lifndcw - 2011-11-2 17:18:00
机子中了rgwatch.sys(通用搜索),在安全方式下
1、iceword不能启动,改名也不行。
2、用unlock删除rgwatch.sys,重启后又存在了。
试过网上很多方法,都不行
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.2; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; TheWorld)
networkedition - 2011-11-2 17:27:00
lifndcw - 2011-11-3 14:44:00
上传了三个文件,请高手帮手看下如何清除这个病毒
附件:
RGWatch1.rar 附件:
SREngLOG.log 附件:
Temp.rar
networkedition - 2011-11-3 15:12:00
那个驱动是0字节,lz将QQ号通过站内短消息发送给我,远程看一下。
lifndcw - 2011-11-3 15:46:00
networkedition - 2011-11-3 15:57:00
sreng工具的SuspiciousFiles误报率是很高的。temp.rar样本已收集反馈。
下面两个隐藏进程不知道是什么
C:\WINDOWS\system32\TCCMgtC.exe
C:\WINDOWS\system32\TCCWatcher.exe
networkedition - 2011-11-3 16:05:00
Temp.rar程序都是注册机啊:kaka6:
lifndcw - 2011-11-3 16:24:00
C:\WINDOWS\system32\TCCMgtC.exe
C:\WINDOWS\system32\TCCWatcher.exe
这两个是防水墙(防止通过U口复制文件)的文件,是正常的
temp.rar中的文件是病毒不断生成在C:\Documents and Settings\Administrator\Local Settings\Temp中的dwh*.exe文件
networkedition - 2011-11-3 16:27:00
使用processmonitor工具监视一下,看看具体是那个程序不断创建dwh*.exe,运行了一下都是注册机。
lifndcw - 2011-11-4 17:04:00
用unlocker删除以下文件
C:\WINDOWS\system32\drivers\DetPort.sys
C:\WINDOWS\system32\drivers\IsPubDrv.sys
C:\WINDOWS\system32\drivers\OfcPfwSvc.exe
C:\WINDOWS\system32\drivers\RGWatch.sys
C:\WINDOWS\system32\drivers\TMCOMM.sys
C:\WINDOWS\system32\drivers\TM_CFW.sys
用XueTr删除注册表以下内容
KEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\rgwatch
HKEY_LOCAL_MACHINE\SOFTWARE\WonderSoft\lockfiles
终于删除rgwatch,sys:kaka12:
© 2000 - 2024 Rising Corp. Ltd.