瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » winupgro.exe病毒怎么查杀
nmxkxp - 2010-11-1 11:03:00
瑞星都杀不到,可能是变种 网上说的手动清楚办法无效 注册表里根本没有S开头那项 路径一样 Application Data\drivers\winupgro.exe 每次开机都会自动下载一堆木马文件。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; WebMoney Advisor; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1); .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; staticlogin:product=cboxf09&act=login&info=ZmlsZW5hbWU9UG93ZXJ3b3JkMjAwOU94Zi4yNTI2OS40MDExLmV4ZSZtYWM9QkFEQjFBQUI4MEI2NDIwQjk5OTYzQzkyRDBDRTVBQTQmcGFzc3BvcnQ9JnZlcnNpb249MjAwOS4wNS4yNS4zLjI3MiZjcmFzaHR5cGU9MQ==&verify=35cdf70f2650d8478aae62ecd0d233e0)
networkedition - 2010-11-1 11:16:00
winupgro.exe 跟帖打包发来。
Acerter - 2010-11-1 11:54:00
楼主可以尝试手动杀毒

具体方法从我的boke上粘贴的

对于一些手动杀不干净的病毒一点心得

为什么病毒会杀不干净呢?

病毒程序正在运行,无法删除病毒文件,或者写入内存从新感染,

解决办法从rootkits入手干掉病毒,但是这个方法不是一般人能接受了的,掠过

还有种方法就是对病毒的EXE建立镜像劫持,然后从启机器,再删除,先来看看什么是镜像劫持

就是在注册表的[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Image File Execution Options]处新建一个以杀毒软件主程序命名的项,例如Rav.exe。然后再创建一个子键“Debugger="C:\WINDOWS\system32\drivers\ceffen.com”。以后只要用户双击 Rav.exe就会运行OSO的病毒文件ceffen.com,类似文件关联的效果。(转自百度)

更具体的方法呢,大家可以参看笔者以前的百度博客,虽然这个博客笔者已经废弃好几年了

http://hi.baidu.com/%C9%B1%B6%BE%B4%F3%CA%E5/blog/item/f9f16c0146276b087bec2c5c.html

那对于那些dll怎么办?

这个依然很简单,打开你的任务管理器

找到一些你看见很不爽的exe,越多越好,都写上也无所谓,把这些都记下,每一个都做他的镜像劫持

然后从新启动,启动后的电脑变成了除了删除等几个功能之外什么都没有的太监系统了

然后找到那些dll,删掉即可,

在有熟悉cmd命令的朋友,对付这类的玩意就更简单了,

我的方法是,

做病毒的镜像劫持指向自己编写的cmd脚本,当然不用镜像劫持也是可以的,镜像的保险一点

cmd的命令要比别的语言运行的要快,比c什么的跑的快多了,而且在xp下还不用担心权限问题

比如要杀掉的病毒的文件名叫做xxx,

如果这玩意是exe

代码写成这样就可

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::;

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\xxx" /v debugger /t REG_SZ /d "c:\kill.bat" /f

:AT_CERT

taskkill /im "xxx" /f /t
attrib -a -s -r -h "xxx"
del /f /q /a "xxx路径"
md "xxxxxx路径\"
md "xxxxxx路径\AT_CERT...\"

goto AT_CERT

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

如果这玩意是dll

那就要用到x-ps.exe的工具,下载的话网上so一下吧

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

:AT_CERT

x-ps.exe /e * xxx

attrib -a -s -r -h "xxx路径"
del /f /q /a "xxx路径"
md "xxx路径\"
md "xxx路径\AT_CERT...\"

goto AT_CERT

::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

最后就剩下,在内存或者其他别的地方驻留的病毒文件了,然后反复感染你的系统

杀完毒后,断电,然后按住开机,给内存放电,

这样基本上就可以了

用了上述方法,xp上我还没碰过删除不了的玩意,

最后祝君好运
1
查看完整版本: winupgro.exe病毒怎么查杀