疑似劳拉病毒或win32.ruirui,一直出现Windows文件保护 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛疑似劳拉病毒或win32.ruirui,一直出现Windows文件保护

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

2 / 2 页

跳转页

[求助] 疑似劳拉病毒或win32.ruirui,一直出现Windows文件保护

jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China	发表于： 2010-07-18 18:26 \| 短消息资料字号：小中大 11楼回复: 疑似劳拉病毒或win32.ruirui,一直出现Windows文件保护该病毒会通过替换系统“rpcss.dll”文件来实现开机自启动，所以先看启动项，一般病毒都会写服务项来实现开机的启动，首先先把以下两个服务项目禁止并删除文件。 9楼说这个是系统服务，不能禁止，这个是错误的，其实服务已经被替换了，实现的效果就是让木马启动。而且看下面的截图可以看出这个程序也是依附系统进程svchost来实现自启动的。 QQ截图未命名.png (100.01 K) 2010-7-18 18:25:53 使用Wsyscheck来查看svchost进程下有没有可疑的动态函数链接库，如果有的话请完全卸载。以下是举的例子，一般的dll文件都是有文件厂商的，病毒木马就很少有，还有就是dll的文件名。 1.png (337.20 K) 2010-7-18 18:25:53 刚才找了些资料，感觉这个是变种，为了逃避杀软的查杀把驱动程序给去掉了。至于那个开机启动项中的 C:\WINDOWS\system32\regsvr32.exe 请找到这个文件并上传到杀毒网来查看是不是正常文件。 http://www.virscan.org/ <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\2005013.lnk --> C:\WINDOWS\system32\regsvr32.exe [Microsoft Corporation]><N> <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\326990.lnk --> C:\WINDOWS\system32\regsvr32.exe [Microsoft Corporation]><N> 以上操作完成更新瑞星杀毒软件进行全盘扫描，也是担心病毒会联网下载一些其他的程序来执行。恩，貌似LZ也是学JAVA的呢其实偶也是
jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China

nice2day 初生襁褓狮帖子:9 注册: 2010-07-18 来自:	发表于： 2010-07-18 18:30 \| 只看楼主短消息资料字号：小中大 12楼回复: 疑似劳拉病毒或win32.ruirui,一直出现Windows文件保护引用: 原帖由天鹰之翼于 2010-7-18 16:32:00 发表别删那两个服务，建议使用金山急救箱扫描一遍以后再把瑞星升级到最新版本全盘查杀我用金山急救箱扫描后选择处理重启后任务栏没反应,不能粘贴文件和不能还原系统等等这需要重灌吗?
nice2day 初生襁褓狮帖子:9 注册: 2010-07-18 来自:

nice2day 初生襁褓狮帖子:9 注册: 2010-07-18 来自:	发表于： 2010-07-18 18:38 \| 只看楼主短消息资料字号：小中大 13楼回复: 疑似劳拉病毒或win32.ruirui,一直出现Windows文件保护引用: 原帖由 jks_风于 2010-7-18 18:26:00 发表该病毒会通过替换系统“rpcss.dll”文件来实现开机自启动，所以先看启动项，一般病毒都会写服务项来实现开机的启动，首先先把以下两个服务项目禁止并删除文件。 9楼说这个是系统服务，不能禁止，这个是错误的，其实服务已经被替换了，实现的效果就是让木马启动。而且看下面的截图可以看出这个程序也是依附系统进程svchost来实现自启动的。 [attac 好复杂喔,现在整个windows乱+慢等我re-format后慢慢一步一步跟你说的走弄了两天还是清除不了T-T *Java我还一窍不通,刚想学学
nice2day 初生襁褓狮帖子:9 注册: 2010-07-18 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2010-07-18 19:29 \| 短消息资料字号：小中大 14楼回复：疑似劳拉病毒或win32.ruirui,一直出现Windows文件保护这个病毒应该是感染型的，也感染rpcss.dll的。 <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\2005013.lnk --> C:\WINDOWS\system32\regsvr32.exe [Microsoft Corporation]><N> regsvr32.exe 这个文件没问题。其实这里是sreng没能扫描全，没扫描注册的病毒组件。完整的应该类似于 regsvr32.exe rpcss*.dll
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

nice2day 初生襁褓狮帖子:9 注册: 2010-07-18 来自:	发表于： 2010-07-18 20:50 \| 只看楼主短消息资料字号：小中大 15楼回复: 疑似劳拉病毒或win32.ruirui,一直出现Windows文件保护引用: 原帖由 byxxdrls 于 2010-7-18 19:29:00 发表这个病毒应该是感染型的，也感染rpcss.dll的。 <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\2005013.lnk --> C:\WINDOWS\system32\regsvr32.exe [Microsoft Corporation]><N> regsvr32.exe 这个文件没问题。其实这里是s 那要如何解决呢? 格式化所有硬盘,可否?
nice2day 初生襁褓狮帖子:9 注册: 2010-07-18 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2010-07-18 20:55 \| 短消息资料字号：小中大 16楼回复: 疑似劳拉病毒或win32.ruirui,一直出现Windows文件保护那当然可以了
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China	发表于： 2010-07-18 21:57 \| 短消息资料字号：小中大 17楼回复：疑似劳拉病毒或win32.ruirui,一直出现Windows文件保护不推荐格式化硬盘，LZ要是感觉手动查杀比较麻烦的话还是建议重新安装下系统吧。安装完系统以后首先下载瑞星全盘杀毒。记得重做完系统先别打开盘符之类的操作。那啥，感觉这个病毒不是全盘感染的那种，真没必要全格式化。
jks_风锋芒艾服狮帖子:2235 注册: 2009-12-17 来自:China

天鹰之翼飘泊而立狮帖子:644 注册: 2010-06-22 来自:	发表于： 2010-07-19 08:33 \| 短消息资料字号：小中大 18楼回复：疑似劳拉病毒或win32.ruirui,一直出现Windows文件保护最好不要格式化硬盘，建议楼主方便的话在另一台无毒的电脑上下载最新的瑞星全功能安全软件，然后用一个格式化后的U盘考过来，重装系统后再断网的情况下全盘杀毒，不要打开其他盘的任何文件。
天鹰之翼飘泊而立狮帖子:644 注册: 2010-06-22 来自:

nice2day 初生襁褓狮帖子:9 注册: 2010-07-18 来自:	发表于： 2010-07-19 14:34 \| 只看楼主短消息资料字号：小中大 19楼回复: 疑似劳拉病毒或win32.ruirui,一直出现Windows文件保护现在才发现中毒已1-2年了,难怪之前重新安装系统后下载的.exe文件常常出现NSIS error这几天才变本加厉结果昨天下午不耐烦就整盘格式化了为什么不推荐格式化硬盘?
nice2day 初生襁褓狮帖子:9 注册: 2010-07-18 来自:

天鹰之翼飘泊而立狮帖子:644 注册: 2010-06-22 来自:	发表于： 2010-07-19 14:51 \| 短消息资料字号：小中大 20楼回复：疑似劳拉病毒或win32.ruirui,一直出现Windows文件保护楼主，一般来说全盘格式化只有一些极端情况才会使用的，比如说硬盘出现坏道需要低格，多种病毒互相打架等。一般来说只要重装以后问题就解决了，不需要格盘。只要你在重装之后不打开其他盘符就开始杀毒，问题不是很大。
天鹰之翼飘泊而立狮帖子:644 注册: 2010-06-22 来自:

<<上一主题|下一主题>>

12

2 / 2 页

跳转页

页面顶部

Powered by Discuz!NT