瑞星卡卡安全论坛

今天，关闭所有安全软件，又运行了一下你昨天发来的样本。
结果发现，昨天，我的操作及查杀思路有误。昨天感染系统，在NtFrs32修改winlogon.exe内存时，我误用SSM阻止了木马这步动作。因而，并未完全完成系统感染过程。以致后面的查杀操作针对的并不是木马感染系统的真实情况。

其实，这个木马的软肋在于——没有注册表监控功能。因此，按照下述步骤查杀，很容易将其杀灭：

1、打开注册表编辑器，展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，
删除左栏中的NtFrs32。
2、重启系统。
3、删除下列文件（见附图）。

附件: 1558472005123123906.jpg

没有suflsd这个文件,只有gsuflsd.dll 也没有nsdff.dll.只有tnsdff.dll还有开机后仍然有那个错误提示,还有会自动弹出一个desktop记事本

hoho~斑竹~hoho~....

【回复“ella0514”的帖子】
删除NtFrs32.exe、gsuflsd.dll和tnsdff.dll。
用SREng或RegFix等工具修复一下注册表。

又是无法删除,正在使用.要退到安全模式里删掉吗?

引用:

【ella0514的贴子】又是无法删除,正在使用.要退到安全模式里删掉吗? ...........................

展开。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，
删除左栏中的NtFrs32。
重启系统。
那些文件就能删掉。
如果你愿意在安全模式下删，也可以试试。

引用:

【baohe的贴子】 展开。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services， 删除左栏中的NtFrs32。 重启系统。 那些文件就能删掉。 如果你愿意在安全模式下删，也可以试试。 ...........................

我已经删了注册表里的NtFrs32了

引用:

【ella0514的贴子】 我已经删了注册表里的NtFrs32了 ...........................

1、展开1HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，
删除左栏中的NtFrs32。
2、重启系统。
3、删文件。
这个顺序不要搞错。

顺序没搞错.
已经删了文件可是还是有那个错误提示.还有自动弹那个记事本出来.

【回复“ella0514”的帖子】
用SREng或RegFix等工具修复一下注册表。

引用:

【ella0514的贴子】顺序没搞错. 已经删了文件可是还是有那个错误提示.还有自动弹那个记事本出来. ...........................

运行msconfig，查看启动项，去除Desktop.ini的开机启动

全都照做了.可是还是有那个错误提示..这是为什么呢

【回复“ella0514”的帖子】
开始--所有程序--启动--右键Desktop.ini属性--改为隐藏.

这个问题应该是您使用了hijackthis出现的吧?hijackthis修复,有时会出现此问题.并不是病毒.

那怎么能不让那个错误提示出现呢?^_^~都是高手啊~教教小弟我吧~

什么错误提示,截个图吧.