qiaos910 - 2006-1-1 22:22:00
如题,可以查到但杀不了,请问怎么解决啊!
顺便请大家给我指点,这个病毒对我的电脑有什么样的危害呢,先谢谢了....
命运里の金色 - 2006-1-1 22:55:00
病毒路径以及文件是什么?
keiko - 2006-1-1 23:27:00
病毒就是为干扰别人正常工作的文件,所以多少都有影响。瑞星查得了但杀不了的病毒多。不能完全依靠它,试试其他的,工具
櫻り箜釋﹀ァ - 2006-1-2 7:06:00
可以查但杀不点就是病毒依然存在
qiaos910 - 2006-1-2 19:23:00
病毒路径是: C:\WINDOWS\system32\remon.sys
命运里の金色 - 2006-1-2 19:31:00
看来这个最近流行,谢谢baohe斑竹吧,估计你中的baohe斑竹测试的一个病毒
一、创建的文件
Create file
Object:C:\windows\nvideogui.exe
Create file
Object:C:\WINDOWS\system32\remon.sys
二、注册表更改
1、启动项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvideoGUI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvideoGUI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon
2、其它项:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\\MSBCRM
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\\Minstallvariable
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\\Mupvariable
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\\DisableTaskMgr
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System\\DisableRegistryTools
HKLM\SOFTWARE\Microsoft\Security Center\\UpdatesDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center\\AntiVirusDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center\\FirewallDisableNotify
HKLM\SOFTWARE\Microsoft\Security Center\\AntiVirusOverride
HKLM\SOFTWARE\Microsoft\Security Center\\FirewallOverride
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile\\EnableFirewall
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\\AUOptions
HKLM\System\CurrentControlSet\Services\wscsvc\\Start
HKLM\System\CurrentControlSet\Services\TlntSvr\\Start
HKLM\System\CurrentControlSet\Services\RemoteRegistry\\Start
HKLM\System\CurrentControlSet\Services\Messenger\\Start
HKLM\System\CurrentControlSet\Control\Lsa\\restrictanonymous
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\\AutoShareWks
HKLM\System\CurrentControlSet\Services\lanmanserver\parameters\\AutoShareServer
HKLM\System\CurrentControlSet\Services\lanmanworkstation\parameters\\AutoShareWks
HKLM\System\CurrentControlSet\Services\lanmanworkstation\parameters\\AutoShareServer
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\\DoNotAllowXPSP2
HKLM\SOFTWARE\Microsoft\Ole\\EnableDCOM
HKLM\System\CurrentControlSet\Control\\WaitToKillServiceTimeout
3、HJ日志内容:
O23 - NT 服务: Nvidia Graphic Displacement (nvideoGUI) - Unknown owner - C:\windows\nvideogui.exe
4、其它特点:
C:\windows\nvideogui.exe有进程守护功能(见附图);SSM2.0.0555可禁止C:\windows\nvideogui.exe启动加载。
木马eraseme_13348.exe查杀:
1、如果安装了SSM2.0.0555,请在其“选项”面板中将其设置成“自动启动”、“自动连接用户界面”。
2、重启系统。
3、删除下列木马文件:
C:\windows\nvideogui.exe
C:\WINDOWS\system32\remon.sys
4、删除木马添加主要注册表项:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nvideoGUI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\nvideoGUI
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\remon
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\remon
HKLM\System\CurrentControlSet\Control\\WaitToKillServiceTimeout
其它注册表改动,最好也改过来(不必在注册表中做)。如:安全中心的开启,自动更新和WINDOWS防火墙的开启——可在安全中心的设置中完成。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters,"AutoShareWks"=dword:00000000。这样的键值是否改,自己决定。
现在进行时 - 2006-1-2 19:34:00
试试先到注册表里HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\Services\ remon 项下,删除 ImagePath = "remon.sys"
再用KILLBOX删除C:\WINDOWS\system32\remon.sys
C:\windows\sysmanager.exe
qiaos910 - 2006-1-2 19:48:00
请问SSM2.0.0555和KILLBOX都是木马专杀工具吗?
如果我重装系统会不会杀掉啊??
现在进行时 - 2006-1-2 19:51:00
| 引用: |
【qiaos910的贴子】请问SSM2.0.0555和KILLBOX都是木马专杀工具吗?
如果我重装系统会不会杀掉啊??
........................... |
都不是.SSM是防火墙辅助软件,KILLBOX是用来删除一些文件的.
重装系统如果是格式化了硬盘的话,可以杀掉它.
qiaos910 - 2006-1-2 20:26:00
谢谢楼上的
© 2000 - 2026 Rising Corp. Ltd.