Rserver.exe中招后的查杀 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 Rserver.exe中招后的查杀

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[原创] Rserver.exe中招后的查杀

本主题由版主天月来了于 2008-10-5 9:53:37 执行主题置顶/取消操作

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-10-01 22:23 \| 只看楼主短消息资料字号：小中大 1楼 Rserver.exe中招后的查杀病毒样本来自绅博。文件大小：87K；MD5值：04a58deb1f8cd39507b0ea76078994b1。瑞星20.64.10不报毒。 Rserver.exe运行后，在%system%目录下释放winnet.dll和winnet.dll.uns两个病毒文件。winnet.dll插入3个svchost进程。若一一卸除svchost进程中的winnet.dll，系统会冻住或崩溃。 SRENG日志可见病毒服务项： [Install Bits Tool / Winet][Running/Auto Start] <C:\windows\System32\svchost.exe -k netsvcs-->C:\windows\system32\winnet.dll><N/A> 手工杀毒流程： 1、用IceSword强制删除%system%目录下的winnet.dll和winnet.dll.uns。 2、重启。 3、按下图清理注册表 1.jpg (99.86 K) 2008-10-1 22:23:18 2.jpg (83.00 K) 2008-10-1 22:23:18 3.jpg (104.47 K) 2008-10-1 22:23:18 4.jpg (77.49 K) 2008-10-1 22:23:18 注：瑞星主动防御不能阻止winnet.dll插入svchost进程，尽管我事先按下图设置好了瑞星的“应用程序保护规则”。 5.jpg (55.28 K) 2008-10-1 22:23:18 用户系统信息：Opera/9.52 (Windows NT 5.1; U; zh-cn) baohe 最后编辑于 2008-10-01 22:27:23
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团	发表于： 2008-10-01 22:36 \| 短消息资料字号：小中大 2楼回复：Rserver.exe中招后的查杀沙发讲的很详细很菜鸟化对我们这些菜鸟很有帮助谢谢楼主那个关于不能阻止进程插入，要怎么说瑞星有问题吗？？
happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团

happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团	发表于： 2008-10-01 22:44 \| 短消息资料字号：小中大 3楼回复：Rserver.exe中招后的查杀倒数第二个图片中的注册表路径是那里啊？？能说下注册表里面那个setup是干什么的吗？ happysunday2003 最后编辑于 2008-10-01 22:45:47
happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-10-01 22:49 \| 只看楼主短消息资料字号：小中大 4楼回复: Rserver.exe中招后的查杀引用: 原帖由 happysunday2003 于 2008-10-1 22:36:00 发表那个关于不能阻止进程插入，要怎么说瑞星有问题吗？？瑞星主防有待改进
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2008-10-01 22:50 \| 只看楼主短消息资料字号：小中大 5楼回复: Rserver.exe中招后的查杀引用: 原帖由 happysunday2003 于 2008-10-1 22:44:00 发表倒数第二个图片中的注册表路径是那里啊？？能说下注册表里面那个setup是干什么的吗？ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 那个setup－－－－－病毒添加的
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-10-01 22:50 \| 短消息资料字号：小中大 6楼回复 2F happysunday2003 的帖子要那样对话框会弹得让你晕死
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

Frank3160449 自信弱冠狮帖子:429 注册: 2008-05-25 来自:唐山	发表于： 2008-10-02 11:11 \| 短消息资料字号：小中大 7楼回复：Rserver.exe中招后的查杀汗。。。。现在的病毒得真恶心。。。时间过得好快。。。。
Frank3160449 自信弱冠狮帖子:429 注册: 2008-05-25 来自:唐山

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT