDOWS\system32\ztdll.dll+插入进程和修改注册表的C:\BENQ\
楼主的机子中毒颇深,解决方法请稍等。
gototop
 
dsasdasdsdad
头像
初生襁褓狮
  • 帖子:63
  • 注册: 2006-05-02
  • 来自:
发表于: 2006-05-02 14:33 | 只看楼主 短消息 资料
字号: 12楼

我倒~~~~5555555555555555.
谢谢了.麻烦你了.
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-02 14:40 | 短消息 资料
字号: 13楼

【操作参考】
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载后打开IceSword
在工具栏中点击--文件--设置
勾选“禁止进线程创建”
然后结束【除下面进程以外的其它进程】:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe

开始--运行
输入regedit
确定
进入注册表

修改
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,C:\BENQ\IEXPLORE.EXE>

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,>

展开[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
删除此项(项名应为internetrfire)
[taskmerinternetr / internetrfire]
<C:\WINDOWS\taskmer.exe><N/A>

展开
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
删除此键:
<load><C:\PROGRA~1\svhost32.exe>

删除以下文件:
C:\BENQ\文件夹
C:\PROGRA~1\svhost32.exe
C:\WINDOWS\system32\ztdll.dll
C:\WINDOWS\taskmer.exe
C:\WINDOWS\taskmer.dll
C:\WINDOWS\taskmerKey.dll
C:\WINDOWS\taskmer_hook.dll(如果有的话)

【提示】
若文件找不到或无法删除文件
打开我的电脑
在工具栏中点击--工具--文件夹选项--查看
勾选“显示所有文件及文件夹”
同时把“隐藏受保护的操作系统文件(推荐)”前的勾去掉
然后再进行查找一下

确认以上步骤全部做完之后,再把“禁止进线程创建”的勾取消。

以上是灰鸽子和木马的处理方法,还有一些流氓软件和广告软件,为不增加楼主的负担,在下一帖再列出。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-02 14:54 | 短消息 资料
字号: 14楼

其他流氓软件和广告插件的处理方法:
关闭浏览器和其他一些不必要的程序,用HijackThis修复:
O2 - BHO: QuickBtn - {1A199C20-DE2B-4838-AE3F-B5257ECE2B7E} - C:\Program Files\CoolWebsite\QuickLink.dll
O2 - BHO: NewWeb Controller - {9ACEEE30-143F-471A-AA45-72B061FE7D60} - C:\WINDOWS\system32\WinSC.dll
O4 - HKLM\..\Run: [Update] C:\Program Files\Common Files\UPDAT\Update.exe
O9 - Extra button: 实用网址导航 - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:\Program Files\CoolWebsite\QuickLink.dll

控制面板-性能与维护-管理工具-服务,找到Internet Protect Service→双击→启动类型→禁止→停止→应用→确定。终止Internet Protect Service这个服务。
在注册表展开
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services]
删除此项(项目名一般为8NASCAR)
[Internet Protect Service / 8NASCAR]
<C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL,Export 1087><N/A>

卸载C:\Program Files\CoolWebsite\

在硬盘中删除:

C:\Program Files\CoolWebsite\文件夹
C:\WINDOWS\system32\WinSC.dll
C:\Program Files\Common Files\UPDAT\文件夹
C:\WINDOWS\SYSTEM32\WBEM\IRJIT.DLL

如正常模式下删不掉就进入安全模式下删。
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-02 14:56 | 短消息 资料
字号: 15楼

另外,提醒楼主,也可以说是警告楼主,没有装防火墙的系统是十分危险的,楼主之所以会中毒,与没装防火墙脱不了关系。
gototop
 
求解决办法
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2006-05-02
  • 来自:
发表于: 2006-05-02 14:57 | 短消息 资料
字号: 16楼

这位大哥,这个问题这么复杂放在后面吧
请把我那个告诉我下...N简单的问题(就是我不明白)
gototop
 
dsasdasdsdad
头像
初生襁褓狮
  • 帖子:63
  • 注册: 2006-05-02
  • 来自:
发表于: 2006-05-02 15:20 | 只看楼主 短消息 资料
字号: 17楼

老大,太麻烦了吧~~我搞不好啊,有没有简单点的方法,.我刚去弄了,一结束进程就死机了啊,在就重新启动啊.怎么搞的啊,555555555555555555我很菜
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-02 15:50 | 短消息 资料
字号: 18楼

晕倒……
你没有看清楚啊?是结束除了列出来的进程之外的其他进程!列出来的基本都是系统核心进程,当然不能结束了。
gototop
 
dsasdasdsdad
头像
初生襁褓狮
  • 帖子:63
  • 注册: 2006-05-02
  • 来自:
发表于: 2006-05-02 16:10 | 只看楼主 短消息 资料
字号: 19楼

我是按照你说的做的啊,还是不行啊
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-02 16:41 | 短消息 资料
字号: 20楼

你结束的是哪个进程啊?
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT