12   2  /  2  页   跳转

类似熊猫烧香

收藏
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2007-03-01 17:52 | 短消息 资料
字号: 11楼

C:\WINDOWS\msccrt.exe
C:\WINDOWS\rund1132.exe
找到 加密码123发到
zhz010266@njude.com.cn


同时传一个感染成这个头像的 文件

此 照片好熟悉
gototop
 
Enao2005
头像
版主
  • 帖子:2112
  • 注册: 2004-12-02
  • 来自:
发表于: 2007-03-01 18:25 | 短消息 资料
字号: 12楼

找到下面的文件复制到桌面,用RAR压缩,传给我 QQ:510704033或enao@people.com.cn 麻烦你了
C:\WINDOWS\mhs3.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\rund1132.exe

修复
O4 - 启动项HKLM\\Run: [msccrt] C:\WINDOWS\msccrt.exe
O4 - HKCU\..\Run: [ravshell] C:\WINDOWS\rund1132.exe
O4 - 启动项HKLM\\RunOnce: [360safeuninst] C:\DOCUME~1\123\LOCALS~1\Temp\REMOVE~1.BAT
O20 - Winlogon Notify: cmdmant - msgcom.dll (file missing)

用SRENG删除服务
O23 - NT 服务: 8B5709D0
O23 - NT 服务: 9BA744D0
O23 - NT 服务: CD3AE0C8

安全模式下操作如下
删除
C:\WINDOWS\mhs3.exe
C:\WINDOWS\msccrt.exe
C:\WINDOWS\rund1132.exe

清空C:\DOCUME~1\123\LOCALS~1\Temp\下文件

打开注册表(开始--运行--REGEDIT)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
创建msccrt.exe为名的子项

子项中创建子键
"Debugger"="C:\WINDOWS\msccrt.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]
创建rund1132.exe为名的子项

子项中创建子键
"Debugger"="C:\WINDOWS\rund1132.exe"
gototop
 
lym800
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2007-03-01
  • 来自:
发表于: 2007-04-29 10:10 | 只看楼主 短消息 资料
字号: 13楼

我重装过系统了,,C盘倒是没什么了,其他的盘那些个头像还在,,,上面所说的这些进程也没有了~~~
gototop
 
桃子CiCi
头像
飘泊而立狮
  • 帖子:547
  • 注册: 2007-01-30
  • 来自:
发表于: 2007-04-29 10:50 | 短消息 资料
字号: 14楼

重装后不要运行任何有此图标的文件
gototop
 
桃子CiCi
头像
飘泊而立狮
  • 帖子:547
  • 注册: 2007-01-30
  • 来自:
发表于: 2007-04-29 10:57 | 短消息 资料
字号: 15楼

11楼的,能问一下为什么要创建两个子项吗?
gototop
 
taylor05771
头像
社区嘉宾
  • 帖子:7232
  • 注册: 2003-12-24
  • 来自:
发表于: 2007-04-29 11:00 | 短消息 资料
字号: 16楼

王云禾 超级感染者(蠕虫)
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT