瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【木马查杀】★★★★☆☆关于MMSAssist彩信通的清除方法☆☆★★★★

12345678   7  /  8  页   跳转

【木马查杀】★★★★☆☆关于MMSAssist彩信通的清除方法☆☆★★★★

收藏
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-27 09:42 | 只看楼主 短消息 资料
字号: 61楼

引用:
【撒苦辣啦的贴子】老大,我按你说的全都做了,但是还是杀不掉.怎么办.
文件是可以删除的,但是删除不入回收站,奇怪
删除后刷新目录立马再现.
而且会调用rundll32.exe 来调用这个dll,访问一个网站:

详细内容2006-07-26 20:10:32, 系统禁止本地rundll32.exe连接网络的请求,地址为:TCP, 0.0.0.0:1076 => 221.238.198.58:80[WEB网页]程序名称为:C:\WINDOWS\system32\rundll32.exe

...........................

答:IceSword与Killbox的删除文件是彻底删除,不经过回收站.
我说过,如果不管用,请安装system safety monitor禁止DLL注入,你做了吗?
gototop
 
撒苦辣啦
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2006-07-26
  • 来自:
发表于: 2006-07-27 11:22 | 短消息 资料
字号: 62楼

呵呵,你说的步骤每一步都做了,就是去不了.

关于入回收站,我是手工删除的,不是用工具删除的,手工删除不入回收站,是很奇怪的事情.
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-27 16:10 | 只看楼主 短消息 资料
字号: 63楼

引用:
【撒苦辣啦的贴子】呵呵,你说的步骤每一步都做了,就是去不了.

关于入回收站,我是手工删除的,不是用工具删除的,手工删除不入回收站,是很奇怪的事情.
...........................

用SSM设定规则后要"应用设定",否则没用
gototop
 
华盟☆小敏
头像
初生襁褓狮
  • 帖子:824
  • 注册: 2006-05-06
  • 来自:
发表于: 2006-07-30 17:04 | 短消息 资料
字号: 64楼

gototop
 
Tealady
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2006-07-31
  • 来自:
发表于: 2006-07-31 11:43 | 短消息 资料
字号: 65楼

樓主, 可以看看我的record, 是否也要跟你的方法冊呢?

Logfile of HijackThis v1.99.1
Scan saved at 上午 07:20:43, on 2006/7/29
Platform: Windows 2000  (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\rundll32.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\windowsantivirus.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\Explorer.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\System32\Rtvcan.exe
C:\WINNT\System32\Windows-spyware.exe
C:\WINNT\System32\internat.exe
C:\Program Files\MSNShell\Bin\MSNShell.exe
C:\WINNT\System32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrator\桌面\HijackThis.exe

O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O3 - Toolbar: @msdxmLC.dll,-1@1028,收音機[&R] - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [nod32kui] C:\Program Files\Eset\nod32kui.exe /WAITSERVICE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Rtvcan] C:\WINNT\System32\Rtvcan.exe
O4 - HKLM\..\Run: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\magicset\srrest.exe /autosave
O4 - HKLM\..\RunServices: [Windows spyware remover] Windows-spyware.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [MSNShell] C:\Program Files\MSNShell\Bin\MSNShell.exe autorun
O8 - Extra context menu item: >>粗陓楷冞<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - Extra 'Tools' menuitem: 粗E儕鍾扢离 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/24d7 ... zip/RdxIE601_tw.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wind ... e.cab?1134312575546
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/micr ... e.cab?1145170297703
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://www.popcap.com/games/popcaploader_v6.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Program Files\Eset\nod32krn.exe
O23 - Service: windowsantivirus.exe - Unknown owner - C:\WINNT\windowsantivirus.exe
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-31 15:17 | 只看楼主 短消息 资料
字号: 66楼

O23 - Service: windowsantivirus.exe - Unknown owner - C:\WINNT\windowsantivirus.exe
灰鸽子木马
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-31 15:18 | 只看楼主 短消息 资料
字号: 67楼

O4 - HKLM\..\Run: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\RunServices: [Windows spyware remover] Windows-spyware.exe
木马,把这三个文件用WinRAR打包,加密123,发到kxzhmc500@sina.com
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-31 15:18 | 只看楼主 短消息 资料
字号: 68楼

MMSAssist可以用超级兔子删除
gototop
 
Tealady
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2006-07-31
  • 来自:
发表于: 2006-07-31 17:43 | 短消息 资料
字号: 69楼

引用:
【闪电风暴的贴子】MMSAssist可以用超级兔子删除
...........................


我試過用了好幾次啊, 但仍然刪不了, 還存在呢~
gototop
 
Tealady
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2006-07-31
  • 来自:
发表于: 2006-07-31 17:44 | 短消息 资料
字号: 70楼

引用:
【闪电风暴的贴子】O4 - HKLM\..\Run: [Windows spyware remover] Windows-spyware.exe
O4 - HKLM\..\RunServices: [Windows spyware remover] Windows-spyware.exe
木马,把这三个文件用WinRAR打包,加密123,发到kxzhmc500@sina.com
...........................


怎樣加密??不懂啊
gototop
 
<<上一主题|下一主题>>
12345678   7  /  8  页   跳转
页面顶部
Powered by Discuz!NT