1   1  /  1  页   跳转

[求助] 恶意程序伪装sys32

收藏
痴范小公主
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2008-06-17
  • 来自:
发表于: 2008-06-17 14:51 | 只看楼主 短消息 资料
字号: 1楼

恶意程序伪装sys32

请问各位高手怎样删除“恶意程序伪装sys32“,我重启删除了两次都不行,麻烦请讲解的详细一些,我对电脑很白痴的,谢谢。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
分享到:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-06-17 14:54 | 短消息 资料
字号: 2楼

回复:恶意程序伪装sys32

麻烦请描述的详细一些,我对这样求助很头疼的,谢谢。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
痴范小公主
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2008-06-17
  • 来自:
发表于: 2008-06-17 15:05 | 只看楼主 短消息 资料
字号: 3楼

回复:恶意程序伪装sys32

打开卡卡后,显示发现恶意及流氓软件1个,须进行重启删除,可重启后,这个木马还在,名称是恶意程序伪装sys32,路径是C:\WINDOWS\system32\explorer.exe
gototop
 
深山老幺
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-06-20
  • 来自:
发表于: 2008-06-20 15:01 | 短消息 资料
字号: 4楼

回复: 恶意程序伪装sys32

我今天有台机是这样处理的:
重启到安全模式的命令行
与正常机上的explorer.exe用FC命令比较发现%Systemroot%\system32中的explorer.exe是正确的
%Systemroot%中的explorer.exe字节和日期正确,但用FC命令一比较就发现不对,
在%systemroot%下用dir /os查看,有几个四个字母的EXE文件字节和日期和explorer.exe一样,
用FC比较也是一样,用Del删除这几个文件和explorer.exe,运行
move system32\explorer.exe .
shutdown /r /t 0
gototop
 
ogoder
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2008-06-24
  • 来自:
发表于: 2008-06-24 23:49 | 短消息 资料
字号: 5楼

回复:恶意程序伪装sys32

我也是今天刚染上这个木马,经过两个多小时的奋战终于解决了,现在给大家分享一下:
第一步,准备一个U盘(最好是有写保护的),从另一个纯净的系统中拷贝一个explorer.exe(在c:\windows\下,如果是2000server版在c:\winnt\下)到U盘,然后把U盘写保护(这个不说你们也知道)。
第二步,到你感染木马那个机子上插上U盘,打开任务管理器(就是在任务栏点鼠标右键的那个任务管理器)在进程表中找到explorer.exe把他结束了,然后点应用程序一栏->点新任务->在打开栏内输入cmd.exe。(不要关任务管理器),然后输入del c:\windows\system32\explorer.exe 接着输入copy h:\explorer.exe c:\windows\ /y(h:\为你的U盘盘符)。
第三步,在任务管理器应用程序一栏->点新任务->在打开栏内输入c:\windows\explorer.exe
第四步,清理拉极,在c:\windows\目录下查找描述为microsoft corporation的文件(例如hhcpl.exe ulk.exe 等你从来没见过的文件,你可以看一下它的创建日期,应该是你染上木马的时候它就开始创建了,每次你上网这些文件就会自动访问网络)
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT