12   1  /  2  页   跳转

关于病毒cbkdkiw.exe

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-15 13:29 | 只看楼主 短消息 资料
字号: 1楼

关于病毒cbkdkiw.exe

此毒可经U盘等移动存贮介质传播,并利用IFEO劫持破坏多种安全软件/工具加载运行。杀毒的关键是——彻底删除插入lsass.exe进程中的病毒模块C:\windows\system32\RAVWL.DLL。

一、SRENG日志所见异常项:
启动项目
注册表

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <exkataj><C:\windows\system32\cbkdkiw.exe>  []
    <wpqggej><C:\windows\system32\dnierjk.exe>  []
==================================
服务
[WinWLServiceNow / WinWLServiceNow][Stopped/Auto Start]
  <C:\DOCUME~1\Lenovo\LOCALS~1\Temp\RAVWL.EXE><N/A>
==================================
正在运行的进程
[PID: 536][C:\windows\system32\dnierjk.exe]  [N/A, ] 
[PID: 1140][C:\windows\system32\cbkdkiw.exe]  [N/A, ]
==================================
Autorun.inf
[D:\]
[AutoRun]
open=wpqggej.exe
shellexecute=wpqggej.exe
shell\Auto\command=wpqggej.exe
————————————————

二、手工杀毒流程:
1、将IceSword.exe改名运行。
2、用IceSword禁止进程创建;结束病毒进程(图1)并删除下列病毒文件:
C:\windows\system32\dnierjk.exe 
C:\windows\system32\cbkdkiw.exe
C:\windows\system32\RAVWL.DLL(已经插入到lsass.exe进程中)
各分区根目录下的wpqggej.exe和autorun.inf
3、用IceSword找到并删除下列病毒启动项、服务项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <exkataj><C:\windows\system32\cbkdkiw.exe>  []
    <wpqggej><C:\windows\system32\dnierjk.exe>  []
[WinWLServiceNow / WinWLServiceNow][Stopped/Auto Start]
  <C:\DOCUME~1\Lenovo\LOCALS~1\Temp\RAVWL.EXE><N/A>
4、取消IceSword的“禁止进程创建”。点击IceSword工具栏上的“文件”、“重启并监视”。
5、重启后,删除当前用户文件夹中的病毒文件(图2)。
6、删除病毒添加的IFEO劫持项:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options           
+ 360rpt.exe            c:\windows\system32\dnierjk.exe
+ 360Safe.exe            c:\windows\system32\dnierjk.exe
+ 360tray.exe            c:\windows\system32\dnierjk.exe
+ adam.exe            c:\windows\system32\dnierjk.exe
+ AgentSvr.exe            c:\windows\system32\dnierjk.exe
+ AppSvc32.exe            c:\windows\system32\dnierjk.exe
+ autoruns.exe            c:\windows\system32\dnierjk.exe
+ avconsol.exe            c:\windows\system32\dnierjk.exe
+ avgrssvc.exe            c:\windows\system32\dnierjk.exe
+ AvMonitor.exe            c:\windows\system32\dnierjk.exe
+ avp.com            c:\windows\system32\dnierjk.exe
+ avp.exe            c:\windows\system32\dnierjk.exe
+ CCenter.exe            c:\windows\system32\dnierjk.exe
+ ccSvcHst.exe            c:\windows\system32\dnierjk.exe
+ EGHOST.exe            c:\windows\system32\dnierjk.exe
+ FileDsty.exe            c:\windows\system32\dnierjk.exe
+ FTCleanerShell.exe            c:\windows\system32\dnierjk.exe
+ FYFireWall.exe            c:\windows\system32\dnierjk.exe
+ HijackThis.exe            c:\windows\system32\dnierjk.exe
+ IceSword.exe            c:\windows\system32\dnierjk.exe
+ iparmo.exe            c:\windows\system32\dnierjk.exe
+ Iparmor.exe            c:\windows\system32\dnierjk.exe
+ isPwdSvc.exe            c:\windows\system32\dnierjk.exe
+ kabaload.exe            c:\windows\system32\dnierjk.exe
+ KaScrScn.SCR            c:\windows\system32\dnierjk.exe
+ KASMain.exe            c:\windows\system32\dnierjk.exe
+ KASTask.exe            c:\windows\system32\dnierjk.exe
+ KAV32.exe            c:\windows\system32\dnierjk.exe
+ KAVDX.exe            c:\windows\system32\dnierjk.exe
+ KAVPF.exe            c:\windows\system32\dnierjk.exe
+ KAVPFW.exe            c:\windows\system32\dnierjk.exe
+ KAVSetup.exe            c:\windows\system32\dnierjk.exe
+ KAVStart.exe            c:\windows\system32\dnierjk.exe
+ KISLnchr.exe            c:\windows\system32\dnierjk.exe
+ KMailMon.exe            c:\windows\system32\dnierjk.exe
+ KMFilter.exe            c:\windows\system32\dnierjk.exe
+ KPFW32.exe            c:\windows\system32\dnierjk.exe
+ KPFW32X.exe            c:\windows\system32\dnierjk.exe
+ KPfwSvc.exe            c:\windows\system32\dnierjk.exe
+ KRegEx.exe            c:\windows\system32\dnierjk.exe
+ KRepair.COM            c:\windows\system32\dnierjk.exe
+ KsLoader.exe            c:\windows\system32\dnierjk.exe
+ KVCenter.kxp            c:\windows\system32\dnierjk.exe
+ KvDetect.exe            c:\windows\system32\dnierjk.exe
+ KvfwMcl.exe            c:\windows\system32\dnierjk.exe
+ KVMonXP.kxp            c:\windows\system32\dnierjk.exe
+ KVMonXP_1.kxp            c:\windows\system32\dnierjk.exe
+ kvol.exe            c:\windows\system32\dnierjk.exe
+ kvolself.exe            c:\windows\system32\dnierjk.exe
+ KvReport.kxp            c:\windows\system32\dnierjk.exe
+ KVScan.kxp            c:\windows\system32\dnierjk.exe
+ KVSrvXP.exe            c:\windows\system32\dnierjk.exe
+ KVStub.kxp            c:\windows\system32\dnierjk.exe
+ kvupload.exe            c:\windows\system32\dnierjk.exe
+ kvwsc.exe            c:\windows\system32\dnierjk.exe
+ KvXP.kxp            c:\windows\system32\dnierjk.exe
+ KvXP_1.kxp            c:\windows\system32\dnierjk.exe
+ KWatch.exe            c:\windows\system32\dnierjk.exe
+ KWatch9x.exe            c:\windows\system32\dnierjk.exe
+ KWatchX.exe            c:\windows\system32\dnierjk.exe
+ loaddll.exe            c:\windows\system32\dnierjk.exe
+ MagicSet.exe            c:\windows\system32\dnierjk.exe
+ mcconsol.exe            c:\windows\system32\dnierjk.exe
+ mmqczj.exe            c:\windows\system32\dnierjk.exe
+ mmsk.exe            c:\windows\system32\dnierjk.exe
+ Navapsvc.exe            c:\windows\system32\dnierjk.exe
+ Navapw32.exe            c:\windows\system32\dnierjk.exe
+ nod32.exe            c:\windows\system32\dnierjk.exe
+ nod32krn.exe            c:\windows\system32\dnierjk.exe
+ nod32kui.exe            c:\windows\system32\dnierjk.exe
+ NPFMntor.exe            c:\windows\system32\dnierjk.exe
+ PFW.exe            c:\windows\system32\dnierjk.exe
+ PFWLiveUpdate.exe            c:\windows\system32\dnierjk.exe
+ QHSET.exe            c:\windows\system32\dnierjk.exe
+ QQDoctor.exe            c:\windows\system32\dnierjk.exe
+ QQKav.exe            c:\windows\system32\dnierjk.exe
+ Ras.exe            c:\windows\system32\dnierjk.exe
+ Rav.exe            c:\windows\system32\dnierjk.exe
+ RavMon.exe            c:\windows\system32\dnierjk.exe
+ RavMonD.exe            c:\windows\system32\dnierjk.exe
+ RavStub.exe            c:\windows\system32\dnierjk.exe
+ RavTask.exe            c:\windows\system32\dnierjk.exe
+ RegClean.exe            c:\windows\system32\dnierjk.exe
+ rfwcfg.exe            c:\windows\system32\dnierjk.exe
+ rfwmain.exe            c:\windows\system32\dnierjk.exe
+ rfwsrv.exe            c:\windows\system32\dnierjk.exe
+ RsAgent.exe            c:\windows\system32\dnierjk.exe
+ Rsaupd.exe            c:\windows\system32\dnierjk.exe
+ runiep.exe            c:\windows\system32\dnierjk.exe
+ safelive.exe            c:\windows\system32\dnierjk.exe
+ scan32.exe            c:\windows\system32\dnierjk.exe
+ shcfg32.exe            c:\windows\system32\dnierjk.exe
+ SmartUp.exe            c:\windows\system32\dnierjk.exe
+ SREng.EXE            c:\windows\system32\dnierjk.exe
+ symlcsvc.exe            c:\windows\system32\dnierjk.exe
+ SysSafe.exe            c:\windows\system32\dnierjk.exe
+ TrojanDetector.exe            c:\windows\system32\dnierjk.exe
+ Trojanwall.exe            c:\windows\system32\dnierjk.exe
+ TrojDie.kxp            c:\windows\system32\dnierjk.exe
+ UIHost.exe            c:\windows\system32\dnierjk.exe
+ UmxAgent.exe            c:\windows\system32\dnierjk.exe
+ UmxAttachment.exe            c:\windows\system32\dnierjk.exe
+ UmxCfg.exe            c:\windows\system32\dnierjk.exe
+ UmxFwHlp.exe            c:\windows\system32\dnierjk.exe
+ UmxPol.exe            c:\windows\system32\dnierjk.exe
+ UpLive.exe            c:\windows\system32\dnierjk.exe
+ vsstat.exe            c:\windows\system32\dnierjk.exe
+ webscanx.exe            c:\windows\system32\dnierjk.exe
+ WoptiClean.exe            c:\windows\system32\dnierjk.exe
7、删除病毒添加的注册表垃圾:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3A202177-913D-112B-54CD-72FF5FE1CF20}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6A202101-F04D-11cf-64CD-31FF5FE1CF20}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AA312103-F04D-11cf-64CD-11EF5011CF20}



图1

附件附件:

下载次数:303
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-15 13:29:31
描述:
预览信息:EXIF信息



最后编辑2007-05-16 01:34:21
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-15 13:30 | 只看楼主 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:245
文件类型:image/pjpeg
文件大小:
上传时间:2007-5-15 13:30:43
描述:
预览信息:EXIF信息
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-05-15 13:36 | 短消息 资料
字号: 3楼

谢谢猫叔的分析哈 昨天本来拿到样本了 但是虚拟机里运行就出错 不知道为什么
能否把样本发给我呢?谢谢
刚我也写了一个恶意的U盘病毒的分析
比这个厉害的多滴
http://forum.ikaka.com/topic.asp?board=28&artid=8310293
最近很流行这种恶意的U盘病毒
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-15 13:37 | 只看楼主 短消息 资料
字号: 4楼

引用:
【newcenturymoon的贴子】谢谢猫叔的分析哈 昨天本来拿到样本了 但是虚拟机里运行就出错 不知道为什么
能否把样本发给我呢?谢谢
刚我也写了一个恶意的U盘病毒的分析
比这个厉害的多滴
http://forum.ikaka.com/topic.asp?board=28&artid=8310293
最近很流行这种恶意的U盘病毒
………………

我的这个样本就是你提供的那个。
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2007-05-15 13:40 | 短消息 资料
字号: 5楼

不是啊 两回事的 这两种的样本我都有的 你分析那个病毒文件名是固定的 但你分析的这个样本我一运行就出错
gototop
 
新版小欧
头像
自信弱冠狮
  • 帖子:384
  • 注册: 2007-01-31
  • 来自:
发表于: 2007-05-15 13:42 | 短消息 资料
字号: 6楼

呵呵,好久好久不见猫叔发贴子了~~~~~~~

贴先不看,支持一下先
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-15 13:45 | 只看楼主 短消息 资料
字号: 7楼

引用:
【newcenturymoon的贴子】不是啊 两回事的 这两种的样本我都有的 你分析那个病毒文件名是固定的 但你分析的这个样本我一运行就出错

………………

不要用什么“虚拟机”。
这种病毒,可以实机运行。
为了观察其全部行为,应该联网、实机运行。
另外,观察这个病毒的行为,须临时取消安全软件的注册表防护。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-15 16:16 | 短消息 资料
字号: 8楼

可惜这些在SRENG日志里没法看到:

6、删除病毒添加的IFEO劫持项:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
+ 360rpt.exe c:\windows\system32\dnierjk.exe
+ 360Safe.exe c:\windows\system32\dnierjk.exe
+ 360tray.exe c:\windows\system32\dnierjk.exe
+ adam.exe c:\windows\system32\dnierjk.exe
+ AgentSvr.exe c:\windows\system32\dnierjk.exe
+ AppSvc32.exe c:\windows\system32\dnierjk.exe
+ autoruns.exe c:\windows\system32\dnierjk.exe
+ avconsol.exe c:\windows\system32\dnierjk.exe
+ avgrssvc.exe c:\windows\system32\dnierjk.exe
+ AvMonitor.exe c:\windows\system32\dnierjk.exe
+ avp.com c:\windows\system32\dnierjk.exe
+ avp.exe c:\windows\system32\dnierjk.exe
+ CCenter.exe c:\windows\system32\dnierjk.exe
+ ccSvcHst.exe c:\windows\system32\dnierjk.exe
+ EGHOST.exe c:\windows\system32\dnierjk.exe
+ FileDsty.exe c:\windows\system32\dnierjk.exe
+ FTCleanerShell.exe c:\windows\system32\dnierjk.exe
+ FYFireWall.exe c:\windows\system32\dnierjk.exe
+ HijackThis.exe c:\windows\system32\dnierjk.exe
+ IceSword.exe c:\windows\system32\dnierjk.exe
+ iparmo.exe c:\windows\system32\dnierjk.exe
+ Iparmor.exe c:\windows\system32\dnierjk.exe
+ isPwdSvc.exe c:\windows\system32\dnierjk.exe
+ kabaload.exe c:\windows\system32\dnierjk.exe
+ KaScrScn.SCR c:\windows\system32\dnierjk.exe
+ KASMain.exe c:\windows\system32\dnierjk.exe
+ KASTask.exe c:\windows\system32\dnierjk.exe
+ KAV32.exe c:\windows\system32\dnierjk.exe
+ KAVDX.exe c:\windows\system32\dnierjk.exe
+ KAVPF.exe c:\windows\system32\dnierjk.exe
+ KAVPFW.exe c:\windows\system32\dnierjk.exe
+ KAVSetup.exe c:\windows\system32\dnierjk.exe
+ KAVStart.exe c:\windows\system32\dnierjk.exe
+ KISLnchr.exe c:\windows\system32\dnierjk.exe
+ KMailMon.exe c:\windows\system32\dnierjk.exe
+ KMFilter.exe c:\windows\system32\dnierjk.exe
+ KPFW32.exe c:\windows\system32\dnierjk.exe
+ KPFW32X.exe c:\windows\system32\dnierjk.exe
+ KPfwSvc.exe c:\windows\system32\dnierjk.exe
+ KRegEx.exe c:\windows\system32\dnierjk.exe
+ KRepair.COM c:\windows\system32\dnierjk.exe
+ KsLoader.exe c:\windows\system32\dnierjk.exe
+ KVCenter.kxp c:\windows\system32\dnierjk.exe
+ KvDetect.exe c:\windows\system32\dnierjk.exe
+ KvfwMcl.exe c:\windows\system32\dnierjk.exe
+ KVMonXP.kxp c:\windows\system32\dnierjk.exe
+ KVMonXP_1.kxp c:\windows\system32\dnierjk.exe
+ kvol.exe c:\windows\system32\dnierjk.exe
+ kvolself.exe c:\windows\system32\dnierjk.exe
+ KvReport.kxp c:\windows\system32\dnierjk.exe
+ KVScan.kxp c:\windows\system32\dnierjk.exe
+ KVSrvXP.exe c:\windows\system32\dnierjk.exe
+ KVStub.kxp c:\windows\system32\dnierjk.exe
+ kvupload.exe c:\windows\system32\dnierjk.exe
+ kvwsc.exe c:\windows\system32\dnierjk.exe
+ KvXP.kxp c:\windows\system32\dnierjk.exe
+ KvXP_1.kxp c:\windows\system32\dnierjk.exe
+ KWatch.exe c:\windows\system32\dnierjk.exe
+ KWatch9x.exe c:\windows\system32\dnierjk.exe
+ KWatchX.exe c:\windows\system32\dnierjk.exe
+ loaddll.exe c:\windows\system32\dnierjk.exe
+ MagicSet.exe c:\windows\system32\dnierjk.exe
+ mcconsol.exe c:\windows\system32\dnierjk.exe
+ mmqczj.exe c:\windows\system32\dnierjk.exe
+ mmsk.exe c:\windows\system32\dnierjk.exe
+ Navapsvc.exe c:\windows\system32\dnierjk.exe
+ Navapw32.exe c:\windows\system32\dnierjk.exe
+ nod32.exe c:\windows\system32\dnierjk.exe
+ nod32krn.exe c:\windows\system32\dnierjk.exe
+ nod32kui.exe c:\windows\system32\dnierjk.exe
+ NPFMntor.exe c:\windows\system32\dnierjk.exe
+ PFW.exe c:\windows\system32\dnierjk.exe
+ PFWLiveUpdate.exe c:\windows\system32\dnierjk.exe
+ QHSET.exe c:\windows\system32\dnierjk.exe
+ QQDoctor.exe c:\windows\system32\dnierjk.exe
+ QQKav.exe c:\windows\system32\dnierjk.exe
+ Ras.exe c:\windows\system32\dnierjk.exe
+ Rav.exe c:\windows\system32\dnierjk.exe
+ RavMon.exe c:\windows\system32\dnierjk.exe
+ RavMonD.exe c:\windows\system32\dnierjk.exe
+ RavStub.exe c:\windows\system32\dnierjk.exe
+ RavTask.exe c:\windows\system32\dnierjk.exe
+ RegClean.exe c:\windows\system32\dnierjk.exe
+ rfwcfg.exe c:\windows\system32\dnierjk.exe
+ rfwmain.exe c:\windows\system32\dnierjk.exe
+ rfwsrv.exe c:\windows\system32\dnierjk.exe
+ RsAgent.exe c:\windows\system32\dnierjk.exe
+ Rsaupd.exe c:\windows\system32\dnierjk.exe
+ runiep.exe c:\windows\system32\dnierjk.exe
+ safelive.exe c:\windows\system32\dnierjk.exe
+ scan32.exe c:\windows\system32\dnierjk.exe
+ shcfg32.exe c:\windows\system32\dnierjk.exe
+ SmartUp.exe c:\windows\system32\dnierjk.exe
+ SREng.EXE c:\windows\system32\dnierjk.exe
+ symlcsvc.exe c:\windows\system32\dnierjk.exe
+ SysSafe.exe c:\windows\system32\dnierjk.exe
+ TrojanDetector.exe c:\windows\system32\dnierjk.exe
+ Trojanwall.exe c:\windows\system32\dnierjk.exe
+ TrojDie.kxp c:\windows\system32\dnierjk.exe
+ UIHost.exe c:\windows\system32\dnierjk.exe
+ UmxAgent.exe c:\windows\system32\dnierjk.exe
+ UmxAttachment.exe c:\windows\system32\dnierjk.exe
+ UmxCfg.exe c:\windows\system32\dnierjk.exe
+ UmxFwHlp.exe c:\windows\system32\dnierjk.exe
+ UmxPol.exe c:\windows\system32\dnierjk.exe
+ UpLive.exe c:\windows\system32\dnierjk.exe
+ vsstat.exe c:\windows\system32\dnierjk.exe
+ webscanx.exe c:\windows\system32\dnierjk.exe
+ WoptiClean.exe c:\windows\system32\dnierjk.exe
7、删除病毒添加的注册表垃圾:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3A202177-913D-112B-54CD-72FF5FE1CF20}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6A202101-F04D-11cf-64CD-31FF5FE1CF20}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AA312103-F04D-11cf-64CD-11EF5011CF20}


对于这个,将来再变化的,应该先处理完病毒以后,再去重装系统了。

因为以后再遇到,很难说和上面一样的。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-05-15 16:18 | 短消息 资料
字号: 9楼

应该建议求助的,彻底搜索注册表里关于“c:\windows\system32\dnierjk.exe”的所有项目,找到的都用冰刃删除。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-05-15 16:20 | 只看楼主 短消息 资料
字号: 10楼

引用:
【天月来了的贴子】可惜这些在SRENG日志里没法看到:

6、删除病毒添加的IFEO劫持项:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
+ 360rpt.exe c:\windows\system32\dnierjk.exe
+ 360Safe.exe c:\windows\system32\dnierjk.exe
+ 360tray.exe c:\windows\system32\dnierjk.exe
+ adam.exe c:\windows\system32\dnierjk.exe
+ AgentSvr.exe c:\windows\system32\dnierjk.exe
+ AppSvc32.exe c:\windows\system32\dnierjk.exe
+ autoruns.exe c:\windows\system32\dnierjk.exe
+ avconsol.exe c:\windows\system32\dnierjk.exe
+ avgrssvc.exe c:\windows\system32\dnierjk.exe
+ AvMonitor.exe c:\windows\system32\dnierjk.exe
+ avp.com c:\windows\system32\dnierjk.exe
+ avp.exe c:\windows\system32\dnierjk.exe
+ CCenter.exe c:\windows\system32\dnierjk.exe
+ ccSvcHst.exe c:\windows\system32\dnierjk.exe
+ EGHOST.exe c:\windows\system32\dnierjk.exe
+ FileDsty.exe c:\windows\system32\dnierjk.exe
+ FTCleanerShell.exe c:\windows\system32\dnierjk.exe
+ FYFireWall.exe c:\windows\system32\dnierjk.exe
+ HijackThis.exe c:\windows\system32\dnierjk.exe
+ IceSword.exe c:\windows\system32\dnierjk.exe
+ iparmo.exe c:\windows\system32\dnierjk.exe
+ Iparmor.exe c:\windows\system32\dnierjk.exe
+ isPwdSvc.exe c:\windows\system32\dnierjk.exe
+ kabaload.exe c:\windows\system32\dnierjk.exe
+ KaScrScn.SCR c:\windows\system32\dnierjk.exe
+ KASMain.exe c:\windows\system32\dnierjk.exe
+ KASTask.exe c:\windows\system32\dnierjk.exe
+ KAV32.exe c:\windows\system32\dnierjk.exe
+ KAVDX.exe c:\windows\system32\dnierjk.exe
+ KAVPF.exe c:\windows\system32\dnierjk.exe
+ KAVPFW.exe c:\windows\system32\dnierjk.exe
+ KAVSetup.exe c:\windows\system32\dnierjk.exe
+ KAVStart.exe c:\windows\system32\dnierjk.exe
+ KISLnchr.exe c:\windows\system32\dnierjk.exe
+ KMailMon.exe c:\windows\system32\dnierjk.exe
+ KMFilter.exe c:\windows\system32\dnierjk.exe
+ KPFW32.exe c:\windows\system32\dnierjk.exe
+ KPFW32X.exe c:\windows\system32\dnierjk.exe
+ KPfwSvc.exe c:\windows\system32\dnierjk.exe
+ KRegEx.exe c:\windows\system32\dnierjk.exe
+ KRepair.COM c:\windows\system32\dnierjk.exe
+ KsLoader.exe c:\windows\system32\dnierjk.exe
+ KVCenter.kxp c:\windows\system32\dnierjk.exe
+ KvDetect.exe c:\windows\system32\dnierjk.exe
+ KvfwMcl.exe c:\windows\system32\dnierjk.exe
+ KVMonXP.kxp c:\windows\system32\dnierjk.exe
+ KVMonXP_1.kxp c:\windows\system32\dnierjk.exe
+ kvol.exe c:\windows\system32\dnierjk.exe
+ kvolself.exe c:\windows\system32\dnierjk.exe
+ KvReport.kxp c:\windows\system32\dnierjk.exe
+ KVScan.kxp c:\windows\system32\dnierjk.exe
+ KVSrvXP.exe c:\windows\system32\dnierjk.exe
+ KVStub.kxp c:\windows\system32\dnierjk.exe
+ kvupload.exe c:\windows\system32\dnierjk.exe
+ kvwsc.exe c:\windows\system32\dnierjk.exe
+ KvXP.kxp c:\windows\system32\dnierjk.exe
+ KvXP_1.kxp c:\windows\system32\dnierjk.exe
+ KWatch.exe c:\windows\system32\dnierjk.exe
+ KWatch9x.exe c:\windows\system32\dnierjk.exe
+ KWatchX.exe c:\windows\system32\dnierjk.exe
+ loaddll.exe c:\windows\system32\dnierjk.exe
+ MagicSet.exe c:\windows\system32\dnierjk.exe
+ mcconsol.exe c:\windows\system32\dnierjk.exe
+ mmqczj.exe c:\windows\system32\dnierjk.exe
+ mmsk.exe c:\windows\system32\dnierjk.exe
+ Navapsvc.exe c:\windows\system32\dnierjk.exe
+ Navapw32.exe c:\windows\system32\dnierjk.exe
+ nod32.exe c:\windows\system32\dnierjk.exe
+ nod32krn.exe c:\windows\system32\dnierjk.exe
+ nod32kui.exe c:\windows\system32\dnierjk.exe
+ NPFMntor.exe c:\windows\system32\dnierjk.exe
+ PFW.exe c:\windows\system32\dnierjk.exe
+ PFWLiveUpdate.exe c:\windows\system32\dnierjk.exe
+ QHSET.exe c:\windows\system32\dnierjk.exe
+ QQDoctor.exe c:\windows\system32\dnierjk.exe
+ QQKav.exe c:\windows\system32\dnierjk.exe
+ Ras.exe c:\windows\system32\dnierjk.exe
+ Rav.exe c:\windows\system32\dnierjk.exe
+ RavMon.exe c:\windows\system32\dnierjk.exe
+ RavMonD.exe c:\windows\system32\dnierjk.exe
+ RavStub.exe c:\windows\system32\dnierjk.exe
+ RavTask.exe c:\windows\system32\dnierjk.exe
+ RegClean.exe c:\windows\system32\dnierjk.exe
+ rfwcfg.exe c:\windows\system32\dnierjk.exe
+ rfwmain.exe c:\windows\system32\dnierjk.exe
+ rfwsrv.exe c:\windows\system32\dnierjk.exe
+ RsAgent.exe c:\windows\system32\dnierjk.exe
+ Rsaupd.exe c:\windows\system32\dnierjk.exe
+ runiep.exe c:\windows\system32\dnierjk.exe
+ safelive.exe c:\windows\system32\dnierjk.exe
+ scan32.exe c:\windows\system32\dnierjk.exe
+ shcfg32.exe c:\windows\system32\dnierjk.exe
+ SmartUp.exe c:\windows\system32\dnierjk.exe
+ SREng.EXE c:\windows\system32\dnierjk.exe
+ symlcsvc.exe c:\windows\system32\dnierjk.exe
+ SysSafe.exe c:\windows\system32\dnierjk.exe
+ TrojanDetector.exe c:\windows\system32\dnierjk.exe
+ Trojanwall.exe c:\windows\system32\dnierjk.exe
+ TrojDie.kxp c:\windows\system32\dnierjk.exe
+ UIHost.exe c:\windows\system32\dnierjk.exe
+ UmxAgent.exe c:\windows\system32\dnierjk.exe
+ UmxAttachment.exe c:\windows\system32\dnierjk.exe
+ UmxCfg.exe c:\windows\system32\dnierjk.exe
+ UmxFwHlp.exe c:\windows\system32\dnierjk.exe
+ UmxPol.exe c:\windows\system32\dnierjk.exe
+ UpLive.exe c:\windows\system32\dnierjk.exe
+ vsstat.exe c:\windows\system32\dnierjk.exe
+ webscanx.exe c:\windows\system32\dnierjk.exe
+ WoptiClean.exe c:\windows\system32\dnierjk.exe
7、删除病毒添加的注册表垃圾:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{3A202177-913D-112B-54CD-72FF5FE1CF20}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6A202101-F04D-11cf-64CD-31FF5FE1CF20}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{AA312103-F04D-11cf-64CD-11EF5011CF20}


对于这个,将来再变化的,应该先处理完病毒以后,再去重装系统了。

因为以后再遇到,很难说和上面一样的。
………………

用autoruns(改名运行),删除涉及瑞星的那几个IFEO项。
重启后,瑞星可以处理剩余的那N多IFEO劫持项。这可能算是瑞星的一个进步吧。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT