Backdoor.Win32.Agent.zwa的新问题 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 Backdoor.Win32.Agent.zwa的新问题

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3 4 5

1 / 5 页

跳转页

[已解决] Backdoor.Win32.Agent.zwa的新问题

wkill08 初生襁褓狮帖子:36 注册: 2008-09-09 来自:	发表于： 2008-09-09 12:18 \| 只看楼主短消息资料字号：小中大 1楼 Backdoor.Win32.Agent.zwa的新问题大家好。病毒名：Backdoor.Win32.Agent.zwa 　路径没找到每次瑞星杀毒可以杀掉，重启后又有~~~ 并且重启后会在开机时出现 “无法加载C:/WINDOWS/sysrem32/drivers/usbfs.dll” 不点击确定就无法加载内容，点击确定后好像机子没什么问题还是可以使用对照在"Backdoor.Win32.Agent.zwa 清除不了啊~~怎么办哦？"这个帖子中，看到给出的解决方案，我也照此扫描了我的日志，可是并没有“驱动程序[usbconf / usbconf][Running/System Start] <\??\C:\WINDOWS\system32\drivers\usbconf.sys><N/A> [usbfs / usbfs][Stopped/System Start] <\??\C:\WINDOWS\system32\drivers\usbfs.sys><N/A>”。只看到了“[usbfs / usbfs][Running/System Start] <\??\C:\WINDOWS\system32\drivers\usbfs.sys><N/A>”。请问各位高手，该如何解决呢？不甚感激！用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MyIE2; .NET CLR 2.0.50727) wkill08 最后编辑于 2008-09-26 12:41:01
wkill08 初生襁褓狮帖子:36 注册: 2008-09-09 来自:	分享到：

烟柳卡卡反病毒小组帖子:499 注册: 2008-08-08 来自:福建	发表于： 2008-09-09 12:22 \| 短消息资料字号：小中大 2楼回复: Backdoor.Win32.Agent.zwa的新问题开始菜单-运行-输入msconfig回车在里边的启动栏里把**.dll前面的勾去掉就行了 1、开始——运行——msconfig——启动——把加载项usbfs.dll的那个勾勾去掉。重启电脑,通常到这就可以了,如果还弹出来再进行第二步 2、开始——运行——regedit 在下面的位置删除相应键值： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 那应该是一个已被删除了的病毒或木马。也有可能是你卸载某个软件不正确留下的残留. dll因为某些原因（最大的可能是因为它是个病毒或流氓软件的dll文件，被杀软删除了）丢失了，但其相关的注册信息却还在，导致系统开机时还加载它，却又找不到它的文件，所以报错。如果你点击“确定”后，系统没有什么不正常，并且可以正常运行的话，你可以用这个软件清理掉这个开机加载项，以后开机就不会出现这个信息了
烟柳卡卡反病毒小组帖子:499 注册: 2008-08-08 来自:福建

wkill08 初生襁褓狮帖子:36 注册: 2008-09-09 来自:	发表于： 2008-09-09 12:31 \| 只看楼主短消息资料字号：小中大 3楼回复 2F 烟柳的帖子谢谢回答！可是“1、开始——运行——msconfig——启动——把加载项usbfs.dll的那个勾勾去掉“，根本就看不到加载项usbfs.dll。”“2、开始——运行——regedit 在下面的位置删除相应键值： HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ”也没有啊
wkill08 初生襁褓狮帖子:36 注册: 2008-09-09 来自:

fillix 飘泊而立狮帖子:771 注册: 2008-07-05 来自:哪	发表于： 2008-09-09 12:39 \| 短消息资料字号：小中大 4楼回复：Backdoor.Win32.Agent.zwa的新问题最好还是把你的日志发上来让大家看看 Xdelbox使用方法
fillix 飘泊而立狮帖子:771 注册: 2008-07-05 来自:哪

wkill08 初生襁褓狮帖子:36 注册: 2008-09-09 来自:	发表于： 2008-09-09 12:48 \| 只看楼主短消息资料字号：小中大 5楼回复 4F fillix 的帖子怎么发啊？附件: 文件名:SREngLOG.log 下载次数:143 文件类型:application/octet-stream 文件大小: 上传时间:2008-9-9 12:49:42 描述:log wkill08 最后编辑于 2008-09-09 12:49:42
wkill08 初生襁褓狮帖子:36 注册: 2008-09-09 来自:

wkill08 初生襁褓狮帖子:36 注册: 2008-09-09 来自:	发表于： 2008-09-09 12:56 \| 只看楼主短消息资料字号：小中大 6楼回复：Backdoor.Win32.Agent.zwa的新问题在用System Repair Engineer (SREng)时，还看到“函数和预期值不符。这是因为在这台计算机上被植入了灰鸽子后门程序。”的提示。说注册表里的AppInit_DLLs值已反常。（默认值）为空的。提示查毒！
wkill08 初生襁褓狮帖子:36 注册: 2008-09-09 来自:

fillix 飘泊而立狮帖子:771 注册: 2008-07-05 来自:哪	发表于： 2008-09-09 13:10 \| 短消息资料字号：小中大 7楼回复: Backdoor.Win32.Agent.zwa的新问题 1.用XDelBox删除以下文件：(XDelBox1.7版下载) 使用说明：先勾选抑制再生，删除时复制下面的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等） C:\DOCUME~1\Owner\LOCALS~1\Temp\zxso.exe C:\53c64474c331332c.dat C:\WINDOWS\TEMP\tmp6E.tmp C:\WINDOWS\TEMP\tmp72.tmp C:\WINDOWS\system32\drivers\usbfs.sys C:\WINDOWS\system32\cdcd.sys 2.删除重启后使用SREng修复下面各项：启动项目-- 注册表删除： <zxsa><C:\DOCUME~1\Owner\LOCALS~1\Temp\zxso.exe> [File is missing] 启动项目--服务--驱动程序删除： [53c64474c331332c / 53c64474c331332c][Stopped/Manual Start] <\??\C:\53c64474c331332c.dat><N/A> [Cdsys / Cdsys][Stopped/Manual Start] <\??\C:\WINDOWS\system32\cdcd.sys><N/A> [fmsq / fmsq][Stopped/Auto Start] <\??\C:\WINDOWS\TEMP\tmp6E.tmp><N/A> [ptfs / ptfs][Stopped/Auto Start] <\??\C:\WINDOWS\TEMP\tmp72.tmp><N/A> [usbfs / usbfs][Running/System Start] <\??\C:\WINDOWS\system32\drivers\usbfs.sys><N/A> 另外那个AppInit_DLLs的值是卡卡修改的，不用担心函数和预期值不符，是瑞星修改的 “这是因为在这台计算机上被植入了灰鸽子后门程序” 这是sreng的提示？还是你自己写的啊？ fillix 最后编辑于 2008-09-09 13:16:41 Xdelbox使用方法
fillix 飘泊而立狮帖子:771 注册: 2008-07-05 来自:哪

wkill08 初生襁褓狮帖子:36 注册: 2008-09-09 来自:	发表于： 2008-09-09 13:19 \| 只看楼主短消息资料字号：小中大 8楼回复 7F fillix 的帖子 "这是因为在这台计算机上被植入了灰鸽子后门程序” 这是sreng的提示？"这是我在网上看到别人说的
wkill08 初生襁褓狮帖子:36 注册: 2008-09-09 来自:

fillix 飘泊而立狮帖子:771 注册: 2008-07-05 来自:哪	发表于： 2008-09-09 13:22 \| 短消息资料字号：小中大 9楼回复 8F wkill08 的帖子那个是瑞星修改的没问题把那些删了看看还有没有问题 Xdelbox使用方法
fillix 飘泊而立狮帖子:771 注册: 2008-07-05 来自:哪

wkill08 初生襁褓狮帖子:36 注册: 2008-09-09 来自:	发表于： 2008-09-09 13:49 \| 只看楼主短消息资料字号：小中大 10楼回复 9F fillix 的帖子太复杂了呵
wkill08 初生襁褓狮帖子:36 注册: 2008-09-09 来自:

<<上一主题|下一主题>>

12 3 4 5

1 / 5 页

跳转页

页面顶部

Powered by Discuz!NT