12   2  /  2  页   跳转

expl0re.exe怎么杀呀?

收藏
冥海鲲鹏
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2007-03-04
  • 来自:
发表于: 2007-03-04 12:56 | 只看楼主 短消息 资料
字号: 11楼

[C:\Program Files\Thunder Network\Thunder\Program\msgmanage.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 15]
    [C:\Program Files\Thunder Network\Thunder\Program\historyinfo_manage.dll]  [Thunder Networking Technologies,LTD, 5, 2, 0, 148]
    [C:\Program Files\360safe\safemon\safemon.dll]  [, 1, 0, 0, 1004]
    [C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys]  [N/A, N/A]
    [C:\Program Files\Thunder Network\Thunder\Program\RegisterDll.dll]  [Thunder Networking Technologies,LTD, 2, 1, 0, 18]
    [C:\Program Files\Thunder Network\Thunder\Program\FloatBar.dll]  [Thunder Networking Technologies,LTD, 1, 0, 0, 2]
    [C:\Program Files\Thunder Network\Thunder\Components\InMedia\iEmbedShell.dll]  [ , 1, 0, 0, 11]
    [C:\Program Files\Thunder Network\Thunder\Components\InMedia\iEmbed04.dll]  [ , 2, 3, 0, 37]
    [C:\Program Files\Thunder Network\Thunder\Components\P4PClient\P4PClient.dll]  [Thunder Networking Technologies,LTD, 1, 0, 4, 10]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 8]
    [C:\WINNT\system32\RavExt.dll]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 7]
    [c:\program files\rising\rfw\ytoioknh.dll]  [N/A, N/A]
    [C:\Program Files\Thunder Network\Thunder\Program\iTargetAd.dll]  [Thunder Networking Technologies,LTD, 1, 0, 1, 59]
    [C:\WINNT\system32\Macromed\Flash\Flash9.ocx]  [Adobe Systems, Inc., 9,0,16,0]
    [C:\WINNT\system32\Rav32.dll]  [N/A, N/A]
    [C:\WINNT\system32\Rav26.dll]  [N/A, N/A]
    [C:\WINNT\system32\LgSyzr.dll]  [N/A, N/A]
[PID: 1684][C:\Program Files\Rising\Rav\RsAgent.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 9]
    [C:\Program Files\360safe\safemon\safemon.dll]  [, 1, 0, 0, 1004]
    [C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys]  [N/A, N/A]
    [C:\Program Files\Rising\Rav\RsCommX.dll]  [rising, 18, 0, 0, 1]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 8]
[PID: 1704][C:\WINNT\msagent\AgentSvr.exe]  [Microsoft Corporation, 2.00.0.3424]
    [C:\Program Files\360safe\safemon\safemon.dll]  [, 1, 0, 0, 1004]
    [C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys]  [N/A, N/A]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 8]
    [C:\WINNT\system32\Rav32.dll]  [N/A, N/A]
    [C:\WINNT\system32\Rav26.dll]  [N/A, N/A]
    [C:\WINNT\system32\LgSyzr.dll]  [N/A, N/A]
[PID: 1792][E:\backup\sreng2\SREng.EXE]  [Smallfrogs Studio, 2.3.13.690]
    [C:\Program Files\360safe\safemon\safemon.dll]  [, 1, 0, 0, 1004]
    [C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys]  [N/A, N/A]
    [C:\Program Files\Rising\AntiSpyware\ieprot.dll]  [Beijing Rising Technology Co., Ltd., 1, 0, 0, 8]
    [C:\WINNT\system32\Rav32.dll]  [N/A, N/A]
    [C:\WINNT\system32\Rav26.dll]  [N/A, N/A]
    [C:\WINNT\system32\LgSyzr.dll]  [N/A, N/A]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINNT\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
API HOOK
警告!System Repair Engineer 提醒
你下面的函数内容与预期值不符,他
们可能被一些恶意的软件所修改:
入口点错误:CreateProcessA
入口点错误:CreateProcessW

==================================


[/CODE]
gototop
 
冥海鲲鹏
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2007-03-04
  • 来自:
发表于: 2007-03-04 12:57 | 只看楼主 短消息 资料
字号: 12楼

另外再问一下,WL.EXE和JT.EXE是什么文件??/
gototop
 
枫辰1120
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2007-03-02
  • 来自:
发表于: 2007-03-04 12:59 | 短消息 资料
字号: 13楼

用进程分析,找到和这个有关的没有签名的dll
再在注册表里找有这些名称的项(说不定发现一伙帮凶...统统记下来)
然后在安全模式下,搜索这些名称,删掉,再搜索注册表全部删掉
接下来......等着看情况......要是还有就是没杀干净
没有了就恭喜你了!

我刚刚昨天手动清理完毕,还有个c0nime!
瑞星......总是慢一点......
gototop
 
soood
头像
健康舞勺狮
  • 帖子:302
  • 注册: 2006-04-01
  • 来自:
发表于: 2007-03-04 13:08 | 短消息 资料
字号: 14楼

是中招了,你怎样发现吃了"毒月饼"?进安全模式杀下
gototop
 
冥海鲲鹏
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2007-03-04
  • 来自:
发表于: 2007-03-04 16:35 | 只看楼主 短消息 资料
字号: 15楼

【回复“soood”的帖子】进安全模式下杀不到
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-03-04 16:41 | 短消息 资料
字号: 16楼

首先下载软件http://download.pchome.net/utility/antivirus/trojan/20621.html
费尔木马强力助手
安全模式下(开机后不断 按F8键  然后出来一个高级菜单 选择第一项 安全模式 进入系统)
打开sreng (就是你扫日志的软件)启动项目  注册表 删除如下项目 (如果有哪项你认识或者确认不是病毒 请不要删除)
<vmjewe857><C:\WINNT\iexpl0ra.exe> [N/A]
<208cu7tr2><C:\WINNT\Servera.exe> [N/A]
<c87zftgl><C:\WINNT\iexp1ora.exe> [N/A]
<uyd4y8><C:\WINNT\rundl13a.exe> [N/A]
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys> [N/A]
<{4DEC9B29-F08F-4cbc-B179-592B9283FAC9}><c:\program files\rising\rfw\ytoioknh.dll> [N/A]

打开费尔木马强力助手  在文件名处输入如下文字
c:\program files\rising\rfw\ixwibmzi.dll
c:\program files\rising\rfw\lmdfzhzq.dll
c:\program files\rising\rfw\ytoioknh.dll
然后选中清除 并抑制文件再次生成  开始

双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。
然后删除C:\WINNT\system32\LgSyzr.dll
C:\WINNT\system32\Rav26.dll
C:\WINNT\system32\Rav32.dll
C:\WINNT\iexp1ore.exe
C:\WINNT\rundl132.exe
C:\WINNT\iexpl0ra.exe
C:\WINNT\Servera.exe
C:\WINNT\iexp1ora.exe
C:\WINNT\rundl13a.exe
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys

完全卸载瑞星防火墙 一定把c:\program files\rising\rfw下面所有文件都删除干净 卸载完再装上
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT