瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 求助:这个木马Trojan.Win32.lineback杀不了啊!!

1   1  /  1  页   跳转

求助:这个木马Trojan.Win32.lineback杀不了啊!!

收藏
小溪流
头像
初生襁褓狮
  • 帖子:23
  • 注册: 2003-12-07
  • 来自:
发表于: 2005-07-22 00:26 | 只看楼主 短消息 资料
字号: 1楼

求助:这个木马Trojan.Win32.lineback杀不了啊!!

这个木马Trojan.Win32.lineback  一直在windows/downloaded program files/0319/advapi32.exe  瑞星经常提示次病毒被清除,但是一直都还在,杀都杀不完,我试着把文件删了没用,说正在被windows使用的文件,删不了,应该怎么办啊?????
最后编辑2005-07-24 11:53:09
分享到:
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-07-22 00:42 | 短消息 资料
字号: 2楼

advapi32.exe??

请尝试以下操作:
1。重启进入安全模式(启动时按F8)
2。删除下列文件
1) windows\backup\*.*
2) windows\prefetch\advapi32*.* avicap32*.*
3) window\system32\MyIMLite\*.*(如果有的话,似乎这就是源头)
4) windows\downloaded program files\0319\*.*
这个目录在windows下搜索不到,也看不到(开了显示隐藏),
可采用以下方法搞定:
首先 点 开始 /运行/ 键入cmd /确定
接下来 cd d:回车
接下来 del c:\advapi32.exe/s/a 回车
接下来 del c:\avicap32.exe/s/a 回车
接下来 del c:\MuSearch.dll/s/a 回车

3。删除注册表中与advapi32.exe avicap32.exe MuSearch.dll 相关的键值,步骤如下:
首先 点 开始 /运行/ 键入regedit 确定
然后 点 编辑 /查找/ 分别键入advapi32.exe avicap32.exe MuSearch.dll 进行查找,
找到后全部清除掉。(不妨从头到底多查几遍,一定要弄干净喔 !!!)

4。清除所有cookies,internet临时文件
gototop
 
冷雨夜阑
头像
叱咤花甲狮
  • 帖子:2665
  • 注册: 2005-06-28
  • 来自:
发表于: 2005-07-22 02:26 | 短消息 资料
字号: 3楼

厉害学习到了
gototop
 
灵鹰
头像
初生襁褓狮
  • 帖子:66
  • 注册: 2005-07-15
  • 来自:
发表于: 2005-07-22 07:00 | 短消息 资料
字号: 4楼

引用:
【花落花又开的贴子】advapi32.exe??

请尝试以下操作:
1。重启进入安全模式(启动时按F8)
2。删除下列文件
1) windows\backup\*.*
2) windows\prefetch\advapi32*.* avicap32*.*
3) window\system32\MyIMLite\*.*(如果有的话,似乎这就是源头)
4) windows\downloaded program files\0319\*.*
这个目录在windows下搜索不到,也看不到(开了显示隐藏),
可采用以下方法搞定:
首先 点 开始 /运行/ 键入cmd /确定
接下来 cd d:回车
接下来 del c:\advapi32.exe/s/a 回车
接下来 del c:\avicap32.exe/s/a 回车
接下来 del c:\MuSearch.dll/s/a 回车

3。删除注册表中与advapi32.exe avicap32.exe MuSearch.dll 相关的键值,步骤如下:
首先 点 开始 /运行/ 键入regedit 确定
然后 点 编辑 /查找/ 分别键入advapi32.exe avicap32.exe MuSearch.dll 进行查找,
找到后全部清除掉。(不妨从头到底多查几遍,一定要弄干净喔 !!!)

4。清除所有cookies,internet临时文件

...........................


学习是学习到了,可是要是RISING的墙和杀软再强一点点,也许就能防患于未然了.......

哎,这也仅仅是也许  ..........
gototop
 
小溪流
头像
初生襁褓狮
  • 帖子:23
  • 注册: 2003-12-07
  • 来自:
发表于: 2005-07-22 10:16 | 只看楼主 短消息 资料
字号: 5楼

【回复“花落花又开”的帖子】
我照你的方法做了,可是还有一个文件删不了,就是在windows\system 这个advapi32.dll,说指定文件正被windows使用,还有,在注册表那也是有个文件删不了,显示着是默认的(未设置数值),这下有怎么办啊??
gototop
 
小溪流
头像
初生襁褓狮
  • 帖子:23
  • 注册: 2003-12-07
  • 来自:
发表于: 2005-07-22 13:32 | 只看楼主 短消息 资料
字号: 6楼

高手来指点一下呀,删不了呀
gototop
 
小溪流
头像
初生襁褓狮
  • 帖子:23
  • 注册: 2003-12-07
  • 来自:
发表于: 2005-07-23 08:54 | 只看楼主 短消息 资料
字号: 7楼

请问谁知道吗?
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-07-23 08:58 | 短消息 资料
字号: 8楼

【回复“小溪流”的帖子】

尝试以下方法:

1. 断开网络,关闭所有浏览器窗口,退出/关闭可以退出/关闭的应用程序(因为其文件_IS_*.DLL可能会插入在其它进程中)
2. 结束掉Rundll32.exe进程(调用_IS_ISC.DLL)
3. 结束掉Explorer.exe进程(在Explorer.exe进程里也插入了几个_IS_*.DLL文件,其中就有进程保护的DLL。另,结束掉Explorer.exe进程后,桌面、任务栏会丢失)
以上步骤是为了尽量使那些_IS_*.DLL文件没有被调用,如果你对系统熟悉也可不用这样操作,只要确定当前没有_IS_*.DLL文件被调用即可。
4. 把Explorer.exe进程再运行起来(恢复桌面、任务栏。也可以先进行第5步删除相关文件)
5. 删除%Windows%\Downloaded Program Files\目录下面所有_IS_*.*文件(可以使用WinRAR,WinRAR也是一个文件浏览器用它可以浏览到一般不能直接查看的Downloaded Program Files\目录下的文件,用WinRAR找到那些_IS_*.*,删除掉),再删除%Windows%\backup\目录
6. 双击导入 DEL_isc.rar (在附件中)中的REG文件,作用是删除那些东西在注册表里留下的启动项和其它信息


附件附件:

下载次数:0
文件类型:application/octet-stream
文件大小:
上传时间:2005-7-23 8:58:33
描述:
gototop
 
小溪流
头像
初生襁褓狮
  • 帖子:23
  • 注册: 2003-12-07
  • 来自:
发表于: 2005-07-24 11:53 | 只看楼主 短消息 资料
字号: 9楼

【回复“花落花又开”的帖子】
还是不行哦,烦。。。。。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT