瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】关于http://www.123wa.com的暂时处理方法

12   2  /  2  页   跳转

【原创】关于http://www.123wa.com的暂时处理方法

收藏
SKULL2020
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2006-11-17
  • 来自:
发表于: 2006-11-18 04:00 | 短消息 资料
字号: 11楼

www.123wa.com
我也中招了
仔细看了下 他是把我的桌面的IE图标和快截启动里的IE图标删除
然后换成了加入他的网址的IE快截方式 可以右键图标属性查看
外观看上去象是真的IE 于是一打开就转到他的网址
我把他桌面和快截启动里的图标都删了 然后把IE搞出来 没事了
只是每次启动桌面就会多一个他的网址的快截方式 不知道怎么清理。。
另外在WINDOWS的TEMP目录下发现名为expri.dll的删不掉的文件
安全模式下可删 但是启动以后仍然出现
查找此文件在注册表中的项目 发现仅有一项并且紧挨着一个键值为123wa的项 希望对达人们有帮助
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2006-11-18 12:38 | 只看楼主 短消息 资料
字号: 12楼

gototop
 
madlynn
头像
初生襁褓狮
  • 帖子:58
  • 注册: 2006-11-18
  • 来自:
发表于: 2006-11-18 12:40 | 短消息 资料
字号: 13楼

555...楼主....方法不行啊....
找不到那俩文件~~
gototop
 
newcenturymoon
头像
社区嘉宾
  • 帖子:15158
  • 注册: 2005-08-03
  • 来自:
论坛8周年活动礼物幸运草
发表于: 2006-11-18 12:40 | 只看楼主 短消息 资料
字号: 14楼

双击我的电脑-工具-文件夹选项-查看-显示所有文件和文件夹,把“隐藏受保护的系统文件”的勾去掉。 再找 不要搜索
gototop
 
madlynn
头像
初生襁褓狮
  • 帖子:58
  • 注册: 2006-11-18
  • 来自:
发表于: 2006-11-18 12:49 | 短消息 资料
字号: 15楼

也是不行啊..就找到jet500.dll和00004392.DAT这个文件

一打开我的电脑,就弹出发现病毒...怎么杀都不行呢
gototop
 
519同同
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2006-11-18
  • 来自:
发表于: 2006-11-20 09:12 | 短消息 资料
字号: 16楼

我试一下.
gototop
 
鬼域防御系统
头像
初生襁褓狮
  • 帖子:3
  • 注册: 2006-11-16
  • 来自:
发表于: 2006-11-20 10:07 | 短消息 资料
字号: 17楼

系统太脆弱了.
gototop
 
菊花枸杞茶
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2006-11-22
  • 来自:
发表于: 2006-11-22 10:14 | 短消息 资料
字号: 18楼

楼主:
  试你所说的这个方法!还是不行!删不掉啊!提示"无法删除,请确定……"我不记得具体说的是什么了!反正我在安全模式下也删不掉!
  这什么瑞星杀毒或者卡卡都检测不到这个东西!超级郁闷!耽误我很多的工作!
  天啦!!帮帮忙啊!
gototop
 
小巫婆1121
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2006-11-22
  • 来自:
发表于: 2006-11-22 20:44 | 短消息 资料
字号: 19楼

我也中这个了,打开网页就是这个烂网站,我来试试这个方法
gototop
 
yexiaoyu
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2006-12-01
  • 来自:
发表于: 2006-12-02 00:29 | 短消息 资料
字号: 20楼

引用:
【newcenturymoon的贴子】今天开始 http://www.123wa.com求助的帖子逐渐增多 对比了几个帖子的日志
现把暂时解决办法 公布一下
安全模式下
开始 运行 输入services.msc 找到Servicex 或者Servicel双击 把他的启动类型改为 已禁用
重启计算机 删除C:\WINDOWS\system32\jempren.dll
C:\WINDOWS\system32\jetspeed.dll
C:\WINDOWS\system32\drivers\0000XXXX.sys
其中最后的XXXX中的前三个一般是数字 最后一个是字母 是随机生成的
如果有中这个病毒的朋友试一下 这样可以不可以
然后跟帖回复
………………

你好.有上线麻烦你回我一下
我的电脑有WWW.123WA.COM(酷站导航)
我用360卫士和优化大师杀过.
可是下次用的时候又冒出来.
另外我电脑有下面两个木马.和这个网有没有关系.
我看了你的贴.觉得有点关系.只是文件名不同.
请告之.

计算机重启后删除: 木马程序 Trojan-Downloader.Win32.Agent.bbb 运行模块: C:\WINDOWS\system32\jfmfa.dll
计算机重启后删除: 木马程序 Trojan-Downloader.Win32.Agent.bbb 运行模块: C:\WINDOWS\system32\drivers\xbglc.sys
.有人知道怎么办吗

天开始 http://www.123wa.com求助的帖子逐渐增多 对比了几个帖子的日志
现把暂时解决办法 公布一下
安全模式下
开始 运行 输入services.msc 找到Servicex 或者Servicel双击 把他的启动类型改为 已禁用
重启计算机 删除C:\WINDOWS\system32\jempren.dll(这个文件我电脑没有,只有一个JET500..DLL 请问一样吗)
C:\WINDOWS\system32\jetspeed.dll(我有这 C:\WINDOWS\system32\jfmfa.dll
和你的也不一样)
C:\WINDOWS\system32\drivers\0000XXXX.sys( C:\WINDOWS\system32\drivers\xbglc.sys)
其中最后的XXXX中的前三个一般是数字 最后一个是字母 是随机生成的
如果有中这个病毒的朋友试一下 这样可以不可以
然后跟帖回复
因为文件名和你的不一样.
我还没删除.
麻烦你快点帮我回.谢谢
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT