快来救救我 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 系统软件快来救救我

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

快来救救我

无皮下血初生襁褓狮帖子:3 注册: 2006-05-10 来自:	发表于： 2006-05-10 20:40 \| 只看楼主短消息资料字号：小中大 1楼快来救救我我电脑中了Rootkit.RegProt.a 删也删不去，杀也没用请问怎么解决啊~ 谢谢请速回答！ 2006-05-11 19:56:32
无皮下血初生襁褓狮帖子:3 注册: 2006-05-10 来自:	分享到：

ceo800 横据古稀狮帖子:6375 注册: 2005-09-16 来自:	发表于： 2006-05-10 20:46 \| 短消息资料字号：小中大 2楼去病毒区把
ceo800 横据古稀狮帖子:6375 注册: 2005-09-16 来自:

bettertiger 横据古稀狮帖子:7344 注册: 2004-03-30 来自:	发表于： 2006-05-10 21:20 \| 短消息资料字号：小中大 3楼先在运行里输入msconfig回车，打开后点击启动，找到有没有这个病毒的启动项，有的话取消前面的勾选。然后使用icesword查看进程，结束该病毒的进程，然后找到该病毒删除即可。重启。
bettertiger 横据古稀狮帖子:7344 注册: 2004-03-30 来自:

bettertiger 横据古稀狮帖子:7344 注册: 2004-03-30 来自:	发表于： 2006-05-10 21:21 \| 短消息资料字号：小中大 4楼这是一个内核模式驱动程序。该驱动程序的代码是通过修改SysInternals的RegMon.sys得来。并且，该驱动程序还冒充SysInternals的版本信息来欺骗用户。该驱动程序加载后，会创建一个名为\Device\Anfad的设备和一个名为\DosDevices\Anfad的符号链接。然后该驱动程序初始化一些同步对象，并挂钩以下Kernel API： ZwOpenFile, ZwDeleteValueKey, ZwDeleteKey, ZwSetValueKey 该驱动会保护含有以下字符串的注册表键值不被删除和修改： Services\HidProcess Services\Anfad Services\Remote Log Services\cdnprot Services\cdntran Run\SearchNet_Up Run\SearchNet {2A0176FE-008B-4706-90F5-BBA532A49731} 这个病毒能隐藏进程，所以使用icesword能看到的。
bettertiger 横据古稀狮帖子:7344 注册: 2004-03-30 来自:

哈哈镜hahajing 锋芒艾服狮帖子:1746 注册: 2005-12-23 来自:	发表于： 2006-05-11 16:40 \| 短消息资料字号：小中大 5楼用二楼的朋友说的先做以下试
哈哈镜hahajing 锋芒艾服狮帖子:1746 注册: 2005-12-23 来自:

无皮下血初生襁褓狮帖子:3 注册: 2006-05-10 来自:	发表于： 2006-05-11 19:45 \| 只看楼主短消息资料字号：小中大 6楼朋友还是不行，找不到请问现在怎么办？？？？
无皮下血初生襁褓狮帖子:3 注册: 2006-05-10 来自:

叶·幽思横据古稀狮帖子:7280 注册: 2005-09-01 来自:Town	发表于： 2006-05-11 19:56 \| 短消息资料字号：小中大 7楼 http://forum.ikaka.com/topic.asp?board=28&artid=7259392]
叶·幽思横据古稀狮帖子:7280 注册: 2005-09-01 来自:Town

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT