瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】瑞星2006病毒查杀后,如何去除自动屏蔽瑞星的残留程序

123   2  /  3  页   跳转

【求助】瑞星2006病毒查杀后,如何去除自动屏蔽瑞星的残留程序

收藏
moke
头像
初生襁褓狮
  • 帖子:67
  • 注册: 2006-01-06
  • 来自:
发表于: 2006-02-14 15:09 | 只看楼主 短消息 资料
字号: 11楼

引用:
【BlackStone的贴子】winlogon.exe应该没问题

通过procexp找到winser.exe所在目录,杀掉那个进程,删除文件。
也可把那个文件发给我(VirusInBox@163.com)

...........................


不会找他的目录 ~我在procexp中确实发现了winser.exe ~然后直接把他KILL了~
我现在去从起下看看
gototop
 
moke
头像
初生襁褓狮
  • 帖子:67
  • 注册: 2006-01-06
  • 来自:
发表于: 2006-02-14 15:23 | 只看楼主 短消息 资料
字号: 12楼

在 procexp 中找到了 如图
但是KILL了之后`从起又出来了~

按照C:\windows\system32  下却没有WINSER.EXE

附件附件:

下载次数:171
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-14 15:23:49
描述:
预览信息:EXIF信息
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-02-14 15:28 | 短消息 资料
字号: 13楼

引用:
【moke的贴子】在 procexp 中找到了 如图
但是KILL了之后`从起又出来了~

按照C:\windows\system32  下却没有WINSER.EXE
...........................


修改一下文件夹选项再找找

附件附件:

下载次数:107
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-14 15:28:17
描述:
gototop
 
moke
头像
初生襁褓狮
  • 帖子:67
  • 注册: 2006-01-06
  • 来自:
发表于: 2006-02-14 15:37 | 只看楼主 短消息 资料
字号: 14楼

我打开 隐藏受保护的操作系统文件
和显示所有文件之后

还是没有找到 winser.exe 只是在procexp中可以看到~
你能不能通过QQ的远程帮助~帮我解决下~
QQ号:11106745
gototop
 
moke
头像
初生襁褓狮
  • 帖子:67
  • 注册: 2006-01-06
  • 来自:
发表于: 2006-02-14 15:42 | 只看楼主 短消息 资料
字号: 15楼

打开注册表了
但是我找不到HKLM\SOFTWARE

附件附件:

下载次数:170
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-14 15:42:26
描述:
预览信息:EXIF信息
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-02-14 15:47 | 短消息 资料
字号: 16楼

你试试用IceSword能不能找到

工具的下载、使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7538008
gototop
 
moke
头像
初生襁褓狮
  • 帖子:67
  • 注册: 2006-01-06
  • 来自:
发表于: 2006-02-14 16:10 | 只看楼主 短消息 资料
字号: 17楼

TcpView
截图如下

附件附件:

下载次数:187
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-14 16:10:29
描述:
预览信息:EXIF信息
gototop
 
moke
头像
初生襁褓狮
  • 帖子:67
  • 注册: 2006-01-06
  • 来自:
发表于: 2006-02-14 16:13 | 只看楼主 短消息 资料
字号: 18楼

刚才还偶然发现
C D E F 每个盘的根目录下都多了3个隐藏文件。

在安全模式下也不能删除~~~~~

我是不是种了个比较难缠的木马? 瑞星居然检查不出来~

附件附件:

下载次数:167
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-14 16:13:41
描述:
预览信息:EXIF信息
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2006-02-14 16:24 | 短消息 资料
字号: 19楼

用IceSword不是TcpView
gototop
 
moke
头像
初生襁褓狮
  • 帖子:67
  • 注册: 2006-01-06
  • 来自:
发表于: 2006-02-14 16:39 | 只看楼主 短消息 资料
字号: 20楼

抱歉 搞错了~这次对了~也发现了winser.exe
你在贴子中提到了 ,驱动注册表隐藏项
由于我对注册表不了解 找不到zwwmlmtz文件夹

能给个详细连接,说明他在拿个分支下吗?

附件附件:

下载次数:151
文件类型:image/pjpeg
文件大小:
上传时间:2006-2-14 16:39:17
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT