致“ 什么情况”——你那个SYSTEM32。EXE的查杀 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛致“ 什么情况”——你那个SYSTEM32。EXE的查杀

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

致“ 什么情况”——你那个SYSTEM32。EXE的查杀

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-09-16 18:49 \| 只看楼主短消息资料字号：小中大 1楼致“ 什么情况”——你那个SYSTEM32。EXE的查杀一、结束资源管理器进程（explorer.exe）。病毒的m2syadll.dll插入此进程。二、删除病毒文件： C:\WINDOWS\system32\m2syadll.dll C:\windows\system32\system.exe 三、清理注册表：展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 删除：internew（指向c:\windows\system32\system.exe）那个SYSEM。DRV只在TEMP文件夹中。删除就行。 2005-09-16 21:33:42
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

什么情况飘泊而立狮帖子:741 注册: 2005-04-02 来自:	发表于： 2005-09-16 19:00 \| 短消息资料字号：小中大 2楼辛苦baohe大哥了，只有这些么？那这些是什么呢？见图附件: 文件名:4750692005916190039.bmp 下载次数:0 文件类型:application/octet-stream 文件大小: 上传时间:2005-9-16 19:00:39 描述:
什么情况飘泊而立狮帖子:741 注册: 2005-04-02 来自:

什么情况飘泊而立狮帖子:741 注册: 2005-04-02 来自:	发表于： 2005-09-16 19:03 \| 短消息资料字号：小中大 3楼 2 附件: 文件名:4750692005916190315.bmp 下载次数:0 文件类型:application/octet-stream 文件大小: 上传时间:2005-9-16 19:03:15 描述:
什么情况飘泊而立狮帖子:741 注册: 2005-04-02 来自:

什么情况飘泊而立狮帖子:741 注册: 2005-04-02 来自:	发表于： 2005-09-16 19:04 \| 短消息资料字号：小中大 4楼 3 附件: 文件名:4750692005916190400.bmp 下载次数:0 文件类型:application/octet-stream 文件大小: 上传时间:2005-9-16 19:04:00 描述:
什么情况飘泊而立狮帖子:741 注册: 2005-04-02 来自:

什么情况飘泊而立狮帖子:741 注册: 2005-04-02 来自:	发表于： 2005-09-16 19:24 \| 短消息资料字号：小中大 5楼 4 附件: 文件名:4750692005916192442.bmp 下载次数:0 文件类型:application/octet-stream 文件大小: 上传时间:2005-9-16 19:24:43 描述:
什么情况飘泊而立狮帖子:741 注册: 2005-04-02 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-09-16 20:34 \| 只看楼主短消息资料字号：小中大 6楼【回复“什么情况”的帖子】 1/注册表中的垃圾。 2/病毒安装/访问过的服务。[展开：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ 删除：internew（指向c:\windows\system32\system.exe）]解决的就是那个internew 3/病毒使用过的COM对象。 4/注册表中的垃圾。注册表中的垃圾，我懒得一一收拾，一般是用TUNEUP清理。放在那里也无大碍。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

什么情况飘泊而立狮帖子:741 注册: 2005-04-02 来自:	发表于： 2005-09-16 20:42 \| 短消息资料字号：小中大 7楼 .......... 有太多的问题要请教图1种的那些注册表项和我物理机上的注册表没有区别（我用的虚拟机测试病毒，而物理机没有病毒）图2中的scmanager是什么，怎么可以看出来哪个是要删，哪个是已经删掉的？图3中的这个com object我根本弄不清楚这是什么东西和有什么用处图4中的那些，我使用internew作为关键字在tuneup中查找的，找到的这些都是垃圾？怎么用tuneup清理，以上所有的注册表垃圾是不是都能用reverse恢复？
什么情况飘泊而立狮帖子:741 注册: 2005-04-02 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-09-16 21:03 \| 只看楼主短消息资料字号：小中大 8楼【回复“什么情况”的帖子】有虚拟机，有TPF的Revert Changes，你还删什么呀？
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

什么情况飘泊而立狮帖子:741 注册: 2005-04-02 来自:	发表于： 2005-09-16 21:13 \| 短消息资料字号：小中大 9楼有的文件用revert changes删不掉啊,还有，我又不只是为了玩下某个病毒，而是想学会tpf2005的用法和更多的病毒是如何感染系统的
什么情况飘泊而立狮帖子:741 注册: 2005-04-02 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-09-16 21:16 \| 只看楼主短消息资料字号：小中大 10楼【回复“什么情况”的帖子】 revert changes删不掉，那就自己想办法删。那么多工具呢。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT