123   2  /  3  页   跳转

这样真的能杀logogo吗??

收藏
CAPTjoe
头像
强壮不惑狮
  • 帖子:1045
  • 注册: 2006-09-29
  • 来自:
发表于: 2007-12-01 11:17 | 短消息 资料
字号: 11楼

出个歪招:先复制cmd.exe到其他位置存放,然后用xdelbox把系统文件C:\WINDOWS\system32\cmd.exe删除,然后看看这个木马群的情况。
gototop
 
已成过去
头像
叱咤花甲狮
  • 帖子:2685
  • 注册: 2007-01-24
  • 来自:
发表于: 2007-12-01 11:44 | 短消息 资料
字号: 12楼

http://qcqyt.ys168.com/?CQyVi=jElsW1lE5Eh1
到以上网址找:冰刃.XDELBOX
  autoruns  下载地址:http://www.yangdui.net/soft/xitongshezhi_57/autoruns_6805_detail.htm

U盘病毒专杀工具V5.0

下载地址:http://www.usbcleaner./download/usbcleaner/usbcleaner-1.rar



首先把系统还原关闭!在一下造作下不能再次打开任何硬盘!防止再次感染.所有下载的一律放在桌面.
所有图片我都是另外发帖了
首先用AURORUNS工具把这里的所有运行条目删除!(见附图一!)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><kaqhkzy.dll> []

再用冰刃.找到一下文件删除!(要是你这两个文件可以压缩到的话.加密后发送到:<lushuwen12@21cn.com>感谢了..)
<TBMonEx><C:\WINDOWS\system\soundmno.exe> [N/A]
<logogo><C:\WINDOWS\system\logogogo.exe> []



再用XDELBOX工具删除(记住把遏制再生钩上!)
<{8E32FA58-3453-FA2D-BC49-F340348ACCE8}><C:\WINDOWS\system32\rsmyhpm.dll> []
<{692FADFA-BCDE-ACDF-CDEF-21054865CBA6}><C:\WINDOWS\system32\wsmsdzx.dll> []
<{AD561258-45F3-A451-F908-A258458226DA}><C:\WINDOWS\system32\kvdxsjma.dll> []
<{5598FF45-DA60-F48A-BC43-10AC47853D55}><C:\WINDOWS\system32\rarjepi.dll> []
<{B7D81718-1314-5200-2597-58790101807B}><C:\WINDOWS\system32\kaqhkzy.dll> []
<{7A1247C1-53DA-FF43-ABD3-345F323A48D7}><C:\WINDOWS\system32\avwggmn.dll> []
<{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}><C:\WINDOWS\system32\kvdxjma.dll> []
<{D34345F1-DACF-3452-CB7D-4620F34A153D}><C:\WINDOWS\system32\rsztmpm.dll> []
<{64783410-4F90-34A0-7820-3230ACD05F46}><C:\WINDOWS\system32\raqjfpi.dll> []
<{C6650011-3344-6688-4899-345FABCD156C}><C:\WINDOWS\system32\ratblpi.dll> []
<{5A321487-4977-D98A-C8D5-6488257545A5}><C:\WINDOWS\system32\kapjezy.dll> []
<{58847374-8323-FADC-B443-4732ABCD3785}><C:\WINDOWS\system32\sidjezy.dll> []
<{6960356A-458E-DE24-BD50-268F589A56A6}><C:\WINDOWS\system32\avwlfmn.dll> []
<{24909874-8982-F344-A322-7898787FA742}><C:\WINDOWS\system32\swjqbzc.dll> []
<{678A7521-FA87-34AB-34C2-4893F3AD34C6}><C:\WINDOWS\system32\swrcezc.dll> []
<{25679330-4034-9021-7012-909856721372}><C:\WINDOWS\system32\wszjbzx.dll> []
<{F2CEA371-1442-4F42-900F-97C479F406DB}><C:\WINDOWS\system32\hursax.dll> []
<{A859245F-345D-BC13-AC4F-145D47DA34FA}><C:\WINDOWS\system32\avzxjmn.dll> []
<{792FADFA-BCDE-ACDF-CDEF-21054865CBA7}><C:\WINDOWS\system32\wsmsezx.dll> []
<{68907901-1416-3389-9981-372178569986}><C:\WINDOWS\system32\kawdfzy.dll> []
<{B6650011-3344-6688-4899-345FABCD156B}><C:\WINDOWS\system32\ratbkpi.dll> []



做完以上操作后按crrl+alt+delete打开进程..观察是不是有两个:explorer.exe
感染explorer.exe病毒的症状是,任务管理器中出现两个EXPLORER.EXE/explorer.exe这样的进程,还有一个很明显的表现,就是有有病毒的文件夹里的程序双击后一闪就消失了,有这两种情况说明你铁定中招了,如何判断哪个是病毒,我是把两个进程都关了一次,就知道了,简单有效。也可以看它的内存使用分析下,我的EXPLORER.EXE内存使用是1,8684K,exeplorer.exe内存使用是2982k,所以可以判断小写的exeplorer.exe确定是病毒。(你可以在新装系统后留意下EXPLORER.EXE的内存使用)

病毒已经确定,首先结束掉这个进程,再在开始菜单-运行-键入msconfig-回车,查看一下你的启动项,禁止exeplorer.exe随系统启动。然后找到C:\Program Files\Internet Explorer目录,看下面如图:
(见附图二)


红色圈圈的就是病毒文件了,shift+delete杀掉它,最后我们打开注册表,你可以手动查找位置在:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

也可以点击编辑-查找-键入explorer.exe别忘了在字符匹配前打上对号,回车就会找到一个名称为ms..(名字我记不清了是以m打头的)数据为C:\Program Files\Internet Explorer\exeplorer.exe,删除掉。

好了任务结束,你可以重新启动下电脑,看看还有没有这个进程。

本人在windows xp适用成功。


做到这里..你再进安全模式:把你的U盘插进电脑..然后用U盘专杀全盘杀毒.
防止AUTOUN.INF再次感染.因为你的U盘肯定已经被感染了.最后把杀软修复(就是点哪个删除杀软的哪个,.我知道可以选择修复的..修复后就继续全盘杀毒)
gototop
 
已成过去
头像
叱咤花甲狮
  • 帖子:2685
  • 注册: 2007-01-24
  • 来自:
发表于: 2007-12-01 11:46 | 短消息 资料
字号: 13楼

附图一

附件附件:

下载次数:151
文件类型:application/octet-stream
文件大小:
上传时间:2007-12-1 11:46:17
描述:
gototop
 
已成过去
头像
叱咤花甲狮
  • 帖子:2685
  • 注册: 2007-01-24
  • 来自:
发表于: 2007-12-01 11:47 | 短消息 资料
字号: 14楼

附图二

附件附件:

下载次数:148
文件类型:image/pjpeg
文件大小:
上传时间:2007-12-1 11:47:30
描述:
预览信息:EXIF信息
gototop
 
yqlikaka
头像
叱咤花甲狮
  • 帖子:4469
  • 注册: 2007-01-05
  • 来自:蓉城
论坛8周年活动礼物童年风车09欢乐圣诞
发表于: 2007-12-01 12:16 | 短消息 资料
字号: 15楼

其实按阳光的哪个就可以,我昨天才中的不用重装,只要自己找到该删除的那些垃圾就可以,不过EXPLORE.EXE我是从别人的机器里考过来的,居然还能用。。。。
gototop
 
yqlikaka
头像
叱咤花甲狮
  • 帖子:4469
  • 注册: 2007-01-05
  • 来自:蓉城
论坛8周年活动礼物童年风车09欢乐圣诞
发表于: 2007-12-01 12:17 | 短消息 资料
字号: 16楼

弄起来比较烦而已,希望写个专杀。。。
gototop
 
awewef
头像
快乐黄口狮
  • 帖子:132
  • 注册: 2005-05-17
  • 来自:
发表于: 2007-12-01 13:34 | 只看楼主 短消息 资料
字号: 17楼

其实前面的都行,就是再用XDELBOX工具删除(记住把遏制再生钩上!)
<{8E32FA58-3453-FA2D-BC49-F340348ACCE8}><C:\WINDOWS\system32\rsmyhpm.dll> []
<{692FADFA-BCDE-ACDF-CDEF-21054865CBA6}><C:\WINDOWS\system32\wsmsdzx.dll> []
<{AD561258-45F3-A451-F908-A258458226DA}><C:\WINDOWS\system32\kvdxsjma.dll> []
<{5598FF45-DA60-F48A-BC43-10AC47853D55}><C:\WINDOWS\system32\rarjepi.dll> []
<{B7D81718-1314-5200-2597-58790101807B}><C:\WINDOWS\system32\kaqhkzy.dll> []
<{7A1247C1-53DA-FF43-ABD3-345F323A48D7}><C:\WINDOWS\system32\avwggmn.dll> []
<{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}><C:\WINDOWS\system32\kvdxjma.dll> []
<{D34345F1-DACF-3452-CB7D-4620F34A153D}><C:\WINDOWS\system32\rsztmpm.dll> []
<{64783410-4F90-34A0-7820-3230ACD05F46}><C:\WINDOWS\system32\raqjfpi.dll> []
<{C6650011-3344-6688-4899-345FABCD156C}><C:\WINDOWS\system32\ratblpi.dll> []
<{5A321487-4977-D98A-C8D5-6488257545A5}><C:\WINDOWS\system32\kapjezy.dll> []
<{58847374-8323-FADC-B443-4732ABCD3785}><C:\WINDOWS\system32\sidjezy.dll> []
<{6960356A-458E-DE24-BD50-268F589A56A6}><C:\WINDOWS\system32\avwlfmn.dll> []
<{24909874-8982-F344-A322-7898787FA742}><C:\WINDOWS\system32\swjqbzc.dll> []
<{678A7521-FA87-34AB-34C2-4893F3AD34C6}><C:\WINDOWS\system32\swrcezc.dll> []
<{25679330-4034-9021-7012-909856721372}><C:\WINDOWS\system32\wszjbzx.dll> []
<{F2CEA371-1442-4F42-900F-97C479F406DB}><C:\WINDOWS\system32\hursax.dll> []
<{A859245F-345D-BC13-AC4F-145D47DA34FA}><C:\WINDOWS\system32\avzxjmn.dll> []
<{792FADFA-BCDE-ACDF-CDEF-21054865CBA7}><C:\WINDOWS\system32\wsmsezx.dll> []
<{68907901-1416-3389-9981-372178569986}><C:\WINDOWS\system32\kawdfzy.dll> []
<{B6650011-3344-6688-4899-345FABCD156B}><C:\WINDOWS\system32\ratbkpi.dll> []
这部,你说的和置顶帖一样,可我的电脑里用搜索的确找不到他们,叫我怎么删
gototop
 
awewef
头像
快乐黄口狮
  • 帖子:132
  • 注册: 2005-05-17
  • 来自:
发表于: 2007-12-01 13:34 | 只看楼主 短消息 资料
字号: 18楼

其实前面的都行,就是再用XDELBOX工具删除(记住把遏制再生钩上!)
<{8E32FA58-3453-FA2D-BC49-F340348ACCE8}><C:\WINDOWS\system32\rsmyhpm.dll> []
<{692FADFA-BCDE-ACDF-CDEF-21054865CBA6}><C:\WINDOWS\system32\wsmsdzx.dll> []
<{AD561258-45F3-A451-F908-A258458226DA}><C:\WINDOWS\system32\kvdxsjma.dll> []
<{5598FF45-DA60-F48A-BC43-10AC47853D55}><C:\WINDOWS\system32\rarjepi.dll> []
<{B7D81718-1314-5200-2597-58790101807B}><C:\WINDOWS\system32\kaqhkzy.dll> []
<{7A1247C1-53DA-FF43-ABD3-345F323A48D7}><C:\WINDOWS\system32\avwggmn.dll> []
<{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}><C:\WINDOWS\system32\kvdxjma.dll> []
<{D34345F1-DACF-3452-CB7D-4620F34A153D}><C:\WINDOWS\system32\rsztmpm.dll> []
<{64783410-4F90-34A0-7820-3230ACD05F46}><C:\WINDOWS\system32\raqjfpi.dll> []
<{C6650011-3344-6688-4899-345FABCD156C}><C:\WINDOWS\system32\ratblpi.dll> []
<{5A321487-4977-D98A-C8D5-6488257545A5}><C:\WINDOWS\system32\kapjezy.dll> []
<{58847374-8323-FADC-B443-4732ABCD3785}><C:\WINDOWS\system32\sidjezy.dll> []
<{6960356A-458E-DE24-BD50-268F589A56A6}><C:\WINDOWS\system32\avwlfmn.dll> []
<{24909874-8982-F344-A322-7898787FA742}><C:\WINDOWS\system32\swjqbzc.dll> []
<{678A7521-FA87-34AB-34C2-4893F3AD34C6}><C:\WINDOWS\system32\swrcezc.dll> []
<{25679330-4034-9021-7012-909856721372}><C:\WINDOWS\system32\wszjbzx.dll> []
<{F2CEA371-1442-4F42-900F-97C479F406DB}><C:\WINDOWS\system32\hursax.dll> []
<{A859245F-345D-BC13-AC4F-145D47DA34FA}><C:\WINDOWS\system32\avzxjmn.dll> []
<{792FADFA-BCDE-ACDF-CDEF-21054865CBA7}><C:\WINDOWS\system32\wsmsezx.dll> []
<{68907901-1416-3389-9981-372178569986}><C:\WINDOWS\system32\kawdfzy.dll> []
<{B6650011-3344-6688-4899-345FABCD156B}><C:\WINDOWS\system32\ratbkpi.dll> []
这部,你说的和置顶帖一样,可我的电脑里用搜索的确找不到他们,叫我怎么删
gototop
 
已成过去
头像
叱咤花甲狮
  • 帖子:2685
  • 注册: 2007-01-24
  • 来自:
发表于: 2007-12-01 14:03 | 短消息 资料
字号: 19楼

引用:
【awewef的贴子】其实前面的都行,就是再用XDELBOX工具删除(记住把遏制再生钩上!)
<{8E32FA58-3453-FA2D-BC49-F340348ACCE8}><C:\WINDOWS\system32\rsmyhpm.dll> []
<{692FADFA-BCDE-ACDF-CDEF-21054865CBA6}><C:\WINDOWS\system32\wsmsdzx.dll> []
<{AD561258-45F3-A451-F908-A258458226DA}><C:\WINDOWS\system32\kvdxsjma.dll> []
<{5598FF45-DA60-F48A-BC43-10AC47853D55}><C:\WINDOWS\system32\rarjepi.dll> []
<{B7D81718-1314-5200-2597-58790101807B}><C:\WINDOWS\system32\kaqhkzy.dll> []
<{7A1247C1-53DA-FF43-ABD3-345F323A48D7}><C:\WINDOWS\system32\avwggmn.dll> []
<{AC87A354-ABC3-DEDE-FF33-3213FD7447CA}><C:\WINDOWS\system32\kvdxjma.dll> []
<{D34345F1-DACF-3452-CB7D-4620F34A153D}><C:\WINDOWS\system32\rsztmpm.dll> []
<{64783410-4F90-34A0-7820-3230ACD05F46}><C:\WINDOWS\system32\raqjfpi.dll> []
<{C6650011-3344-6688-4899-345FABCD156C}><C:\WINDOWS\system32\ratblpi.dll> []
<{5A321487-4977-D98A-C8D5-6488257545A5}><C:\WINDOWS\system32\kapjezy.dll> []
<{58847374-8323-FADC-B443-4732ABCD3785}><C:\WINDOWS\system32\sidjezy.dll> []
<{6960356A-458E-DE24-BD50-268F589A56A6}><C:\WINDOWS\system32\avwlfmn.dll> []
<{24909874-8982-F344-A322-7898787FA742}><C:\WINDOWS\system32\swjqbzc.dll> []
<{678A7521-FA87-34AB-34C2-4893F3AD34C6}><C:\WINDOWS\system32\swrcezc.dll> []
<{25679330-4034-9021-7012-909856721372}><C:\WINDOWS\system32\wszjbzx.dll> []
<{F2CEA371-1442-4F42-900F-97C479F406DB}><C:\WINDOWS\system32\hursax.dll> []
<{A859245F-345D-BC13-AC4F-145D47DA34FA}><C:\WINDOWS\system32\avzxjmn.dll> []
<{792FADFA-BCDE-ACDF-CDEF-21054865CBA7}><C:\WINDOWS\system32\wsmsezx.dll> []
<{68907901-1416-3389-9981-372178569986}><C:\WINDOWS\system32\kawdfzy.dll> []
<{B6650011-3344-6688-4899-345FABCD156B}><C:\WINDOWS\system32\ratbkpi.dll> []
这部,你说的和置顶帖一样,可我的电脑里用搜索的确找不到他们,叫我怎么删
………………

与其要我相信是SRENG工具出错..哪我宁愿相信你的操作错误啊..
不过你可以手动...


打开SRENG工具:
启动项目==>注册列表==>把以上的文件找出来一一对应删除!!!


如果再不行的话用冰刃解决一下的DD:
[C:\WINDOWS\system32\kaqhkzy.dll] [N/A, ]



做完以上步骤.你再发一次日记在论坛上...记住..贴的名字提示是第二次发的...要不我不清楚..再把原来贴的地址复制上去...以便解决!
gototop
 
awewef
头像
快乐黄口狮
  • 帖子:132
  • 注册: 2005-05-17
  • 来自:
发表于: 2007-12-01 17:31 | 只看楼主 短消息 资料
字号: 20楼

其实就是我前面说过的,那些比如C:\WINDOWS\system32\rsmyhpm.dll
都是以文件夹形式存在,XDELBOX删不了文件夹的,是不是可以在安全模式下删除这些文件夹呢?
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT