wuaucll.exe（或driver.exe）的查杀

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 wuaucll.exe（或driver.exe）的查杀

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3 4

1 / 4 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-12-23 16:08 \| 只看楼主短消息资料字号：小中大 1楼 wuaucll.exe（或driver.exe）的查杀周末了。蟊贼们又纷纷出动作祟了。今天，俺又收到一个瑞星19.02.42查不到的木马（别人求救发过来的）。一、这蟊贼的特点是： 1、植入系统并成功运行后，更改.exe文件关联。中招后，用户运行任何.exe程序，都将激活木马wuaucll.exe。用SREng在WINDOWS模式下不能修复.exe文件关联！ 2、wuaucll.exe和driver.exe双进程，互相守护。 3、植入系统后wuaucll.exe反复不停的写木马文件及其加载项（很俗）。 4、如果你在WINDOWS模式急急忙忙地将木马文件删除的干干净净，而没成功地修复exe文件关联，重启后，你就傻了！虽然可以更改SREng的后缀来运行SREng，但还是无法用其修复.exe文件关联。您的所有.exe程序无法运行。二、手工处理流程： 1、启动到安全模式下。 2、打开记事本。将下列内容粘贴到记事本窗口。保存为Fix.reg。 REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe" 3、运行IceSword 1.2。用IceSword 1.2禁止进线程创建。 4、用IceSword 1.2结束下列进程： C:\WINDOWS\wuaucll.exe C:\WINDOWS\SYSTEM32\driver.exe 5、用IceSword找到并删除这些木马文件（图）。取消IceSword的“禁止进/线程创建”。 6、双击Fix.reg，将其导入注册表。【注意】：如果你的电脑还有E、F....等分区，这些分区根目录下也有autorun.ini和update.exe，也要删除。附件: 文件名:15584720061223155944.jpg 下载次数:306 文件类型:image/pjpeg 文件大小: 上传时间:2006-12-23 16:08:40 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2007-02-26 05:44:16
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

爬围墙上青天横据古稀狮帖子:10155 注册: 2006-09-09 来自:	发表于： 2006-12-23 16:09 \| 短消息资料字号：小中大 2楼沙发`坐下看``
爬围墙上青天横据古稀狮帖子:10155 注册: 2006-09-09 来自:

dumps 初生襁褓狮帖子:37 注册: 2006-12-23 来自:	发表于： 2006-12-23 16:15 \| 短消息资料字号：小中大 3楼 [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*" 这一项的作用还不太了解.. IS启动不了.说程序初始化失败.错误代码1 ,为何?
dumps 初生襁褓狮帖子:37 注册: 2006-12-23 来自:

爬围墙上青天横据古稀狮帖子:10155 注册: 2006-09-09 来自:	发表于： 2006-12-23 16:17 \| 短消息资料字号：小中大 4楼 2、打开记事本。将下列内容粘贴到记事本窗口。保存为Fix.reg。要不要放入注册表啊？``
爬围墙上青天横据古稀狮帖子:10155 注册: 2006-09-09 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-12-23 16:20 | 只看楼主 短消息资料

字号：小中大 5楼

引用:

【dumps的贴子】[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
这一项的作用还不太了解..

IS启动不了.说程序初始化失败.错误代码1 ,为何?
………………

IS 1.2可以在安全模式下正常运行。
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"————系统默认的exe文件关联。

那个木马将这项改成了@=wuaucll.exe,"\"%1\" %*"

UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星	发表于： 2006-12-23 16:20 \| 短消息资料字号：小中大 6楼【回复“dumps”的帖子】那个是修改EXE关联用的。猫叔，能把病毒发给我么，我也想试验一下，还有19.02.42查不出来的病毒好多，我手里也有一些，猫叔是否感兴趣我的邮箱：1987noodle0158@sina.com
UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星

水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:	发表于： 2006-12-23 16:20 \| 短消息资料字号：小中大 7楼学习，又一个让人头大的马
水树雨下横据古稀狮帖子:8397 注册: 2006-07-26 来自:

taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:	发表于： 2006-12-23 16:21 \| 短消息资料字号：小中大 8楼这年头.............
taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-12-23 16:22 | 只看楼主 短消息资料

字号：小中大 9楼

引用:

【爬围墙上青天的贴子】2、打开记事本。将下列内容粘贴到记事本窗口。保存为Fix.reg。要不要放入注册表啊？``
………………

最后再双击这个Fix.reg，将其中内容导入注册表。

UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星	发表于： 2006-12-23 16:23 \| 短消息资料字号：小中大 10楼木马太多了，灰鸽子也加入更多的保护，我这里有一个至于其他的木马么，哎，杀毒软件越来越落后了
UFO不幸外人特邀体验者帖子:2592 注册: 2006-11-26 来自:火星

<<上一主题|下一主题>>

12 3 4

1 / 4 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-12-23 16:08 \| 只看楼主短消息资料字号：小中大 1楼 wuaucll.exe（或driver.exe）的查杀周末了。蟊贼们又纷纷出动作祟了。今天，俺又收到一个瑞星19.02.42查不到的木马（别人求救发过来的）。一、这蟊贼的特点是： 1、植入系统并成功运行后，更改.exe文件关联。中招后，用户运行任何.exe程序，都将激活木马wuaucll.exe。用SREng在WINDOWS模式下不能修复.exe文件关联！ 2、wuaucll.exe和driver.exe双进程，互相守护。 3、植入系统后wuaucll.exe反复不停的写木马文件及其加载项（很俗）。 4、如果你在WINDOWS模式急急忙忙地将木马文件删除的干干净净，而没成功地修复exe文件关联，重启后，你就傻了！虽然可以更改SREng的后缀来运行SREng，但还是无法用其修复.exe文件关联。您的所有.exe程序无法运行。二、手工处理流程： 1、启动到安全模式下。 2、打开记事本。将下列内容粘贴到记事本窗口。保存为Fix.reg。 REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 [HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\" %*" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="Explorer.exe" 3、运行IceSword 1.2。用IceSword 1.2禁止进线程创建。 4、用IceSword 1.2结束下列进程： C:\WINDOWS\wuaucll.exe C:\WINDOWS\SYSTEM32\driver.exe 5、用IceSword找到并删除这些木马文件（图）。取消IceSword的“禁止进/线程创建”。 6、双击Fix.reg，将其导入注册表。【注意】：如果你的电脑还有E、F....等分区，这些分区根目录下也有autorun.ini和update.exe，也要删除。附件: 文件名:15584720061223155944.jpg 下载次数:306 文件类型:image/pjpeg 文件大小: 上传时间:2006-12-23 16:08:40 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2007-02-26 05:44:16
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 wuaucll.exe（或driver.exe）的查杀

wuaucll.exe（或driver.exe）的查杀

wuaucll.exe（或driver.exe）的查杀

附件:

文件名:15584720061223155944.jpg 下载次数:306 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(133364); 上传时间:2006-12-23 16:08:40 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

文件名:15584720061223155944.jpg

下载次数:306

文件类型:image/pjpeg

文件大小:

上传时间:2006-12-23 16:08:40

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01