天天醉 - 2005-9-25 13:12:00
按本论坛的步骤查杀过后在使用杀毒软件检测一切正常
不过有个新问题
当把注册表里删除的项重新恢复(手工删除前备分过)以后在启动机器病毒也重新恢复!
这是否说明机器里还有病毒源?仅仅是个注册表就能重新生成病毒吗
杀毒前:
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: npkcsvc - INCA Internet Co., Ltd. - C:\WINNT\system32\npkcsvc.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - NT 服务: svchost - Unknown owner - C:\WINNT\svchost.exe
我是手工先删除注册表里的服务项(删除前备分)
然后瑞星杀未发现病毒(机器启动时杀过一次)svchost.dll,svchostKey.dll,svchost_Hook.dll以被删除
在重新启动瑞星杀掉一个winnt\svchost.dll
在重新启动后查杀检测不到病毒
杀毒后:
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: npkcsvc - INCA Internet Co., Ltd. - C:\WINNT\system32\npkcsvc.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
原以为这样就干净了,我试着把删除的注册表项重新恢复结果病毒也跟着都回来了
请问这是怎么回事?
我的思路是病毒文件杀掉了以后那么即便注册表里还有执行指令但是病毒本身已经不存在了,那么即便按注册表执行也是安全的,因为执行了也没病毒可用
但事实是病毒也回来了!不知道我的思路是否正确,请专家指点,是否没彻底杀干净病毒?还有其他高招指点否?
有毒问我 - 2005-9-25 13:19:00
把日志打上来看看
xuyawei - 2005-9-25 13:58:00
干净了
天天醉 - 2005-9-25 14:15:00
这就叫干净了? 仅仅一个注册表的修改病毒就全回来了
这样的干净真是不放心
猎鹰渔民 - 2005-9-25 20:51:00
杀毒后恢复备份O23 - NT 服务: svchost - Unknown owner - C:\WINNT\svchost.exe 如果不回来我倒是奇怪了……
baohe - 2005-9-25 20:55:00
| 引用: |
【天天醉的贴子】版主大人到底在不在啊 麻烦帮忙看看啊
........................... |
你这个问题很容易弄清楚。
杀毒前,病毒文件及其所在位置是知道的(不知道,你怎么删?)。
既然如此,现在,你再看看那个文件夹里还有没有那几个病毒文件,不就搞清楚了?
猎鹰渔民 - 2005-9-25 20:58:00
baohe大大,楼主的意思似乎是恢复备份的注册表后又出现了O23 - NT 服务: svchost - Unknown owner - C:\WINNT\svchost.exe
天天醉 - 2005-9-25 21:00:00
6楼
仅仅是恢复了杀毒时需要删除的注册表项
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost]
如果没病毒的机器估计即使导入该注册表也不应该有病毒,换句话说如果仅仅在注册表里添加几个键值就能生成病毒,那么~~~后面的我不说了
请看清楚在说话
天天醉 - 2005-9-25 21:04:00
是的 我仅仅备分了注册表
完整杀毒之后全部硬盘都做了病毒扫描 确认系统无问题后恢复了杀毒前的注册表 然后病毒就完全恢复
在这期间没有使用任何光软驱动器也没连接网络
猎鹰渔民 - 2005-9-25 21:07:00
那你找到那几个文件了吗?hijackthis扫出来的023应该只是鸽子建立起来的服务项的信息而已吧!!
天天醉 - 2005-9-25 21:20:00
首先删除注册表的服务项(备分) 然后杀毒 经过多次重起再检测确认无病毒感染
恢复注册表后重新启动机器病毒也回来了 瑞星启动就提示两个svchostKey.dll,svchost_Hook.dll病毒 文件被删除
然后用瑞星杀毒 几乎所有的进程都重新被感染 但是这时候不能发现winnt目录下的病毒文件svchost.dll和svchost.exe
后来删除注册表项 重新启动后用瑞星杀毒 进程都恢复正常,winnt目录下发现svchost.dll病毒 删除成功
在重新启动全盘检测无病毒。
现象按我的理解就是:注册表决定病毒是否起作用,但并不是杀掉病毒
猎鹰渔民 - 2005-9-25 21:22:00
你是说恢复后svchostKey.dll,svchost_Hook.dll又生成了???
猎鹰渔民 - 2005-9-25 21:26:00
……没有试过,改天找时间试试看……
PS你为什么又要恢复注册表呢?
baohe - 2005-9-25 21:37:00
【回复“天天醉”的帖子】
O23 - NT 服务: svchost - Unknown owner - C:\WINNT\svchost.exe
从头说起吧
如果你执行了:
1/删除了注册表中的svchost
2/重启系统
3/删除了C:\WINNT\文件夹中的svchost.exe、svchost.dll、svchost_hook.dll、svchostKey.dll
现在,你仅仅在注册表的HKEY_LOCAL_MACHINE\.....\SERVICES分支下加上了注册表项svchost
这样,灰鸽子是不可能回来的。
只有启动加载项,没有相应的病毒文件,病毒怎么启动?
天天醉 - 2005-9-25 21:40:00
我也是喝高了点闲的无聊 正好更新杀毒软件所以检测了一下
没发现病毒,不过前不久中过鸽子,手工杀的时候曾经备分了注册表,当时也是怕删错。
我看到背份的注册表时也是突然闪了个念头,既然病毒没了 那么注册表服务项也属于个无用的空指令了。虽然知道是没用的不过也是手闲就双击了一下,结果灾难发生了,我一天之内重复杀毒了10次以上,确实恢复注册表病毒也重生了~~这到成了我的心病了 心脏病快犯了
© 2000 - 2026 Rising Corp. Ltd.