瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 救命啊,我都快要被那个威金搞疯了

123   2  /  3  页   跳转

救命啊,我都快要被那个威金搞疯了

收藏
月光倾城
头像
初生襁褓狮
  • 帖子:75
  • 注册: 2005-10-01
  • 来自:
发表于: 2007-01-02 15:55 | 只看楼主 短消息 资料
字号: 11楼

[C:\Program Files\Rising\Rav\CfgDll.dll]  [Beijing Rising Technology Co., Ltd., 18, 0, 0, 13]
    [C:\Program Files\Rising\Rav\RSCOMMON.DLL]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 5]
    [C:\Program Files\Rising\Rav\RsCommX.dll]  [rising, 18, 0, 0, 1]
    [C:\Program Files\Rising\Rav\RsXML.dll]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 2]
    [C:\Program Files\Rising\Rav\PngDll.dll]  [Beijing Rising Technology Co., Ltd., 18, 0, 0, 5]
[PID: 2116][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [D:\超级兔子\超兔文件\MagicSet\haokanbar.dll]  [Xiang Feng Technology, 2, 2, 0, 1612]
[PID: 2484][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2272][C:\Program Files\Rising\Rav\RsAgent.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 9]
    [C:\Program Files\Rising\Rav\RsCommX.dll]  [rising, 18, 0, 0, 1]
[PID: 2284][C:\WINDOWS\msagent\AgentSvr.exe]  [Microsoft Corporation, 2.00.0.3422]
[PID: 2444][C:\Program Files\Maxthon\Maxthon.exe]  [Maxthon International Ltd., 1, 5, 6, 42]
    [C:\Program Files\Maxthon\maxzlib.dll]  [ , 1, 0, 0, 2]
    [D:\迅雷\迅雷文件\ComDlls\XunLeiMiniBHO_001.dll]  [Thunder Networking Technologies,LTD, 2, 0, 0, 1]
    [C:\Program Files\Maxthon\Services\RealTime\real_time.dll]  [, 1, 0, 0, 1]
    [C:\Program Files\Rising\Rav\RavScrCh.dll]  [Beijing Rising Technology Co., Ltd., 18, 0, 0, 4]
    [C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx]  [Adobe Systems, Inc., 9,0,16,0]
    [D:\VirusKiller.scr]  [Beijing Rising Tech. Co., Ltd., 1, 1, 0, 0]
    [C:\Program Files\Rising\Rav\RavScrCh.dll]  [Beijing Rising Technology Co., Ltd., 18, 0, 0, 4]
[PID: 3628][C:\WINDOWS\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 212][C:\WINDOWS\system32\cmd.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 228][D:\迅雷\迅雷文件\program\ThunderMini.exe]  [Thunder Networking Technologies,LTD, 2, 0, 0, 29]
    [D:\迅雷\迅雷文件\program\download_interface.dll]  [N/A, N/A]
    [D:\迅雷\迅雷文件\program\UpdateDownload.dll]  [Thunder Networking Technologies,LTD, 1, 0, 1, 6]
    [D:\迅雷\迅雷文件\Components\InMedia\iEmbedShell.dll]  [ , 1, 0, 0, 6]
    [D:\迅雷\迅雷文件\Components\InMedia\iEmbed.dll]  [ , 2, 1, 0, 30]
[PID: 3516][D:\日志扫描\SREng.EXE]  [Smallfrogs Studio, 2.3.13.690]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  Error. [winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
API HOOK
N/A

==================================


[/CODE]
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2007-01-02 16:02 | 短消息 资料
字号: 12楼


用sreng
删除启动项目=>注册表
<zts2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zts2.exe> [N/A]
<load><C:\WINDOWS\uninstall\rundl132.exe> [N/A]
<twin><C:\WINDOWS\system32\twunk32.exe> [N/A]

删除文件
C:\WINDOWS\system32\twunk32.exe
C:\WINDOWS\uninstall\

安全模式清空
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\

http://mopery.hits.io/viking.zip
建议拿讯雷下..下好后 在线更新 更新到209病毒库 全盘查杀就行..

查杀完 开始-搜索 .exe.Exe 把搜索到的 0字节文件全部删除..
gototop
 
黑灯黑火
头像
飘泊而立狮
  • 帖子:734
  • 注册: 2006-03-24
  • 来自:
发表于: 2007-01-02 16:04 | 短消息 资料
字号: 13楼

重启进入安全模式,打开sreng删除下面几个启动项~查找并删除相关文件~(如果查出有威金请一并删除威金的文件,奇怪的是为什么在日志中没有看到威金的进程~?)
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<iesearch><iesearch.exe> [N/A](这个是??)
zts2><C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\zts2.exe> [N/A]
<load><C:\WINDOWS\uninstall\rundl132.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<twin><C:\WINDOWS\system32\twunk32.exe> [N/A]
关于这个twunk32.exe,参考此帖:http://forum.ikaka.com/topic.asp?board=28&artid=8237996

另,修复文件关联~


<load><C:\WINDOWS\uninstall\rundl132.exe> [N/A]
完了,这么明显居然我都没在意~~闪~
gototop
 
安全防卫
头像
飘泊而立狮
  • 帖子:699
  • 注册: 2006-01-14
  • 来自:
发表于: 2007-01-02 16:20 | 短消息 资料
字号: 14楼

iesearch.exe这个是地址栏搜索工具
gototop
 
黑灯黑火
头像
飘泊而立狮
  • 帖子:734
  • 注册: 2006-03-24
  • 来自:
发表于: 2007-01-02 16:22 | 短消息 资料
字号: 15楼

引用:
【安全防卫的贴子】iesearch.exe这个是地址栏搜索工具

………………

哦~~
谢~
gototop
 
月光倾城
头像
初生襁褓狮
  • 帖子:75
  • 注册: 2005-10-01
  • 来自:
发表于: 2007-01-02 16:42 | 只看楼主 短消息 资料
字号: 16楼

【回复“mopery”的帖子】真是不错,这回杀了两百多个病毒出来了,只是没有找到一个0字节的文件,我的图标也没有变回来。日志里面出面这两项
Userinit  c:\windows\system32\userinit.exe
UIHost    "\program file\Logonui\Royale.exe"这两项是红色的.系统还提示说什么注册表的健值不符,系统中能存在病毒,这该怎么办.还有那个twunk_32.exe这个文件删了又出来了.我又搜索了一下,发现那个Logo1_.exe的文件还有
gototop
 
月光倾城
头像
初生襁褓狮
  • 帖子:75
  • 注册: 2005-10-01
  • 来自:
发表于: 2007-01-02 18:43 | 只看楼主 短消息 资料
字号: 17楼

我的快要好了,别让他沉下去,快来人啊,帮我善一下后嘛
gototop
 
eastown
头像
快乐黄口狮
  • 帖子:195
  • 注册: 2005-01-21
  • 来自:
发表于: 2007-01-02 21:02 | 短消息 资料
字号: 18楼

我刚也中了这种毒,现在解决了
江民专杀地址下载:
http://cache.baidu.com/c?word=richdll%3B%2E%3Bdll&url=http%3A//www%2Emseagle%2Ecn/blogview%2Easp%3FlogID%3D382&p=882a944ea4940bf405b8c7710e1390&user=baidu
清除完后,删除病毒文件 清理注册表
怎么清楚不大懂
gototop
 
荣虎荣虎
头像
飘泊而立狮
  • 帖子:643
  • 注册: 2005-12-11
  • 来自:
发表于: 2007-01-02 21:20 | 短消息 资料
字号: 19楼

千万去不得yahoo,否则又被3721、yahoo、阿里巴巴流氓了。
gototop
 
月光倾城
头像
初生襁褓狮
  • 帖子:75
  • 注册: 2005-10-01
  • 来自:
发表于: 2007-01-02 22:31 | 只看楼主 短消息 资料
字号: 20楼

谢谢各位了,我的好像弄好了,也没找到那个该死的文件了,刚开始用农夫的杀了后又用江民的杀出来五个.麻烦.
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT