小聪来研究一下..

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛小聪来研究一下..

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

2 / 3 页

跳转页

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-06-03 02:19 \| 短消息资料字号：小中大 11楼怎么无效？是删除了之后重启再度出现吗？
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-06-03 02:31 \| 只看楼主短消息资料字号：小中大 12楼是完全不能删除即使阻止了也没用.. 插进程插得严重而且也只是个库文件应该会有个.exe的吧?
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-06-03 02:34 \| 短消息资料字号：小中大 13楼应该会有exe可执行文件或其他东西的吧。这个dll文件插入的并不是最核心进程，用IceSword应该可以搞定的。或者查查SSM的日志记录上有没有它创建进线程的记录。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-06-03 02:35 \| 只看楼主短消息资料字号：小中大 14楼用SSM还发现C:\WINDOWS\Temp\wintjlr.exe 也有点问题.. 我也试过用KillBox直接删C:\WINDOWS\System32\wcmlogon.dll 也没用..删不掉..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-06-03 02:41 \| 只看楼主短消息资料字号：小中大 15楼冰刃我暂时还没试过..还不知道到底行不行..这病毒C:\WINDOWS\System32\wcmlogon.dll 好象只是一个壳一样,..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-06-03 02:43 \| 短消息资料字号：小中大 16楼 C:\WINDOWS\Temp\wintjlr.exe删除，最好在安全模式下清空C:\WINDOWS\Temp\文件夹。试试killbox的替换后删除（类似下图）：
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-06-03 02:44 \| 短消息资料字号：小中大 17楼汗，又来了，每发到15条，总会出问题。再多发两帖。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-06-03 02:44 \| 短消息资料字号：小中大 18楼也可以试试IceSword的“复制”功能（以下摘自IceSword的帮助文件）：对一个被非共享打开的文件、或一个正运行的程序文件（比如木马），你想改掉它的内容（比如想向木马程序文件写入垃圾数据使它重启后无法运行），那么请选中一个文件（内含你想修改的内容），选“复制”菜单，将目标文件栏中添上你欲修改掉的文件（木马）路径名，确定后前者的内容就写入后者（木马）从头开始的位置。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-06-03 02:54 \| 只看楼主短消息资料字号：小中大 19楼冰刃好象一不小心会造成系统崩溃.. KillBox 替换来删除>C:\WINDOWS\System32\wcmlogon.dll?
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

卡卡技术团队

发表于： 2006-06-03 03:04 | 短消息资料

字号：小中大 20楼

引用:

【mopery的贴子】冰刃

好象一不小心会造成系统崩溃..

KillBox
替换来删除>C:\WINDOWS\System32\wcmlogon.dll?
...........................

1.12版我不清楚，1.16版有bug，1.18版就应该没那么容易造成崩溃吧。

KillBox
替换来删除>C:\WINDOWS\System32\wcmlogon.dll
是这个意思。

2 / 3 页

跳转页