有日志，请帮忙看下出什么问题勒谢谢 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛有日志，请帮忙看下出什么问题勒谢谢

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 23

3 / 3 页

跳转页

有日志，请帮忙看下出什么问题勒谢谢

TMYY86224 初生襁褓狮帖子:87 注册: 2006-08-25 来自:	发表于： 2006-10-09 00:35 \| 只看楼主短消息资料字号：小中大 21楼 systems.exe和这个Remote Managements Instrumenta 映像路径C:\WINNT\system32\netstart.exe删除了后重新启动了又会出现，还有我用反间谍专家查杀到恶意代码：“1个注册表RUN项位置是 ...\CurrentVersion\Run\webservice ; SYSTEMS.EXE 描述：自动运行的木马程序！无法修复
TMYY86224 初生襁褓狮帖子:87 注册: 2006-08-25 来自:

我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林	发表于： 2006-10-09 00:38 \| 短消息资料字号：小中大 22楼烦把它们找到，用WINRAR打包，发到我的邮箱twtxk@126.com谢谢天晚了，明日再来。
我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林

我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林	发表于： 2006-10-10 22:37 \| 短消息资料字号：小中大 23楼看一下我百度来的清除systems.exe2006年09月11日星期一 04:16Win32.Troj.Clicker.pa 病毒别名：处理时间：2006-09-06 威胁级别：★ 中文名称：病毒类型：木马影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为: 弹出网页http://vod.mmdy.org/ 禁用注册表该病毒为windows平台下的集于下载其它病毒、修改主页和后台访问指定网站的复合型病毒，病毒运行后复制自身为多个伪系统正常程序，并将自身安装成伪系统正常服务，以使用户更难以发觉。同时病毒未经用户允许强制修改用户IE主页；网络可用时病毒尝试访问特定的网站，并通过网络进行病毒的自我更新操作。造成用户机器不稳定。病毒主要通过捆绑软件和欺骗方式进行传播。 1、复制自身为以下伪系统正常文件: %Windir%\system32\netstart.exe %Windir%\system32\regshell.exe %Windir%\system32\inetesvr.exe %Windir%\system32\INTasks.exe %Windir%\system32\lsas.exe %Windir%\system32\svchest.exe %Windir%\system32\service.exe 2、生成以下相关文件: %Windir%\system32\winpub.reg %Windir%\system32\deleteme.bat %Windir%\systems.exe 3、写入以下注册表项: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{340121DC-1BEF-1A77-0106-060207060704}] "StubPath" = "%Windir%\system32\regshell.exe" [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] "webService" = "%Windir%\systems.exe" 4、添加如下伪系统正常服务，使病毒开机后自动运行: 服务名: Remss_Ser 显示名称: Remote Managements Instrumenta 描述: 管理局域网和远程连接。如果此服务被禁用，任何依赖它的服务将无法启动。　路径: C:\WINNT\System32\netstart.exe -service 启动方式: 自动 5、删除以下注册表键: [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{340121DC-1BEF-1A77-0106-060207060704}] 6、系统为WinNT/2k/xp/2003时，病毒通过查找窗体类名为:"Shell_TrayWnd" 的方式定位explorer进程，然后通过explorer访问相关网站并进行病毒更新。 7、病毒通过修改以下注册表项强制设置用户ie主页: [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Local Page" = "http://vod.mmdy.org" "Start Page" = "http://vod.mmdy.org" 8、运行如下相关命令访问相关的网站页面: Explorer.exe http://vod.mmdy.org/ Explorer.exe http://vod.mmdy.org/news Explorer.exe http://vod.mmdy.org/goodvip Explorer.exe http://vod.mmdy.org/mm Explorer.exe http://vod.mmdy.org/mp3 Explorer.exe http://vod.mmdy.org/sp Explorer.exe http://vod.mmdy.org/yx Explorer.exe http://vod.mmdy.org/zz 9、病毒同时通过以下链接进行病毒的自我更新操作: http://vod.mmdy.org/guest.exe 10、病毒通过修改以下注册表项使用户中毒后无法打开注册表编辑器: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] "DisableRegistryTools"=dword:00000001 11、同时病毒修改注册以下项目的使用户无法在IE设置中修改主页: [HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel] "HomePage"=dword:00000001 "Settings"=dword:00000001 "Links"=dword:00000001 "SecAddSites"=dword:00000001
我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林

<<上一主题|下一主题>>

1 23

3 / 3 页

跳转页

页面顶部

Powered by Discuz!NT