1   1  /  1  页   跳转

[求助] 瑞星变小红伞勒

收藏
anglese
头像
初生襁褓狮
  • 帖子:66
  • 注册: 2008-05-29
  • 来自:广西柳州市
发表于: 2008-07-23 18:27 | 只看楼主 短消息 资料
字号: 1楼

瑞星变小红伞勒

用日志扫勒下  还蛮多毒的    哎  怎么中的毒都不知道  先发日志

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

文件名:SREngLOG.log
下载次数:68
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-23 18:27:19
描述:log

BS一切病毒  木马 `````
分享到:
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-07-23 18:42 | 短消息 资料
字号: 2楼

回复:瑞星变小红伞勒

操作方法看我签名
删除文件,并用暴力删除工具删除文件并抑制再生
再处理注册表信息
修改注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe,22.exe>  [(Verified)Microsoft Windows Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]为
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
修改注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><kmon.dll msspcyn.dll longasus.dll fackwir.dll welycz.dll offecao.dll theralte.dll>  [N/A]
为 <AppInit_DLLs><kmon.dll>
删除病毒文件
c:\windos\system32\msspcyn.dll
c:\windos\system32\longasus.dll
c:\windos\system32\fackwir.dll
c:\windos\system32\welycz.dll
c:\windos\system32\offecao.dll
c:\windos\system32\theralte.dll
删除启动项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]下注册表项目及对应DLL文件
  <{00050005-0005-0005-0005-00050005BB15}><C:\WINDOWS\system32\cliconfgzx.dll>  []
    <{021F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll>  []
    <{841529CB-7F77-4B99-A895-B5441E0D302F}><C:\WINDOWS\system32\jfrwdh.dll>  []
    <{8C41B7F7-3168-400D-A702-0E7EFE0BA304}><C:\WINDOWS\system32\sgdewg.dll>  []
    <{A9895933-6636-4281-BC58-EE6DE2AF96E3}><C:\WINDOWS\system32\ddserh.dll>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zycdex.dll>  []
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><C:\WINDOWS\system32\hhrdxd.dll>  []
    <{E8A3B193-77E3-4FB3-986D-F4FA4828BAFC}><C:\WINDOWS\system32\wklsdd.dll>  []
    <{00150015-0015-0015-0015-00150015BB15}><C:\WINDOWS\system32\dzavsldq.dll>  []
    <{00120012-0012-0012-0012-00120012BB15}><C:\WINDOWS\system32\kbdswjr.dll>  []
    <{00060006-0006-0006-0006-00060006BB15}><C:\WINDOWS\system32\dispexcb.dll>  []
    <{00030003-0003-0003-0003-00030003BB15}><C:\WINDOWS\system32\bootvidgj.dll>  []
    <{00010001-0001-0001-0001-00010001BB15}><C:\WINDOWS\system32\adsntzt.dll>  []
    <{50A8A8C4-EDC9-4ABD-A0A2-2E2418982189}><C:\WINDOWS\system32\kgfghd.dll>  []
    <{00300030-0030-0030-0030-00300030BB15}><C:\WINDOWS\system32\imgutilhx2.dll>  []
    <{00250025-0025-0025-0025-00250025BB15}><C:\WINDOWS\system32\slbiopfs2.dll>  []
    <{C0595A7E-2E2F-4B34-A83A-019270A0A464}><C:\WINDOWS\system32\tdffdl.dll>  []
    <{000F087F-4378-545F-74FA-37D345AD7A8C}><C:\WINDOWS\system32\mttwfh.dll>  []
    <{28766E1C-74B0-4417-8C75-F12AE309EF35}><C:\WINDOWS\system32\wzcfsw.dll>  []
删除启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]下注册表项目及对应DLL文件
    <cliconfgzx.dll><C:\WINDOWS\system32\cliconfgzx.dll>  []
    <dzavsldq.dll><C:\WINDOWS\system32\dzavsldq.dll>  []
    <kbdswjr.dll><C:\WINDOWS\system32\kbdswjr.dll>  []
    <dispexcb.dll><C:\WINDOWS\system32\dispexcb.dll>  []
    <bootvidgj.dll><C:\WINDOWS\system32\bootvidgj.dll>  []
    <adsntzt.dll><C:\WINDOWS\system32\adsntzt.dll>  []
    <imgutilhx2.dll><C:\WINDOWS\system32\imgutilhx2.dll>  []
    <slbiopfs2.dll><C:\WINDOWS\system32\slbiopfs2.dll>  []

删除服务及对应文件
[B302EC43 / B302EC43][Stopped/Auto Start]
  <C:\WINDOWS\system32\75D23BE4.EXE -d><(File is missing)>
[Windows Network Management / Windows Network Management][Stopped/Auto Start]
  <C:\WINDOWS\svchost.exe><(File is missing)>


并在计算机里查找22.exe
将其删除
gototop
 
anglese
头像
初生襁褓狮
  • 帖子:66
  • 注册: 2008-05-29
  • 来自:广西柳州市
发表于: 2008-07-23 18:44 | 只看楼主 短消息 资料
字号: 3楼

回复:瑞星变小红伞勒

谢拉
BS一切病毒  木马 `````
gototop
 
anglese
头像
初生襁褓狮
  • 帖子:66
  • 注册: 2008-05-29
  • 来自:广西柳州市
发表于: 2008-07-23 18:45 | 只看楼主 短消息 资料
字号: 4楼

回复:瑞星变小红伞勒

先修改  还是先删除- -
BS一切病毒  木马 `````
gototop
 
anglese
头像
初生襁褓狮
  • 帖子:66
  • 注册: 2008-05-29
  • 来自:广西柳州市
发表于: 2008-07-23 19:23 | 只看楼主 短消息 资料
字号: 5楼

回复:瑞星变小红伞勒

不行    还是小红伞
BS一切病毒  木马 `````
gototop
 
anglese
头像
初生襁褓狮
  • 帖子:66
  • 注册: 2008-05-29
  • 来自:广西柳州市
发表于: 2008-07-23 19:26 | 只看楼主 短消息 资料
字号: 6楼

回复: 瑞星变小红伞勒

再发次日志  C:\PROGRAM FILES\COMMON FILES\REAL\UPDATE_OB\REALSCHED.EXE
                    C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\PROGRAM\THUNDER5.EXE
THUNDER5.EXE
REALSCHED.EXE
这两个不是毒吗

附件附件:

文件名:SREngLOG.log
下载次数:72
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-23 19:26:01
描述:log

BS一切病毒  木马 `````
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-07-23 19:26 | 短消息 资料
字号: 7楼

回复: 瑞星变小红伞勒



引用:
原帖由 anglese 于 2008-7-23 18:45:00 发表
先修改  还是先删除- -


先删除病毒文件
并抑制再生

在删除病毒的启动项
修改注册表

瑞星修复,最好卸载重装
gototop
 
anglese
头像
初生襁褓狮
  • 帖子:66
  • 注册: 2008-05-29
  • 来自:广西柳州市
发表于: 2008-07-23 19:30 | 只看楼主 短消息 资料
字号: 8楼

回复:瑞星变小红伞勒

喂    回我话哇    不行  还是有毒
BS一切病毒  木马 `````
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-07-23 19:33 | 短消息 资料
字号: 9楼

回复:瑞星变小红伞勒

下载Dr.Web CureIt 到桌面,免安装的,直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
gototop
 
豪斯登堡新郎
头像
社区嘉宾
  • 帖子:4234
  • 注册: 2007-11-09
  • 来自:
发表于: 2008-07-23 19:33 | 短消息 资料
字号: 10楼

回复:瑞星变小红伞勒

服务
[Windows Network Management / Windows Network Management][Stopped/Auto Start]
  <C:\WINDOWS\svchost.exe><(File is missing)>

驱动程序
[HiddFldy / HiddFldy][Running/Auto Start]
  <\??\C:\WINDOWS\system32\d32dx9.sys><N/A>
[IIS Manager  / IIS Manager ][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1.tmp><N/A>
不认识我没关系,因为我也不认识你。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT