瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 [B]Trojan.Win32.Agent.blr [/B]如何杀???请大家帮忙.

12   2  /  2  页   跳转

[B]Trojan.Win32.Agent.blr [/B]如何杀???请大家帮忙.

收藏
mrzero
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2007-06-26
  • 来自:
发表于: 2007-06-26 21:15 | 只看楼主 短消息 资料
字号: 11楼

文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\windows\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
API HOOK
入口点错误:CreateProcessA (危险等级: 一般,  被下面模块所HOOK: C:\Program Files\360safe\safemon\safemon.dll)
入口点错误:CreateProcessW (危险等级: 一般,  被下面模块所HOOK: C:\Program Files\360safe\safemon\safemon.dll)

==================================
隐藏进程
N/A

==================================


[/CODE]
gototop
 
gehu
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2007-06-26
  • 来自:
发表于: 2007-06-26 21:59 | 短消息 资料
字号: 12楼

我的机子也染上类似病毒Trojan.PSW.Win32.OnlineGames.cki
症状为
1、无法显示隐藏文件;
2、点击C、D等盘符图标时会另外打开一个窗口;
3.病毒删除后还会不断出现
4会自动关掉杀毒软件和防火墙
当然也有楼主那种情况,瑞星也是提醒重启后删除,但重启还是有,格式化重装系统也没用,照样有病毒.希望能人们帮助解决一下.
gototop
 
rj600700
头像
初生襁褓狮
  • 帖子:40
  • 注册: 2007-06-04
  • 来自:
发表于: 2007-06-26 22:10 | 短消息 资料
字号: 13楼

【回复“gehu”的帖子】
http://hi.baidu.com/rj600700/blo ... 068c49d0135e46.html。虽然病毒可能是不同的,但方法应该相同。如果解决不了,你在那里留言我再帮你解决。
gototop
 
gehu
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2007-06-26
  • 来自:
发表于: 2007-06-26 22:15 | 短消息 资料
字号: 14楼

引用:
【rj600700的贴子】【回复“gehu”的帖子】
http://hi.baidu.com/rj600700/blo ... 068c49d0135e46.html。虽然病毒可能是不同的,但方法应该相同。如果解决不了,你在那里留言我再帮你解决。
………………

您给的地址不全我无法看到
gototop
 
agee
头像
飘泊而立狮
  • 帖子:543
  • 注册: 2007-01-26
  • 来自:
发表于: 2007-06-27 01:08 | 短消息 资料
字号: 15楼

删除以下服务,并删除相应文件
[Internet Protect Service / DATEING][Stopped/Auto Start]
<C:\WINDOWS\SYSTEM32\RUNDLLFOROUR.EXE C:\WINDOWS\SYSTEM32\WBEM\QCVPV.DLL,DllRegisterServer 1087><Microsoft Corporation>
[Network Security / License][Stopped/Auto Start]
<C:\windows\System32\svchost.exe -k netsvcs-->C:\windows\system32\zhcmg.dll><N/A>
可疑驱动
[cpuz / cpuz][Stopped/Manual Start]
<\??\C:\WINDOWS\system32\cpuz.sys><N/A>
删除以下驱动,并删除以下文件
[ipdbldr / ipdbldrv][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\ipdbldrv.sys><N/A>
[pohci13F / pohci13F][Stopped/Manual Start]
<\??\C:\DOCUME~1\Admin\LOCALS~1\Temp\pohci13F.sys><N/A>
删除以下文件
[C:\windows\system32\winlib .dll] [N/A, ]
gototop
 
骑着XX混社会
头像
开发团队
  • 帖子:374
  • 注册: 2006-01-18
  • 来自:
发表于: 2007-06-27 03:21 | 短消息 资料
字号: 16楼

改名,重起,如果还有,说明有另外一个程序在释放它,需要autorun的日志。如果没有,删除改名后的文件即可。
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT