求助，backdoor.rwx.2005.fq病毒无法完全删除

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛求助，backdoor.rwx.2005.fq病毒无法完全删除

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

123 4 5

2 / 5 页

跳转页

Grampus 初生襁褓狮帖子:29 注册: 2006-12-30 来自:	发表于： 2007-01-07 18:00 \| 只看楼主短消息资料字号：小中大 11楼 ================================== 文件关联 .TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .EXE OK. ["%1" %] .COM OK. ["%1" %] .PIF OK. ["%1" %] .REG OK. [regedit.exe "%1"] .BAT OK. ["%1" %] .SCR OK. ["%1" /S] .CHM OK. ["C:\WINDOWS\hh.exe" %1] .HLP OK. [%SystemRoot%\System32\winhlp32.exe %1] .INI Error. [UltraEdit.ini] .INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .JS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .LNK OK. [{00021401-0000-0000-C000-000000000046}]
Grampus 初生襁褓狮帖子:29 注册: 2006-12-30 来自:

红夜鬼1 横据古稀狮帖子:8602 注册: 2006-10-18 来自:	发表于： 2007-01-07 18:40 \| 短消息资料字号：小中大 12楼运行SREng2,使用“启动项目”－－注册表－－删除 C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp 运行(双击)SRENG2，点“启动项目，服务，点“Win32服务应用程序” 勾选“隐藏微软服务”选中病毒服务 4AF3DC8F 89634F56 ，选择“删除服务” 点“设置”选择“否” 重启按F８进入安全模式下显示隐藏文件删除： C:\WINDOWS\system32\4AF3DC8F.EXE :\WINDOWS\system32\89634F56.EXE C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.wmp 不明文件 C:\WINDOWS\system32\webcxml.exe
红夜鬼1 横据古稀狮帖子:8602 注册: 2006-10-18 来自:

Grampus 初生襁褓狮帖子:29 注册: 2006-12-30 来自:	发表于： 2007-01-08 18:22 \| 只看楼主短消息资料字号：小中大 13楼多谢“红夜鬼1”大侠，这名起的，起鸡皮疙瘩了启动项SysInfo.wmp删除了删除了服务项4AF3DC8F.exe、89634F56.exe、webcxml.exe 按照上述操作，在安全模式下没找到相应的三个文件，找到一个SysInfo.dll，顺手干掉了重启，瑞星扫描仍发现病毒，还需要大家的帮助！
Grampus 初生襁褓狮帖子:29 注册: 2006-12-30 来自:

鸟儿天上飞叱咤花甲狮帖子:2332 注册: 2006-11-30 来自:	发表于： 2007-01-08 18:34 \| 短消息资料字号：小中大 14楼补充: 删了这个启动项 <{1A404685-7563-4d02-B0F6-58B308A406A9}><c:\program files\rising\rav\gyciulfb.dll> [N/A] 删除指项文件
鸟儿天上飞叱咤花甲狮帖子:2332 注册: 2006-11-30 来自:

横据古稀狮

帖子:8602
注册: 2006-10-18
来自:

发表于： 2007-01-08 18:38 | 短消息资料

字号：小中大 15楼

引用:

【Grampus的贴子】多谢“红夜鬼1”大侠，这名起的，起鸡皮疙瘩了

启动项SysInfo.wmp删除了
删除了服务项4AF3DC8F.exe、89634F56.exe、webcxml.exe
按照上述操作，在安全模式下没找到相应的三个文件，找到一个SysInfo.dll，顺手干掉了

重启，瑞星扫描仍发现病毒，还需要大家的帮助！
………………

病毒路径和文件名

Grampus 初生襁褓狮帖子:29 注册: 2006-12-30 来自:	发表于： 2007-01-10 08:30 \| 只看楼主短消息资料字号：小中大 16楼病毒名为：Backdoor.RWX.2005.fq 路径：C:\program files\internet explorer\IEXPLORE.EXE 文件名：IEXPLORE.EXE 可以确定文件名中间那个O为大写的字母O，而非数字0
Grampus 初生襁褓狮帖子:29 注册: 2006-12-30 来自:

强壮不惑狮

帖子:1076
注册: 2006-11-11
来自:蓝迪亚斯

发表于： 2007-01-10 08:38 | 短消息资料

字号：小中大 17楼

引用:

【鸟儿天上飞的贴子】补充:
删了这个启动项
<{1A404685-7563-4d02-B0F6-58B308A406A9}><c:\program files\rising\rav\gyciulfb.dll> [N/A]
删除指项文件
………………

这个不是瑞星的吗/?为什么要删啊
不解

afkp4e7 叱咤花甲狮帖子:2684 注册: 2006-12-01 来自:	发表于： 2007-01-10 08:47 \| 短消息资料字号：小中大 18楼在瑞星目录里的东西不一定就是瑞星的文件假的
afkp4e7 叱咤花甲狮帖子:2684 注册: 2006-12-01 来自:

xiaoyueIQ 强壮不惑狮帖子:1076 注册: 2006-11-11 来自:蓝迪亚斯	发表于： 2007-01-10 08:51 \| 短消息资料字号：小中大 19楼恩..学习了可是gyciulfb.dll这个又是什么啊怎么看出来的啊??
xiaoyueIQ 强壮不惑狮帖子:1076 注册: 2006-11-11 来自:蓝迪亚斯

afkp4e7 叱咤花甲狮帖子:2684 注册: 2006-12-01 来自:	发表于： 2007-01-10 08:55 \| 短消息资料字号：小中大 20楼瑞星不会用这种加载方式文件名没有规律可能是八位随机字母
afkp4e7 叱咤花甲狮帖子:2684 注册: 2006-12-01 来自:

<<上一主题|下一主题>>

123 4 5

2 / 5 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 求助，backdoor.rwx.2005.fq病毒无法完全删除

求助，backdoor.rwx.2005.fq病毒无法完全删除

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛求助，backdoor.rwx.2005.fq病毒无法完全删除