12345   3  /  5  页   跳转

瑞星防火墙怎么了

收藏
墨线墨线
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2006-05-28
  • 来自:
发表于: 2006-05-28 11:26 | 只看楼主 短消息 资料
字号: 21楼

瑞星刚杀了这么个病毒,有可能是它么?

附件附件:

下载次数:181
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-28 11:26:07
描述:
预览信息:EXIF信息
gototop
 
墨线墨线
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2006-05-28
  • 来自:
发表于: 2006-05-28 12:22 | 只看楼主 短消息 资料
字号: 22楼

人呢?我这都弄完了,高手们啊~哪去了?
gototop
 
墨线墨线
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2006-05-28
  • 来自:
发表于: 2006-05-28 17:45 | 只看楼主 短消息 资料
字号: 23楼

大家伙儿出出主意啊~谢了先~
gototop
 
墨线墨线
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2006-05-28
  • 来自:
发表于: 2006-05-28 20:49 | 只看楼主 短消息 资料
字号: 24楼

唉~一天了,怎么办啊~还是没有解决~
gototop
 
我无邪
头像
高贵耄耋狮
  • 帖子:20720
  • 注册: 2004-06-10
  • 来自:广西玉林
发表于: 2006-05-28 22:16 | 短消息 资料
字号: 25楼

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<ToP><C:\WINDOWS\LSASS.exe>
这个很牛逼的
请看以下这个帖子
http://forum.ikaka.com/topic.asp?board=28&artid=7828861
C:\WINDOWS\LSASS.exe
这是个针对瑞星的木马。估计你的瑞星防火墙得重装了(rfwcfg.exe被改写了)。
————————————————

木马Trojan.Agent.awa的手工查杀流程:

1、断开网络连接。关闭瑞星杀软及瑞星防火墙(已被木马进程插入)。
2、结束木马进程C:\windows\LSASS.EXE。
3、删除木马文件(见附图)
4、重启。清理注册表:
先将RegFix或SREng的后缀改为.com 或.bat,再运行之。(恢复HKEY_CLASSES_ROOT\.exe的键值)。
展开:HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开:HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开:HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" -nohome"
展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}"
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Top
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0
gototop
 
我无邪
头像
高贵耄耋狮
  • 帖子:20720
  • 注册: 2004-06-10
  • 来自:广西玉林
发表于: 2006-05-28 22:16 | 短消息 资料
字号: 26楼

先解决了流氓软件,它们能让你的IE弹出窗口
关闭所有浏览窗口以及一些不必要的程序
运行System Repair Engineer,使用“系统修复,浏览器加载项”来删除以下选项。
IjsKhcbf Class]
{8975901B-7C62-B825-EA6C-AF3CA7F3337C} <C:\WINDOWS\DOWNLO~1\vqrufx.dll, cbjjisoft>
[Internet_Explorer_Service]
{9E1E1371-9D8F-4421-81B9-F8D2E1773A59} <C:\WINDOWS\system32\HelperService.dll, N/A
[系统标准按钮(&E)]
{6B2455FD-3669-4555-8DF8-69FD5BC846F8} <C:\WINDOWS\system32\SystemToolbar.dll, N/A>
[pcastup Class]
{87CCFDB0-C4BE-4BC2-A78C-9EAA7CF96667} <C:\WINDOWS\Downloaded Program Files\vodupdate.dll, N/A>
gototop
 
墨线墨线
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2006-05-28
  • 来自:
发表于: 2006-05-29 01:09 | 只看楼主 短消息 资料
字号: 27楼

我的windows里没有LSASS.EXE这个文件啊,估计不是这个病毒在作怪,再看看是不是别的问题吧~主要的问题就是防火墙不能启用~
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-29 01:12 | 短消息 资料
字号: 28楼

引用:
【墨线墨线的贴子】我的windows里没有LSASS.EXE这个文件啊,估计不是这个病毒在作怪,再看看是不是别的问题吧~主要的问题就是防火墙不能启用~
...........................

[PID: 1468][C:\WINDOWS\LSASS.exe] <newPage><0.00.0066>
嘿嘿,没有这个文件,那这一项又是哪冒出来的?!
防火墙不能启动正是这一项的问题,它直接修改了防火墙的程序!
好好参考http://forum.ikaka.com/topic.asp?board=28&artid=7828861
gototop
 
墨线墨线
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2006-05-28
  • 来自:
发表于: 2006-05-29 01:34 | 只看楼主 短消息 资料
字号: 29楼

是在WINDOWS的文件夹里还是WINDOWS的目录下啊?我真的找不到啊~
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-05-29 01:38 | 短消息 资料
字号: 30楼

C:\WINDOWS\LSASS.exe
C盘下有个WINDOWS文件夹,打开文件夹里面有LSASS.exe,这个路径意思总应该明白吧?!

如果文件找不到
打开我的电脑
在工具栏中点击--工具--文件夹选项--查看
勾选“显示所有文件及文件夹”
同时把“隐藏受保护的操作系统文件(推荐)”前的勾去掉
然后再查找
gototop
 
<<上一主题|下一主题>>
12345   3  /  5  页   跳转
页面顶部
Powered by Discuz!NT