eraseme05882.exe的查杀

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 eraseme05882.exe的查杀

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-12-03 22:39 \| 只看楼主短消息资料字号：小中大 1楼 eraseme05882.exe的查杀 eraseme05882.exe 感染系统的表现：一、释放病毒文件： 1。在%windows%文件夹创建taskcntr.exe。 2。在%system%文件夹创建remon.sys。二、IceSword进程列表中可见病毒进程taskcntr.exe（有进程守护功能，此进程不能用IceSword直接结束）。三、、注册表改动： 1。在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加 TESV（指向%windows%文件夹中的taskcntr.exe）。 2。在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加 remon（指向%system%文件夹中的remon.sys）。 3。将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center右栏中各个注册表项的值置为“1”。（使windows安全中心失效）。 4。将HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile的值改为“0”。（关闭windows防火墙）。 5。将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\下start=2值改为“start=4”。 6。将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\下start=2值改为“start=4”。 7。将HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\下DisableRegistryTools=0改为"DisableRegistryTools"=1。（禁用注册表编辑器）。 8。将HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\下DisableTaskMgr=0改为"DisableTaskMgr"=1。（禁用任务管理器）。 eraseme05882.exe的查杀： 1。在SSM的“应用程序规则”中添加两条规则，禁止%windows%文件夹中的taskcntr.exe和%system%文件夹中的remon.sys运行（图）。 2。在IceSword的进程表中结束taskcntr.exe进程。 3。重启系统。 4。显示隐藏文件。删除%windows%文件夹中的taskcntr.exe。删除%system%文件夹中的remon.sys。 5。删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支下的TESV和remon。把病毒篡改的其它注册表键值改回原值。附件: 文件名:1558472005123223900.jpg 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-12-3 22:39:00 描述: 2005-12-04 18:45:57
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

花落花又开社区嘉宾帖子:6782 注册: 2005-04-16 来自:	发表于： 2005-12-03 22:42 \| 短消息资料字号：小中大 2楼算一只驱动木马吗? 厉害.
花落花又开社区嘉宾帖子:6782 注册: 2005-04-16 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-12-03 22:45 \| 只看楼主短消息资料字号：小中大 3楼【回复“花落花又开”的帖子】应该是个驱动木马。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:	发表于： 2005-12-04 17:15 \| 短消息资料字号：小中大 4楼。将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center右栏中各个注册表项的值置为“1”。（使windows安全中心失效）。 4。将HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile的值改为“0”。（关闭windows防火墙）。这两条原来的设置是什么啊
lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2005-12-04 17:34 | 只看楼主 短消息资料

字号：小中大 5楼

引用:

【lostcatwl的贴子】。将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center右栏中各个注册表项的值置为“1”。（使windows安全中心失效）。
4。将HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile的值改为“0”。（关闭windows防火墙）。

这两条原来的设置是什么啊
...........................

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center右栏中各个注册表项的值为0。
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\——可以删除。

lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:	发表于： 2005-12-04 17:41 \| 短消息资料字号：小中大 6楼前几个症状我都无他一提示瑞星就杀毒了是不是那几个文件不存在的
lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-12-04 17:43 \| 只看楼主短消息资料字号：小中大 7楼【回复“lostcatwl”的帖子】我不知道你的系统是否确实感染了这个病毒。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:	发表于： 2005-12-04 17:45 \| 短消息资料字号：小中大 8楼他现在不是中了这个毒。。总是木马克星提示说是出现eraseme_xxxx.exe 然后不一会瑞星就提示查杀backdoor.sdbot.ve 删除成功了不定期出现
lostcatwl 初生襁褓狮帖子:47 注册: 2005-11-17 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-12-04 17:50 \| 只看楼主短消息资料字号：小中大 9楼【回复“lostcatwl”的帖子】 1、eraseme_xxxx.exe——这个后门在WINDOWS模式下杀不净。前面已经提到它有进程守护功能。可以尝试在安全模式下杀（我没试过）。 2、杀毒后，需要运行WINDOWS UPDATE，给系统打全补丁。否则，还会感染。最后：由于remon.sys存在，且已经运行，看不到taskcntr.exe和remon.sys是可以理解的（用IceSword可以找到这两个文件）。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2005-12-04 17:52 \| 短消息资料字号：小中大 10楼够复杂的
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

<<上一主题|下一主题>>

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-12-03 22:39 \| 只看楼主短消息资料字号：小中大 1楼 eraseme05882.exe的查杀 eraseme05882.exe 感染系统的表现：一、释放病毒文件： 1。在%windows%文件夹创建taskcntr.exe。 2。在%system%文件夹创建remon.sys。二、IceSword进程列表中可见病毒进程taskcntr.exe（有进程守护功能，此进程不能用IceSword直接结束）。三、、注册表改动： 1。在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加 TESV（指向%windows%文件夹中的taskcntr.exe）。 2。在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支添加 remon（指向%system%文件夹中的remon.sys）。 3。将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center右栏中各个注册表项的值置为“1”。（使windows安全中心失效）。 4。将HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile的值改为“0”。（关闭windows防火墙）。 5。将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\下start=2值改为“start=4”。 6。将HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\下start=2值改为“start=4”。 7。将HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\下DisableRegistryTools=0改为"DisableRegistryTools"=1。（禁用注册表编辑器）。 8。将HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\下DisableTaskMgr=0改为"DisableTaskMgr"=1。（禁用任务管理器）。 eraseme05882.exe的查杀： 1。在SSM的“应用程序规则”中添加两条规则，禁止%windows%文件夹中的taskcntr.exe和%system%文件夹中的remon.sys运行（图）。 2。在IceSword的进程表中结束taskcntr.exe进程。 3。重启系统。 4。显示隐藏文件。删除%windows%文件夹中的taskcntr.exe。删除%system%文件夹中的remon.sys。 5。删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\分支下的TESV和remon。把病毒篡改的其它注册表键值改回原值。附件: 文件名:1558472005123223900.jpg 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-12-3 22:39:00 描述: 2005-12-04 18:45:57
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 eraseme05882.exe的查杀

eraseme05882.exe的查杀

eraseme05882.exe的查杀

附件:

文件名:1558472005123223900.jpg 下载次数:0 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(90545); 上传时间:2005-12-3 22:39:00 描述:

文件名:1558472005123223900.jpg

下载次数:0

文件类型:image/pjpeg

文件大小:

上传时间:2005-12-3 22:39:00

描述: