瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 注册值表UserInit被修改为非正常值,附日志

12   2  /  2  页   跳转

注册值表UserInit被修改为非正常值,附日志

收藏
horseluke11
头像
飘泊而立狮
  • 帖子:497
  • 注册: 2006-11-13
  • 来自:
发表于: 2007-01-28 15:15 | 短消息 资料
字号: 11楼

引用:
【水树雨下的贴子】运行sreng2启动项目,服务,win32服务应用程序,勾选隐藏微软服务后删除
[Win32 Display Driver / Win32DDS][Stopped/Auto Start]
<C:\WINDOWS\system32\\rundll32.exe windds32.dll,input><Microsoft Corporation>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\\rundll32.exe windhcp.ocx,input><Microsoft Corporation>
[WinXP DHCP Service / WinXPDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\\rundll32.exe xpdhcp.dll,input><Microsoft Corporation>
重启后打开我的电脑,工具,文件夹选项,查看,显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉
删除
windds32.dll
windhcp.ocx
xpdhcp.dll
………………



呵呵,有人帮我做了

你就按照水树雨下的贴子去做吧
外加一个,删除:
C:\WINDOWS\system32\drivers\ProcServ.sys

删除不了用冰刃
下载地址:
http://www.newhua.com/soft/53325.htm


该文件相关资料:http://blog.csdn.net/changemyself/archive/2006/10/16/1336456.aspx
gototop
 
horseluke11
头像
飘泊而立狮
  • 帖子:497
  • 注册: 2006-11-13
  • 来自:
发表于: 2007-01-28 15:18 | 短消息 资料
字号: 12楼

引用:
【孤独更可靠的贴子】分析进程:
[C:\WINDOWS\system32\SYNCOR11.DLL] [SoundMAX, 1.2.3]
上面这个病毒相当活跃~
强制删除工具 PowerRMV
下载地址: http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1020456
分别填入下面的文件(包括完整的路径) ~勾选“抑止杀灭对象再次生成”,点杀灭,有找不到提示的请忽略 ~
填入C:\WINDOWS\system32\SYNCOR11.DLL,勾选“抑止杀灭对象再次生成

[C:\WINDOWS\System32\spool\PRTPROCS\W32X86\vprproc.dll] [Windows (R) 2000 DDK provider, 5.00.2195.1620]

辅助软件:

WINDOWS 清理助手
官方下载地址:http://www.arswp.com/download/arswp/arswp.rar
冰刃下载地址:
http://www.newhua.com/soft/53325.htm

………………


这两个应该不是病毒吧.......

syncor11.dll应该是SoundMax声卡驱动程序的一个文件。
vprproc.dll也似乎没有问题

tomorrow21cny 请先不要删除这两个文件
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2007-01-28 15:20 | 短消息 资料
字号: 13楼

引用:
【孤独更可靠的贴子】分析进程:
[C:\WINDOWS\system32\SYNCOR11.DLL] [SoundMAX, 1.2.3]
上面这个病毒相当活跃~
强制删除工具 PowerRMV
下载地址: http://ishare.sina.com.cn/cgi-bin/fileid.cgi?fileid=1020456
分别填入下面的文件(包括完整的路径) ~勾选“抑止杀灭对象再次生成”,点杀灭,有找不到提示的请忽略 ~
填入C:\WINDOWS\system32\SYNCOR11.DLL,勾选“抑止杀灭对象再次生成

[C:\WINDOWS\System32\spool\PRTPROCS\W32X86\vprproc.dll] [Windows (R) 2000 DDK provider, 5.00.2195.1620]

辅助软件:

WINDOWS 清理助手
官方下载地址:http://www.arswp.com/download/arswp/arswp.rar
冰刃下载地址:
http://www.newhua.com/soft/53325.htm

………………

你咋知道它是病毒哩?还相当活跃?
gototop
 
tomorrow21cny
头像
初生襁褓狮
  • 帖子:59
  • 注册: 2006-08-14
  • 来自:
发表于: 2007-01-28 15:56 | 只看楼主 短消息 资料
字号: 14楼

搜狐播放器是看搜狐网站视频的时候提示安装的,不安不能看,汗
gototop
 
tomorrow21cny
头像
初生襁褓狮
  • 帖子:59
  • 注册: 2006-08-14
  • 来自:
发表于: 2007-01-28 16:33 | 只看楼主 短消息 资料
字号: 15楼

运行sreng2启动项目,服务,win32服务应用程序,勾选隐藏微软服务后删除
[Win32 Display Driver / Win32DDS][Stopped/Auto Start]
<C:\WINDOWS\system32\\rundll32.exe windds32.dll,input><Microsoft Corporation>
[Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\\rundll32.exe windhcp.ocx,input><Microsoft Corporation>
[WinXP DHCP Service / WinXPDHCPsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\\rundll32.exe xpdhcp.dll,input><Microsoft Corporation>
重启后打开我的电脑,工具,文件夹选项,查看,显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉删除
windds32.dll
windhcp.ocx
xpdhcp.dll


照做了,就是
windds32.dll
windhcp.ocx
xpdhcp.dll这三个怎么都找不到啊,显示了受保护文件,搜索不到也删不了,这个有问题吗?
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2007-01-28 16:34 | 短消息 资料
字号: 16楼

找不到运行winrar找
gototop
 
tomorrow21cny
头像
初生襁褓狮
  • 帖子:59
  • 注册: 2006-08-14
  • 来自:
发表于: 2007-01-28 16:40 | 只看楼主 短消息 资料
字号: 17楼

现在防火墙可以自动启动了
重新用SRE进启动项目还是显示:"警告!注册值表UserInit被修改为非正常值,对XP或更高版本,默认值似于:C:\WINDOWS\SYSTEM32\UserInit.EXE,请检测你系统中可能存在的计算机病毒" UserInit是红色显示的,还有什么问题吗?
gototop
 
水树雨下
头像
横据古稀狮
  • 帖子:8397
  • 注册: 2006-07-26
  • 来自:
发表于: 2007-01-28 16:41 | 短消息 资料
字号: 18楼

UserInit.EXE后边加一逗号“,“SRE启动项里编辑
gototop
 
tomorrow21cny
头像
初生襁褓狮
  • 帖子:59
  • 注册: 2006-08-14
  • 来自:
发表于: 2007-01-28 16:49 | 只看楼主 短消息 资料
字号: 19楼

后面有逗号的哈~
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT