Windows.Sfc.Mgr的查杀方法 bbs.ikaka.com

baohe - 2005-8-2 23:52:00

以下是我根据某网友提交的一个样本写的手工查杀过程。这个木马有变种，生成的文件名不一定与此完全相同。本帖只供有动手能力的网友实战时参考。
—————————————————

1、用IceSword结束病毒进程（进程名可变，不一定都是services.exe。图1）
2、删除病毒文件（图2）。执行完第一步操作，可以自己按图2提示的病毒文件名及其路径找到病毒文件，直接删除。
3、注册表清理：

(1)定位到：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
将："HideFileExt"=dword:00000001 改为："HideFileExt"=dword:00000000
(2)定位到：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除："Net"="C:\\windows\\services.exe"
(3)定位到：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
删除："Load"="C:\\windows\\assistse.exe"

图1

附件: 155847200584163759.jpg

baohe - 2005-8-2 23:53:00

图2

附件: 155847200584164033.jpg

电子立方 - 2005-8-3 1:12:00

太感谢了!!

请问图2中用的那个软件,哪里有下?
Tracklog Analyzer...

baohe - 2005-8-3 1:13:00

引用:

【电子立方的贴子】太感谢了!!

请问图2中用的那个软件,哪里有下?
Tracklog Analyzer...
...........................

那是TPF2005的一个组件。不能单独使用。

超飚风速 - 2005-8-3 2:45:00

看不懂斑竹说什么，能介绍点简洁方便的杀毒方法吗？
那个什么“定位到”到底怎么定位啊？

超飚风速 - 2005-8-3 2:47:00

难道卡卡助手没有用的吗？

TZG1989 - 2005-8-3 12:02:00

定位到”到底怎么定位啊？

kvirus - 2005-8-3 12:24:00

4楼，请文明用语

花落花又开 - 2005-8-3 14:40:00

【回复“baohe”的帖子】
现在木马有新趋势了?

生成的好多BT文件,增加删除难度.

baohe - 2005-8-3 14:50:00

引用:

【花落花又开的贴子】【回复“baohe”的帖子】
现在木马有新趋势了?

生成的好多BT文件,增加删除难度.
...........................

是的。那天Qoo提到的“日月光华”网页上的那个驱动级木马，隐蔽性更好。如果是不知不觉的被动染毒，你很难找到那两个木马文件，更不用说“手工杀毒”了。

晚秋红枫 - 2005-8-3 14:57:00

……菜鸟……

雨燕飞 - 2005-8-3 15:36:00

收了

1aaaddd - 2005-8-3 16:57:00

你说的话我听不太名百
我希望你在仔细点说
谢谢

1aaaddd - 2005-8-3 16:59:00

算我求求你了
快点吧
我还有事

子阳 - 2005-8-3 17:15:00

收了.谢谢.

baohe - 2005-8-3 17:19:00

引用:

【1aaaddd的贴子】算我求求你了
快点吧
我还有事
...........................

这还不明白？那是我杀毒的一步一步的实际操作记录。那我没办法说明白了。我太菜。抱歉！

小≯恶魔 - 2005-8-3 17:25:00

大虾，问题是我的进程里没有你那些services.exe,我该终止哪些就不知道了呀，里面就一个英文大写的SERVICES。EXE，我该怎么办？

lanyuqing007 - 2005-8-3 17:48:00

引用:

【小≯恶魔的贴子】大虾，问题是我的进程里没有你那些services.exe,我该终止哪些就不知道了呀，里面就一个英文大写的SERVICES。EXE，我该怎么办？
...........................

我的进程也是.不用你说的那个软件.直接在个分区里删能行吗?

hkd20051 - 2005-8-3 18:01:00

斑竹~~~我照图2结束进程后~~接下来该怎么办啊~~

※画眉※ - 2005-8-3 19:12:00

我太菜。。。。
要是有人出个专杀程序就好了。。。。。。。。。。
幻想中。。。。。。。。。。。。。。

我是好人啊啊 - 2005-8-3 23:00:00

我跟中的就是这个病毒。。但是我不知道那个是真的怎么结束进程啊

冲名 - 2005-8-3 23:56:00

是啊,我的电脑也咸染这种病毒,希望各位高手帮手解决啊.谢谢~~

冲名 - 2005-8-4 0:01:00

WEB_Windows.Sfc.这种病毒危害大吗?会不会影响系统运行速度呢?
楼主上面说解决的方法的那个软件Tracklog Analyzer到那里下载呢?
那个方法太得杂了吧?
对了,现在网上还有免费的瑞星软件下载吗?下载都是要序列号才能安装的.怎么办.希望各位高手给点意见.快快来解决此问题啊

baohe - 2005-8-4 0:04:00

引用:

【小≯恶魔的贴子】大虾，问题是我的进程里没有你那些services.exe,我该终止哪些就不知道了呀，里面就一个英文大写的SERVICES。EXE，我该怎么办？
...........................

用IceSword可以分辨出病毒进程——它的图标是“文件夹”图标。就这么简单，就这么显而易见。问题是——就是没多少人仔细看那张图。我白费劲了！今天，问这个问题的人很多。

冲名 - 2005-8-4 0:08:00

why ?

附件: 55495320058400808.JPG

冲名 - 2005-8-4 0:13:00

呵呵
楼主,我还是不太明白你所说的?

冲名 - 2005-8-4 1:02:00

太谢谢楼主了,自从我看见你发的"用IceSword可以分辨出病毒进程——它的图标是“文件夹”图标".使我明白之后,我再按你的步骤去做,最后成功了,重启之后,病毒不见.呵呵!!
在此多谢谢版主了.
对了,我想问一下,是怎么样才会种得了这个病毒的呀,我们应该装什么之类的软件来防范啊.
最后还是要谢谢楼主,以后有事我再问你听,拜拜!!!

冲名 - 2005-8-4 4:01:00

睡觉了,现在啊

hellokiddy - 2005-8-4 8:31:00

引用:

【冲名的贴子】
我们应该装什么之类的软件来防范啊.

...........................

一个杀软的监控+防火墙+及时打补丁+足够强的防范意识+基本的网络安全知识.
以上足矣

inzagol - 2005-8-4 9:40:00

用IceSword找的。。
结果里面没有文件夹的应用程序怎么办？？

瑞星卡卡安全论坛