这是啥毒啊！怎么也杀不了！【求助】 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛这是啥毒啊！怎么也杀不了！【求助】

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

这是啥毒啊！怎么也杀不了！【求助】

harryzhao 初生襁褓狮帖子:4 注册: 2006-02-06 来自:	发表于： 2006-02-06 12:35 \| 只看楼主短消息资料字号：小中大 1楼这是啥毒啊！怎么也杀不了！【求助】 2006年2月5日系统事件：已发现木马! 木马名称：UnKnownVirus.Morphine.4310 木马路径：C:\Documents and Settings\Administrator\Local Settings\Temp\~DF8870.tmp 处理方式：删除成功系统事件：已发现木马! 木马名称：Troj.LMir2.ky.2611 木马路径：C:\Program Files\Common Files\iexplore.pif 处理方式：隔离成功 C:\Program Files\Common Files\iexplore.pif 系统事件：已发现木马! 木马名称：UnKnownVirus.Morphine.4310 木马路径：C:\WINNT\system32\Perflib_Perfdata_9bc.dat 处理方式：删除成功系统事件：已发现木马! 木马名称：Trojan.Legmir.BC.6027 木马路径：D:\Documents and Settings\harryzhao\Local Settings\Temporary Internet Files\Content.IE5\I1A7U9SF\expire[1].htm 处理方式：删除成功系统事件：已发现木马! 木马名称：AdWare.AlexaBar.b.5917 木马路径：D:\WINDOWS\system32\AlxTB1.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：AdWare.Plin.b.5982 木马路径：D:\WINDOWS\system32\UnregSkyPfw.exe 处理方式：删除成功系统事件：已发现木马! 木马名称：AdWare.AlexaBar.b.5917 木马路径：D:\软件备份\IE反劫持大师\backups\backup-20051118-144247-127.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：AdWare.AlexaBar.b.5917 木马路径：D:\软件备份\反劫持\backups\backup-20051202-175356-375.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：AdWare.AlexaBar.b.5917 木马路径：D:\软件备份\反劫持\backups\backup-20051214-213037-859.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：hack.psw.foxmail.asp.2243 木马路径：E:\源码备份\yzlove.com\cne8\btoc\zs.asp 处理方式：隔离成功 E:\源码备份\yzlove.com\cne8\btoc\zs.asp 系统事件：已发现木马! 木马名称：hack.psw.foxmail.asp.2243 木马路径：E:\源码备份\yzlove.com\cne8\btoc\fengxiong\zs.asp 处理方式：隔离成功 E:\源码备份\yzlove.com\cne8\btoc\fengxiong\zs.asp 系统事件：启动项目中发现木马! 木马名称：Troj.LMir2.ky.2605 木马启动项：torjan program 木马从启动项目中清除成功! c:\winnt\winlogon.exe 木马在硬盘清除成功! c:\winnt\winlogon.exe 系统事件：启动项目中发现木马! 木马名称：系统用户登录管理.3 木马启动项：torjan program 木马从启动项目中清除成功! c:\winnt\winlogon.exe 核心启动中发现木马! 已经清除 1 系统事件：已发现木马! 木马名称：Troj.LMir2.ky.2607 木马路径：C:\WINNT\1.com 处理方式：隔离成功 C:\WINNT\1.com 系统事件：已发现木马! 木马名称：Troj.LMir2.ky.2610 木马路径：C:\WINNT\ExERoute.exe 处理方式：隔离成功 C:\WINNT\ExERoute.exe 系统事件：已发现木马! 木马名称：W32.Gokar.A@mm.2062 木马路径：C:\WINNT\explorer.com 处理方式：隔离成功 C:\WINNT\explorer.com 系统事件：已发现木马! 木马名称：Troj.LMir2.ky.2609 木马路径：C:\WINNT\finder.com 处理方式：隔离成功 C:\WINNT\finder.com 系统事件：已发现木马! 木马名称：Troj.LMir2.ky.2613 木马路径：C:\WINNT\Debug\DebugProgram.exe 处理方式：隔离成功 C:\WINNT\Debug\DebugProgram.exe 系统事件：已发现木马! 木马名称：Troj.LMir2.ky.2615 木马路径：C:\WINNT\system32\command.pif 处理方式：隔离成功 C:\WINNT\system32\command.pif 系统事件：已发现木马! 木马名称：Troj.LMir2.ky.2614 木马路径：C:\WINNT\system32\dxdiag.com 处理方式：隔离成功 C:\WINNT\system32\dxdiag.com 系统事件：已发现木马! 木马名称：Troj.LMir2.ky.2609 木马路径：C:\WINNT\system32\finder.com 处理方式：隔离成功 C:\WINNT\system32\finder.com 系统事件：已发现木马! 木马名称：Troj.LMir2.ky.2616 木马路径：C:\WINNT\system32\MSCONFIG.COM 处理方式：隔离成功 C:\WINNT\system32\MSCONFIG.COM 系统事件：已发现木马! 木马名称：Troj.LMir2.ky.2617 木马路径：C:\WINNT\system32\regedit.com 处理方式：隔离成功 C:\WINNT\system32\regedit.com 系统事件：已发现木马! 木马名称：Troj.LMir2.ky.2618 木马路径：C:\WINNT\system32\rundll32.com 处理方式：隔离成功 C:\WINNT\system32\rundll32.com 怎么也杀不了，今天没了明天又有了 2006-02-06 13:58:15
harryzhao 初生襁褓狮帖子:4 注册: 2006-02-06 来自:	分享到：

不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	发表于： 2006-02-06 12:38 \| 短消息资料字号：小中大 2楼安全模式下断网查杀吧最好使用专业杀软
不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球

harryzhao 初生襁褓狮帖子:4 注册: 2006-02-06 来自:	发表于： 2006-02-06 12:51 \| 只看楼主短消息资料字号：小中大 3楼我用的是木马杀客，还是杀不了，用什么专业杀软？
harryzhao 初生襁褓狮帖子:4 注册: 2006-02-06 来自:

不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	发表于： 2006-02-06 13:05 \| 短消息资料字号：小中大 4楼根据日志手动解决
不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球

harryzhao 初生襁褓狮帖子:4 注册: 2006-02-06 来自:	发表于： 2006-02-06 13:25 \| 只看楼主短消息资料字号：小中大 5楼请说明白点，偶把隔离起来的都手工删除了
harryzhao 初生襁褓狮帖子:4 注册: 2006-02-06 来自:

不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	发表于： 2006-02-06 13:26 \| 短消息资料字号：小中大 6楼【回复“harryzhao”的帖子】把日志中的文件删除唉
不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球

harryzhao 初生襁褓狮帖子:4 注册: 2006-02-06 来自:	发表于： 2006-02-06 13:30 \| 只看楼主短消息资料字号：小中大 7楼问题是都手工删了啊！过了一天他又回来了所以才觉得麻烦
harryzhao 初生襁褓狮帖子:4 注册: 2006-02-06 来自:

710207 叱咤花甲狮帖子:2341 注册: 2006-02-06 来自:	发表于： 2006-02-06 13:58 \| 短消息资料字号：小中大 8楼某些用户经常会很郁闷，自己明明已经删除了木马文件和相应的启动项，可是不知道什么时候它自己又原封不动的回来了，这还不算，更悲惨的是有时候杀掉某个木马后，系统也出了故障:所有应用程序都打不开了。这时候，如果用户对计算机技术的了解仅限于使用杀毒软件，那可只能哭哭啼啼的重装系统了! 　　　　为什么会这样?难道这种木马还恶意修改了系统核心?其实答案很简单，因为这种木马修改了应用程序(EXE文件)的并联方式。　　　　什么是“并联方式”呢?在Windows系统里，文件的打开操作是通过注册表内相应键值指定的应用程序来执行的，这个部分位于注册表的“HKEY_CLASSES_ROOT”主键内，当系统收到一个文件名请求时，会以它的后缀名为依据在这里识别文件类型，进而调用相应的程序打开。而应用程序自身也被视为一个文件，它也属于一种文件类型，同样可以用其他方式开启，只不过Windows设置它的调用程序为“"%1" %”，让系统内核理解为“可执行请求”，它就会为使用这种打开方式的文件创建进程，最终文件就被加载执行了，如果有另外的程序更改了这个键值，Windows就会调用那个指定的文件来开启它。一些木马程序把EXE后缀名对应的exefile类型的“打开方式”改成了“木马程序 "%1" %”，运行程序时系统就会先为“木马程序”创建进程，把紧跟着的文件名作为参数传递给它执行，于是在我们看来程序被正常启动了。因为木马程序被作为所有EXE文件的调用程序，使得它可以长期驻留内存，每次都能恢复自身文件，所以在一般用户看来，这个木马就做到了“永生不死”。然而一旦木马程序被删除，Windows就会找不到相应的调用程序，于是正常程序就无法执行了，这就是所谓的“所有程序都无法运行”的情况来源，并不是木马更改了系统核心，更没必要因此重装整个系统。　　　　根除这种木马的最简单方法只需要查看EXE文件的打开方式被指向了什么程序，立即停止这个程序的进程，如果它还产生了其他木马文件的话，也一起停止，然后在保持注册表编辑器开启着的情况下(否则你的所有程序都会打不开了)删除掉所有木马文件，把exefile的“打开方式”项(HKEY_CLASSES_ROOT\exefile\shell\open\command)改回原来的“”%1” %*”即可。　　　　如果删除木马前忘记把并联方式改回来，就会发现程序打不开了，这时候不要着急，如果你是Win9x用户，请使用“外壳替换大法”:重启后按F8进入启动菜单选择MS-DOS模式，把Explorer.exe随便改个名字，再把REGEDIT.EXE改名为Explorer.exe，再次重启后会发现进入Windows只剩下一个注册表编辑器了，赶快把并联方式改回来吧!重启后别忘记恢复以前的Explorer.exe。　　　　对于Win2000/XP用户而言，这个操作更简单了，只要在开机时按F8进入启动菜单，选“命令提示符的安全模式”，系统就会自动调用命令提示符界面作为外壳，直接在里面输入REGEDIT即可打开注册表编辑器!XP用户甚至不需要重启，直接在“打开方式”里浏览到CMD.EXE就能打开“命令提示符”界面运行注册表编辑器REGEDIT.EXE了。
710207 叱咤花甲狮帖子:2341 注册: 2006-02-06 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT