1   1  /  1  页   跳转

[求助] 请教如何删除rgwatch.sys(通用搜索)

收藏
lifndcw
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2011-11-02
  • 来自:
发表于: 2011-11-02 17:18 | 只看楼主 短消息 资料
字号: 1楼

请教如何删除rgwatch.sys(通用搜索)

机子中了rgwatch.sys(通用搜索),在安全方式下
1、iceword不能启动,改名也不行。
2、用unlock删除rgwatch.sys,重启后又存在了。
试过网上很多方法,都不行

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; TheWorld)
分享到:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2011-11-02 17:27 | 短消息 资料
字号: 2楼

回复 1F lifndcw 的帖子

试试xt,http://bbs.ikaka.com/attachment.aspx?attachmentid=625352,删除前,勾选禁止文件创建,在杂项里。如能提取rgwatch.sys,请压缩跟帖上传。
gototop
 
lifndcw
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2011-11-02
  • 来自:
发表于: 2011-11-03 14:44 | 只看楼主 短消息 资料
字号: 3楼

回复: 请教如何删除rgwatch.sys(通用搜索)

上传了三个文件,请高手帮手看下如何清除这个病毒

附件附件:

文件名:RGWatch1.rar
下载次数:262
文件类型:application/octet-stream
文件大小:
上传时间:2011-11-3 14:43:40
描述:rgwatch.sys文件

附件附件:

文件名:SREngLOG.log
下载次数:219
文件类型:application/octet-stream
文件大小:
上传时间:2011-11-3 14:43:40
描述:srenglog记录

附件附件:

文件名:Temp.rar
下载次数:261
文件类型:application/octet-stream
文件大小:
上传时间:2011-11-3 14:43:40
描述:不停生成压缩包里面的文件
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2011-11-03 15:12 | 短消息 资料
字号: 4楼

回复 3F lifndcw 的帖子

那个驱动是0字节,lz将QQ号通过站内短消息发送给我,远程看一下。
gototop
 
lifndcw
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2011-11-02
  • 来自:
发表于: 2011-11-03 15:46 | 只看楼主 短消息 资料
字号: 5楼

回复: 请教如何删除rgwatch.sys(通用搜索)

因上毒的机子都是技术人员使用,不方便给远程呀
另用SREng扫描出来的异常文件,你看下有没有用

附件附件:

下载次数:354
文件类型:application/octet-stream
文件大小:
上传时间:2011-11-3 15:46:01
描述:rar

附件附件:

下载次数:355
文件类型:application/octet-stream
文件大小:
上传时间:2011-11-3 15:46:01
描述:rar

附件附件:

下载次数:255
文件类型:application/octet-stream
文件大小:
上传时间:2011-11-3 15:46:01
描述:rar

附件附件:

下载次数:330
文件类型:application/octet-stream
文件大小:
上传时间:2011-11-3 15:46:01
描述:rar

附件附件:

下载次数:330
文件类型:application/octet-stream
文件大小:
上传时间:2011-11-3 15:46:01
描述:rar

附件附件:

下载次数:329
文件类型:application/octet-stream
文件大小:
上传时间:2011-11-3 15:46:01
描述:rar
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2011-11-03 15:57 | 短消息 资料
字号: 6楼

回复 5F lifndcw 的帖子

sreng工具的SuspiciousFiles误报率是很高的。temp.rar样本已收集反馈。
下面两个隐藏进程不知道是什么
C:\WINDOWS\system32\TCCMgtC.exe
C:\WINDOWS\system32\TCCWatcher.exe
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2011-11-03 16:05 | 短消息 资料
字号: 7楼

回复:请教如何删除rgwatch.sys(通用搜索)

Temp.rar程序都是注册机啊
gototop
 
lifndcw
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2011-11-02
  • 来自:
发表于: 2011-11-03 16:24 | 只看楼主 短消息 资料
字号: 8楼

回复: 请教如何删除rgwatch.sys(通用搜索)

C:\WINDOWS\system32\TCCMgtC.exe
C:\WINDOWS\system32\TCCWatcher.exe
这两个是防水墙(防止通过U口复制文件)的文件,是正常的

temp.rar中的文件是病毒不断生成在C:\Documents and Settings\Administrator\Local Settings\Temp中的dwh*.exe文件
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2011-11-03 16:27 | 短消息 资料
字号: 9楼

回复 8F lifndcw 的帖子

使用processmonitor工具监视一下,看看具体是那个程序不断创建dwh*.exe,运行了一下都是注册机。
gototop
 
lifndcw
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2011-11-02
  • 来自:
发表于: 2011-11-04 17:04 | 只看楼主 短消息 资料
字号: 10楼

回复: 请教如何删除rgwatch.sys(通用搜索)

用unlocker删除以下文件
C:\WINDOWS\system32\drivers\DetPort.sys
C:\WINDOWS\system32\drivers\IsPubDrv.sys
C:\WINDOWS\system32\drivers\OfcPfwSvc.exe
C:\WINDOWS\system32\drivers\RGWatch.sys
C:\WINDOWS\system32\drivers\TMCOMM.sys
C:\WINDOWS\system32\drivers\TM_CFW.sys

用XueTr删除注册表以下内容
KEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rgwatch
HKEY_LOCAL_MACHINE\SOFTWARE\WonderSoft\lockfiles


终于删除rgwatch,sys
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT