瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 删除不了的病毒trojan.psw.avx 请大侠帮忙啊!!

1   1  /  1  页   跳转

删除不了的病毒trojan.psw.avx 请大侠帮忙啊!!

收藏
eemartin
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2007-09-19
  • 来自:
发表于: 2008-03-04 15:22 | 只看楼主 短消息 资料
字号: 1楼

删除不了的病毒trojan.psw.avx 请大侠帮忙啊!!

删除不了的病毒trojan.psw.avx啊,,, 在C:\WINDOWS\SYSTEM32\WBEM\5501\SVCHOST.EXE
log在附件,哪位大侠能帮帮我啊,谢谢!!!!

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 1.1.4322)

附件附件:

下载次数:164
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-4 15:22:35
描述:

最后编辑2008-03-04 17:15:39
分享到:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-03-04 15:49 | 短消息 资料
字号: 2楼

这几个文件搞搞去
c:\windows\system32\com\ttvvabfmh.dll
c:\windows\system32\usmt\rkwrvnbnl.dll
C:\WINDOWS\SYSTEM32\WBEM\5501\SVCHOST.EXE
C:\WINDOWS\system32\lwiccwlsys16_080226.dll
C:\WINDOWS\system32\inf\svchosts.exe

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
Boot Items
Registry
    <ccwl><C:\WINDOWS\system32\inf\svchosts.exe C:\WINDOWS\system32\lwiccwlsys16_080226.dll start>  [N/A]
——————————————————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除
==================================
Services
[Secondary Logon / seclogon][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->c:\windows\system32\com\ttvvabfmh.dll><N/A>
————————————————————————————————————
再重启电脑,
gototop
 
左眼球
头像
锋芒艾服狮
  • 帖子:1313
  • 注册: 2008-03-03
  • 来自:左眼眶子里
论坛8周年活动礼物
发表于: 2008-03-04 15:56 | 短消息 资料
字号: 3楼

可疑的文件:
C:\WINDOWS\system32\inf\svchosts.exe
C:\WINDOWS\system32\lwiccwlsys16_080226.dll
C:\Program Files\WinPcap\rpcapd.exe
C:\Program Files\WinPcap\rpcapd.ini
C:\WINDOWS\System32\svchost.exe
c:\windows\system32\com\ttvvabfmh.dll

呀。。。。。版主比我快呀
gototop
 
eemartin
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2007-09-19
  • 来自:
发表于: 2008-03-04 16:45 | 只看楼主 短消息 资料
字号: 4楼

谢谢大侠这么快回复 我照你说的做了  我用arswp查了一下还有那个病毒,而且还有另外一个
HKEY_LOCAL_MACHINE,SYSTEM\CURRENTCONTROLSET\SERVICES\W32TIME\PARAMETERS,SERVICEDLL,REG_EXPAND_SZ01%SYSTEMROOT%\SYSTEM32\W32TIME.DLL

psw.avx 跑到这里了:C:\WINDOWS\SYSTEM32\INF
怎么办大侠?
gototop
 
eemartin
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2007-09-19
  • 来自:
发表于: 2008-03-04 16:46 | 只看楼主 短消息 资料
字号: 5楼

引用:
【eemartin的贴子】谢谢大侠这么快回复 我照你说的做了  我用arswp查了一下还有那个病毒,而且还有另外一个
HKEY_LOCAL_MACHINE,SYSTEM\CURRENTCONTROLSET\SERVICES\W32TIME\PARAMETERS,SERVICEDLL,REG_EXPAND_SZ01%SYSTEMROOT%\SYSTEM32\W32TIME.DLL

psw.avx 跑到这里了:C:\WINDOWS\SYSTEM32\INF
怎么办大侠?

………………


新的log。。谢谢大侠

附件附件:

下载次数:101
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-4 16:46:31
描述:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-03-04 16:55 | 短消息 资料
字号: 6楼

——————————————————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除,或将启动类型改为“Disabled”
==================================
服务
[Windows Time / W32Time][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k netsvcs-->c:\windows\system32\usmt\rkwrvnbnl.dll><N/A>
————————————————————————————————————
再重启电脑,没异常就行了

再有异常,去找arswp提示的东西删除。
gototop
 
eemartin
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2007-09-19
  • 来自:
发表于: 2008-03-04 17:27 | 只看楼主 短消息 资料
字号: 7楼

大侠,搞定了,你们太厉害了!!呵呵 谢谢!!!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT