瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】木马WebLockLib C:\WINDOWS\system32\nt.sys

123   2  /  3  页   跳转

【求助】木马WebLockLib C:\WINDOWS\system32\nt.sys

收藏
demen
头像
拙长孩提狮
  • 帖子:71
  • 注册: 2005-07-19
  • 来自:
发表于: 2006-11-17 19:42 | 显示全部 短消息 资料
字号: 11楼

引用:
【水树雨下的贴子】C:\WINDOWS\csrss.exe
http://forum.ikaka.com/topic.asp?board=28&artid=7040084
………………

似乎没有发现病毒生成如下文件:
%windir%\1.com
%windir%\CSRSS.exe
%windir%\ExERoute.exe
%windir%\explorer1.com
%windir%\finder.com
%windir%\MSWINSCK.OCX
%windir%\Debug\DebugProgram.exe
%system%\command.pif
%system%\dxdiag.com
%system%\finder.com
%system%\MSCONFIG.com
%system%\regedit.com
%system%\rundll32.com
%Program Files%\Common Files\iexplore.pif
%Program Files%\Internet Explorer\iexplore.com
gototop
 
demen
头像
拙长孩提狮
  • 帖子:71
  • 注册: 2005-07-19
  • 来自:
发表于: 2006-11-17 22:07 | 显示全部 短消息 资料
字号: 12楼

引用:
【6981313的贴子】修复:
O4 - HKCU\..\RuunServices:[csrss] C:\WINDOWS\csrss.exe
安全模式下,显示隐藏文件和文件夹,删除:

C:\WINDOWS\csrss.exe

另扫SRENG日志传上来,估计这个是驱动级的.
………………

修复不了,安全模式下显示隐藏文件和文件夹也没看到C:\WINDOWS\csrss.exe
gototop
 
demen
头像
拙长孩提狮
  • 帖子:71
  • 注册: 2005-07-19
  • 来自:
发表于: 2006-11-18 17:17 | 显示全部 短消息 资料
字号: 13楼

看了没???怎么样?
gototop
 
demen
头像
拙长孩提狮
  • 帖子:71
  • 注册: 2005-07-19
  • 来自:
发表于: 2006-11-18 18:32 | 显示全部 短消息 资料
字号: 14楼

没人看么?
gototop
 
demen
头像
拙长孩提狮
  • 帖子:71
  • 注册: 2005-07-19
  • 来自:
发表于: 2006-11-18 19:29 | 显示全部 短消息 资料
字号: 15楼

...........................
gototop
 
demen
头像
拙长孩提狮
  • 帖子:71
  • 注册: 2005-07-19
  • 来自:
发表于: 2006-11-19 16:36 | 显示全部 短消息 资料
字号: 16楼

没重装以外的办法吗?
gototop
 
demen
头像
拙长孩提狮
  • 帖子:71
  • 注册: 2005-07-19
  • 来自:
发表于: 2006-11-20 07:05 | 显示全部 短消息 资料
字号: 17楼

引用:
【6981313的贴子】修复:
O4 - HKCU\..\RuunServices:[csrss] C:\WINDOWS\csrss.exe
安全模式下,显示隐藏文件和文件夹,删除:

C:\WINDOWS\csrss.exe

另扫SRENG日志传上来,估计这个是驱动级的.
………………

O4 - HKCU\..\RuunServices:[csrss] C:\WINDOWS\csrss.exe
我用卡卡删了。
C:\WINDOWS\csrss.exe
还是没有。

还有木马WebLockLib用卡卡清除,重启后似乎要开过TT才会再出现。
gototop
 
demen
头像
拙长孩提狮
  • 帖子:71
  • 注册: 2005-07-19
  • 来自:
发表于: 2006-11-20 10:09 | 显示全部 短消息 资料
字号: 18楼

引用:
【水树雨下的贴子】C:\WINDOWS\csrss.exe
http://forum.ikaka.com/topic.asp?board=28&artid=7040084
………………

http://forum.ikaka.com/topic.asp?board=28&artid=7040084看了下这里面说的恢复被病毒修改的注册表发现没被修改。也没发现有autorun.inf,这是?
gototop
 
demen
头像
拙长孩提狮
  • 帖子:71
  • 注册: 2005-07-19
  • 来自:
发表于: 2006-11-20 16:16 | 显示全部 短消息 资料
字号: 19楼

.....................
gototop
 
demen
头像
拙长孩提狮
  • 帖子:71
  • 注册: 2005-07-19
  • 来自:
发表于: 2006-11-20 16:41 | 显示全部 短消息 资料
字号: 20楼

没人看下吗?- -
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT