1   1  /  1  页   跳转

[求助] 蛮难搞的一个autorun

收藏
我很土
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2007-08-11
  • 来自:
发表于: 2008-06-24 21:37 | 只看楼主 短消息 资料
字号: 1楼

蛮难搞的一个autorun

朋友中的毒,瑞星扫不出来,后来换了卡巴,扫描出来了,但是杀不掉,安全模式也没用,没有用到映像劫持,工具什么的都能用

但是注册表里的
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <lljy_df><C:\WINDOWS\system\llzjy080615.exe>

这两个东西改不了

还有一些莫名的驱动程序

[00007a0c / 00007a0c][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\00007a0c.SYS><N/A>
[69ij / 69ijd][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\69ijd.sys><N/A>
[ADProt / ADProt][Stopped/System Start]
[ADProt / ADProt][Stopped/System Start]
  <\SystemRoot\system32\drivers\ADProt.sys><N/A>
[bggcaiee / bggcaiee][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\bggcaiee.sys><N/A>
[pjjjmjj / pjjjmjj][Running/Boot Start]
  <\SystemRoot\\SystemRoot\System32\drivers\pjjjmjj.sys><N/A>

大家帮帮忙想想办法哈

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) ; Maxthon)

附件附件:

文件名:SREngLOG.log
下载次数:93
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-24 21:37:11
描述:sreng的扫描结果
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-06-24 21:41 | 短消息 资料
字号: 2楼

回复 1F 我很土 的帖子

建议用IceSword搞。
先禁止近程创建。
再结束系统核心进程以外的所有进程(除IceSword外)。
然后,对照日志,删除病毒文件及其加载项、驱动项、服务项等。
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-06-24 21:42 | 短消息 资料
字号: 3楼

回复: 蛮难搞的一个autorun

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <lljy_df><C:\WINDOWS\system\llzjy080615.exe>

这2个注册表值项,直接进入注册表编辑器删除,不是修改的问题;如果不能删除,请提升当前帐户注册表控制权限(右键注册表值项所在子项,选择“权限”,找到当前用户帐户,提升权限为“完全控制”,如果列表中没有当前帐户名,请先添加后,再提升权限)

服务、驱动的删除,点我签名最后一行的彩色字自学……
最后编辑超级游戏迷 最后编辑于 2008-06-24 21:43:03
打酱油的……
gototop
 
我很土
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2007-08-11
  • 来自:
发表于: 2008-06-25 22:08 | 只看楼主 短消息 资料
字号: 4楼

回复:蛮难搞的一个autorun

貌似楼上的两种方法都有点问题,驱动删不掉
gototop
 
ADL
头像
社区嘉宾
  • 帖子:21662
  • 注册: 2001-06-22
  • 来自:江湖
发表于: 2008-06-25 22:15 | 短消息 资料
字号: 5楼

回复:蛮难搞的一个autorun

ERD启动,进注册表,删除!
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-06-26 00:24 | 短消息 资料
字号: 6楼

回复: 蛮难搞的一个autorun

建议:
1、关闭所有打开的应用程序窗口(如QQ等),关闭IE浏览器,之后拔掉网线;

2、开始--控制面板--添加或删除程序--如果能找到“开心运程速递”这个程序,请单击并选择“删除”,如果没找到,继续以下操作;

3、运行SRENG扫描工具,保持窗口;

4、下载附件(冰刃),解压,运行ICESWORD.EXE,文件--设置--勾选“禁止进程创建”--确定

5、单击冰刃窗口左侧的“文件”标签,展开弹出窗口左侧窗格的文件树状目录,找到以下文件,右键,选择“强制删除”(找不到的就算了):
c:\windows\system32\drivers\00007a0c.SYS
c:\windows\System32\DRIVERS\69ijd.sys
c:\windows\system32\drivers\ADProt.sys
c:\windows\system32\drivers\bggcaiee.sys
c:\windows\System32\drivers\pjjjmjj.sys
c:\windows\System32\DRIVERS\ebrkfjwh.sys
c:\windows\System32\LYLeador.exe
C:\WINDOWS\system\llzjy080615.exe
C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE
C:\WINDOWS\SYSTEM32\WBEM\WZBSC.DLL
C:\Program Files\LLJAgent\KXAgentS.exe

6、单击冰刃窗口左侧的“注册表”标签,展开展开弹出对话框左侧的注册表树状目录,找到以下注册表值项,右键选择“删除”:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDCG32>
    <lljy_df>

7、切换到SRENG扫描工具窗口,启动项目--服务--WIN32服务应用程序,删除以下服务项目:
[KXAgent Service / KXAgentService](如果有的话)
[Computer Storage / WalALET]

8、继续在SRENG窗口下,启动项目--服务--驱动程序,删除以下驱动程序:
[00007a0c / 00007a0c]
[69ij / 69ijd]
[ADProt / ADProt]
[bggcaiee / bggcaiee]
[ebrkfjwh / ebrkfjwh]
[pjjjmjj / pjjjmjj]
[37812 / 37812]

9、关闭SRENG扫描工具窗口;

10、在冰刃窗口,文件--重启并监视,重启电脑,

11、全盘杀毒。

附件附件:

文件名:冰刃1_22.rar
下载次数:110
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-26 0:24:17
描述:rar

打酱油的……
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT