瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】好猛的病毒。快来救命呀!!!

12   2  /  2  页   跳转

【求助】好猛的病毒。快来救命呀!!!

收藏
春天的小水竹
头像
自信弱冠狮
  • 帖子:431
  • 注册: 2007-03-23
  • 来自:
发表于: 2007-04-20 12:03 | 短消息 资料
字号: 11楼

删除注册表:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<bgswitch><C:\WINDOWS\system32\bgswitch.exe> []
<EXPLORER><C:\Program Files\Common Files\System\wab32res.exe> []
<sv690kmdejb><C:\DOCUME~1\zjk\LOCALS~1\Temp\iexpl0re.exe> []
<5e><C:\DOCUME~1\zjk\LOCALS~1\Temp\crasos.exe> []
<ldj70><C:\DOCUME~1\zjk\LOCALS~1\Temp\1explore.exe> []
<flcimyv5w><C:\DOCUME~1\zjk\LOCALS~1\Temp\c0nime.exe> []
<lyv0big><C:\DOCUME~1\zjk\LOCALS~1\Temp\winlog0n.exe> []
<umijjmtf><C:\DOCUME~1\zjk\LOCALS~1\Temp\rundl132.exe> []
<2c><C:\DOCUME~1\zjk\LOCALS~1\Temp\cftmon.exe> []
<b2854><C:\DOCUME~1\zjk\LOCALS~1\Temp\Servere.exe> []
<wekewx><C:\DOCUME~1\zjk\LOCALS~1\Temp\Servera.exe> []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<EasyTuneV><C:\Program Files\Gigabyte\ET5\GUI.exe> []
<cmdbcs><C:\WINDOWS\cmdbcs.exe> []
<shualai><C:\WINDOWS\shualai.exe /i> []
<stup.exe><C:\PROGRA~1\TENCENT\Adplus\stup.exe> [Tencent]


删除服务:
[TCP/IP Check / Hello Download][Stopped/Auto Start]
<C:\Program Files\Common Files\System\wab32res.exe><N/A
删除驱动:
[sloenhc / sloenhc][Running/Boot Start]
<\SystemRoot\system32\drivers\sloenhc.sys><>

清空C:\DOCUME~1\zjk\LOCALS~1\Temp里的所有文件(这步也很关键)
删除文件:
[C:\WINDOWS\system32\shualai.dll] [N/A, ]
[C:\WINDOWS\shualai.exe] [N/A, ]
删除HOST里的
127.0.0.1 mmm.caifu18.net
127.0.0.1 www.18dmm.com
127.0.0.1 d.qbbd.com
127.0.0.1 www.5117music.com
127.0.0.1 www.union123.com
127.0.0.1 www.wu7x.cn
127.0.0.1 www.54699.com
127.0.0.1 60.169.0.66
127.0.0.1 60.169.1.29
127.0.0.1 www.97725.com
127.0.0.1 down.97725.com
127.0.0.1 ip.315hack.com
127.0.0.1 ip.54liumang.com
127.0.0.1 www.41ip.com
127.0.0.1 xulao.com
127.0.0.1 www.heixiou.com
127.0.0.1 www.9cyy.com
127.0.0.1 www.hunll.com
127.0.0.1 www.down.hunll.com
127.0.0.1 do.77276.com
127.0.0.1 www.baidulink.com
127.0.0.1 adnx.yygou.cn
127.0.0.1 222.73.220.45
127.0.0.1 www.f5game.com
127.0.0.1 www.guazhan.cn
127.0.0.1 wm,103715.com
127.0.0.1 www.my6688.cn
127.0.0.1 i.96981.com
127.0.0.1 d.77276.com
127.0.0.1 www1.cw988.cn
127.0.0.1 cool.47555.com
127.0.0.1 www.asdwc.com
127.0.0.1 55880.cn
127.0.0.1 61.152.169.234
127.0.0.1 cc.wzxqy.com
127.0.0.1 www.54699.com
127.0.0.1 t.gcuj.com
127.0.0.1 www.puma163.com
127.0.0.1 ceoww.com

保留127.0.0.1 localhost这个就可以了

以上操作尽量在安全模式下完成
看了都眼花了,东西是多啊!
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-20 12:27 | 短消息 资料
字号: 12楼


把被感染的exe 发给我几个 邮箱里面  加密123
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-04-20 12:28 | 短消息 资料
字号: 13楼

C:\Program Files\Common Files\System\wab32res.exe 也发给我 加密123
gototop
 
春天的小水竹
头像
自信弱冠狮
  • 帖子:431
  • 注册: 2007-03-23
  • 来自:
发表于: 2007-04-20 14:14 | 短消息 资料
字号: 14楼

wab32res.exe这个东西好像和老猫说的那个WAR32的很像,可能是变种
gototop
 
陕西兵马俑
头像
初生襁褓狮
  • 帖子:49
  • 注册: 2007-04-19
  • 来自:
发表于: 2007-04-20 14:26 | 短消息 资料
字号: 15楼

gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-04-20 14:52 | 短消息 资料
字号: 16楼

现在高的多了哦!!!

都厉害!!!!
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT