【求助】AV终结者 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】AV终结者

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

【求助】AV终结者

小胖zi 初生襁褓狮帖子:11 注册: 2008-03-18 来自:	发表于： 2008-03-18 14:44 \| 只看楼主短消息资料字号：小中大 11楼 ================================== Winsock 提供者 N/A ================================== Autorun.inf [D:\] [AutoRun] open=ebvldhc.exe shell\open=打开(&O) shell\open\Command=ebvldhc.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=ebvldhc.exe [K:\] [AutoRun] open=ebvldhc.exe shell\open=打开(&O) shell\open\Command=ebvldhc.exe shell\open\Default=1 shell\explore=资源管理器(&X) shell\explore\Command=ebvldhc.exe ================================== HOSTS 文件 127.0.0.1 localhost ================================== 进程特权扫描特殊特权被允许： SeLoadDriverPrivilege [PID = 1996, C:\PROGRAM FILES\INTEL\WIRELESS\BIN\OPROTSVC.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 204, C:\PROGRAM FILES\LAUNCH MANAGER\QTZGACER.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 244, C:\PROGRAM FILES\INTEL\WIRELESS\BIN\IFRMEWRK.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 328, C:\PROGRAM FILES\INTEL\WIRELESS\BIN\EOUWIZ.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 648, C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 2288, C:\PROGRAM FILES\COMMON FILES\SYSTEM\LFKXAOR.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 2304, C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\SALBHFD.EXE] ================================== API HOOK N/A ================================== 隐藏进程 N/A ================================== [/CODE]
小胖zi 初生襁褓狮帖子:11 注册: 2008-03-18 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-03-18 15:39 \| 短消息资料字号：小中大 12楼不要打开任何硬盘，不要使用原机任何文件。这里官网下载费尔木马强力清除助手。 http://dl.filseclab.com/down/powerrmv.zip 在任务管理器里终止下面进程： ================================== 正在运行的进程 [PID: 2288 / Administrator][C:\Program Files\Common Files\System\lfkxaor.exe] [N/A, ] [PID: 2304 / Administrator][C:\Program Files\Common Files\Microsoft Shared\salbhfd.exe] [N/A, ] 用费尔木马强力清除助手,勾选“抑制文件再生”删除下面文件： C:\Program Files\Common Files\System\lfkxaor.exe C:\Program Files\Common Files\Microsoft Shared\salbhfd.exe K:\Autorun.inf D:\ebvldhc.exe K:\Autorun.inf K:\ebvldhc.exe ———————————————————————————————— 再用解压工具WinRAR打开各盘，看根目录下是否还有Autorun.inf和ebvldhc.exe文件，有就都在WinRAR中删除。 ———————————————————————————————————— 在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：启动项目注册表 <ebvldhc><C:\Program Files\Common Files\Microsoft Shared\salbhfd.exe> [] <jvrarxe><C:\Program Files\Common Files\System\lfkxaor.exe> [] ———————————————————————————————————— 下面这项从没见过，愿意的话，也删除操作吧：在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除：启动项目注册表 <NoIE4StubProcessing><C:\WINDOWS\system32\reg.exe DELETE "HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components" /v "NoIE4StubProcessing" /f> [N/A] ———————————————————————————————————— 这贴里下载那个我在17楼提供的附件，解压后运行，删除检测到的所有映像劫持。 http://forum.ikaka.com/topic.asp?board=28&artid=8433210 这步必须要做，不然异常更多。 ———————————————————————————————————— 再重启电脑，升级杀毒软件至最新版本全盘杀毒。这里下载 W i n d o w s 清理助手，清理你那系统。 http://www.arswp.com/ 记得打打系统漏洞补丁清空IE缓存，清空临时文件夹。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT