Email-Worm.Win32.Brontok.q的手工查杀方法

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 Email-Worm.Win32.Brontok.q的手工查杀方法

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3

1 / 3 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-07-24 12:20 \| 只看楼主短消息资料字号：小中大 1楼 Email-Worm.Win32.Brontok.q的手工查杀方法这是网友昨天发给我的一个样本。卡巴斯基报Email-Worm.Win32.Brontok.q。当时，那位网友说删除C:\Documents and Settings\当前用户名\Local Settings\Application Data\中的winlogon.exe等文件时遇到困难（一点击病毒文件名，系统即刻重启！）。现将手工查杀方法罗列如下： 1、用autoruns等工具删除注册表中病毒的加载项（图1）。【WINDOWS的注册表编辑器已被病毒禁用】利用其它注册表编辑工具（如：TuneUp等）编辑以下注册表项：展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 将"NoFolderOptions"=dword:00000001改为："NoFolderOptions"=dword:00000000 展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 将"DisableRegistryTools"=dword:00000001改为"DisableRegistryTools"=dword:00000000 展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 将"Hidden"=dword:00000001改为"Hidden"=dword:00000000 2、重启系统。 3、删除病毒文件（图2）。图1 附件: 文件名:1558472006724121228.jpg 下载次数:391 文件类型:image/pjpeg 文件大小: 上传时间:2006-7-24 12:20:20 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-09-29 20:31:45.700000000
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-07-24 12:21 \| 只看楼主短消息资料字号：小中大 2楼图2 附件: 文件名:1558472006724121311.jpg 下载次数:414 文件类型:image/pjpeg 文件大小: 上传时间:2006-7-24 12:21:02 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2006-07-24 12:22 \| 短消息资料字号：小中大 3楼 C:\Documents and Settings\当前用户名\Local Settings\Application Data\中的winlogon.exe等文件这个不能用清空缓存吗？？？
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

yanmings 锋芒艾服狮帖子:1698 注册: 2005-01-10 来自:	发表于： 2006-07-24 12:25 \| 短消息资料字号：小中大 4楼昨天有好几个问这个
yanmings 锋芒艾服狮帖子:1698 注册: 2005-01-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-07-24 12:25 | 只看楼主 短消息资料

字号：小中大 5楼

引用:

【独孤豪侠的贴子】C:\Documents and Settings\当前用户名\Local Settings\Application Data\中的winlogon.exe等文件
这个不能用清空缓存吗？？？
...........................

C:\Documents and Settings\当前用户名\Local Settings\Application Data\
不是C:\Documents and Settings\当前用户名\Local Settings\Temp\

锋芒艾服狮

帖子:1698
注册: 2005-01-10
来自:

发表于： 2006-07-24 12:25 | 短消息资料

字号：小中大 6楼

引用:

【独孤豪侠的贴子】C:\Documents and Settings\当前用户名\Local Settings\Application Data\中的winlogon.exe等文件
这个不能用清空缓存吗？？？
...........................

好象是一点就重启

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2006-07-24 12:26 \| 短消息资料字号：小中大 7楼噢~~~~~~~ 收了先。。。。
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-07-24 12:37 \| 短消息资料字号：小中大 8楼猫叔..昨天那女的样本还真送过去了... 学习下...
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr	发表于： 2006-07-24 15:55 \| 短消息资料字号：小中大 9楼学习,另外,在HJ和SRENG中的日志会有什么表现??
闪电风暴特邀体验者帖子:5462 注册: 2005-01-12 来自:0GiNr

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-07-24 15:56 | 只看楼主 短消息资料

字号：小中大 10楼

引用:

【mopery的贴子】猫叔..昨天那女的样本还真送过去了...

学习下...
...........................

她急中生智，索性把整个Application Data文件夹打包给我发过来了！
也是不得已呀！

<<上一主题|下一主题>>

12 3

1 / 3 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-07-24 12:20 \| 只看楼主短消息资料字号：小中大 1楼 Email-Worm.Win32.Brontok.q的手工查杀方法这是网友昨天发给我的一个样本。卡巴斯基报Email-Worm.Win32.Brontok.q。当时，那位网友说删除C:\Documents and Settings\当前用户名\Local Settings\Application Data\中的winlogon.exe等文件时遇到困难（一点击病毒文件名，系统即刻重启！）。现将手工查杀方法罗列如下： 1、用autoruns等工具删除注册表中病毒的加载项（图1）。【WINDOWS的注册表编辑器已被病毒禁用】利用其它注册表编辑工具（如：TuneUp等）编辑以下注册表项：展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer 将"NoFolderOptions"=dword:00000001改为："NoFolderOptions"=dword:00000000 展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System 将"DisableRegistryTools"=dword:00000001改为"DisableRegistryTools"=dword:00000000 展开：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced 将"Hidden"=dword:00000001改为"Hidden"=dword:00000000 2、重启系统。 3、删除病毒文件（图2）。图1 附件: 文件名:1558472006724121228.jpg 下载次数:391 文件类型:image/pjpeg 文件大小: 上传时间:2006-7-24 12:20:20 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01 2006-09-29 20:31:45.700000000
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Email-Worm.Win32.Brontok.q的手工查杀方法

Email-Worm.Win32.Brontok.q的手工查杀方法

Email-Worm.Win32.Brontok.q的手工查杀方法

附件:

文件名:1558472006724121228.jpg 下载次数:391 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(315017); 上传时间:2006-7-24 12:20:20 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:1558472006724121311.jpg 下载次数:414 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(143077); 上传时间:2006-7-24 12:21:02 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

文件名:1558472006724121228.jpg

下载次数:391

文件类型:image/pjpeg

文件大小:

上传时间:2006-7-24 12:20:20

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:1558472006724121311.jpg

下载次数:414

文件类型:image/pjpeg

文件大小:

上传时间:2006-7-24 12:21:02

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01