baohe - 2005-9-16 18:49:00
一、结束资源管理器进程(explorer.exe)。病毒的m2syadll.dll插入此进程。
二、删除病毒文件:
C:\WINDOWS\system32\m2syadll.dll
C:\windows\system32\system.exe
三、清理注册表:
展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:internew(指向c:\windows\system32\system.exe)
那个SYSEM。DRV只在TEMP文件夹中。删除就行。
什么情况 - 2005-9-16 19:00:00
辛苦baohe大哥了,只有这些么 ?那这些是什么呢 ?见图
附件:
4750692005916190039.bmp
什么情况 - 2005-9-16 19:03:00
什么情况 - 2005-9-16 19:04:00
什么情况 - 2005-9-16 19:24:00
baohe - 2005-9-16 20:34:00
【回复“什么情况”的帖子】
1/注册表中的垃圾。
2/病毒安装/访问过的服务。[展开:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
删除:internew(指向c:\windows\system32\system.exe)]解决的就是那个internew
3/病毒使用过的COM对象。
4/注册表中的垃圾。
注册表中的垃圾,我懒得一一收拾,一般是用TUNEUP清理。放在那里也无大碍。
什么情况 - 2005-9-16 20:42:00
..........
有太多的问题要请教图1种的那些注册表项和我物理机上的注册表没有区别(我用的虚拟机测试病毒,而物理机没有病毒)
图2中的scmanager是什么,怎么可以看出来哪个是要删,哪个是已经删掉的 ?
图3中的这个com object我根本弄不清楚这是什么东西和有什么用处
图4中的那些,我使用internew作为关键字在tuneup中查找的,找到的这些都是垃圾 ?怎么用tuneup清理,以上所有的注册表垃圾是不是都能用reverse恢复 ?
baohe - 2005-9-16 21:03:00
【回复“什么情况”的帖子】
有虚拟机,有TPF的Revert Changes,你还删什么呀?
什么情况 - 2005-9-16 21:13:00
有的文件用revert changes删不掉啊,还有,我又不只是为了玩下某个病毒,而是想学会tpf2005的用法和更多的病毒是如何感染系统的
baohe - 2005-9-16 21:16:00
【回复“什么情况”的帖子】
revert changes删不掉,那就自己想办法删。那么多工具呢。
什么情况 - 2005-9-16 21:19:00
baohe大哥,先不说用不用删货是怎么删的问题,先请您解释下我7楼的问题,好么
baohe - 2005-9-16 21:22:00
【回复“什么情况”的帖子】
病毒感染系统的的细节——看ACTIVITY MONITOR的记录。
什么情况 - 2005-9-16 21:33:00
大哥,你的回答总让我感觉是隔靴搔痒,你就不能让我爽一下 ?
© 2000 - 2026 Rising Corp. Ltd.