瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 一开机就自动打开c:\windows\system32目录

123   2  /  3  页   跳转

一开机就自动打开c:\windows\system32目录

收藏
红夜鬼1
头像
横据古稀狮
  • 帖子:8602
  • 注册: 2006-10-18
  • 来自:
发表于: 2007-01-13 14:00 | 短消息 资料
字号: 11楼

运行SREng2,使用“启动项目”--注册表--删除
C:\WINDOWS\system32\
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys

运行(双击)SRENG2,点“启动项目,服务,点“Win32服务应用程序”
勾选“隐藏微软服务”选中病毒服务
Windows DHCP Service
WinXP DHCP Service
,选择“删除服务”
点“设置”选择“否”

运行SREng2,使用“系统修复”--浏览器加载项--删除
[]
{E42222A2-B6E6-4242-A943-CDC0415AD763} <C:\WINDOWS\system32\3721.11.dll, 3721公司<推荐使用>>
[Edit Class]
{0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} <C:\WINDOWS\system32\CMBEdit.dll, >

重启按F8进入安全模式下
显示隐藏文件
删除: 
C:\WINDOWS\system32\L_hy25.scr
C:\WINDOWS\system32\agtz.dll
C:\WINDOWS\system32\tvqwcb.dll
C:\WINDOWS\system32\3721.11.dll,
C:\WINDOWS\system32\CMBEdit.dll
windhcp.ocx
xpdhcp.dll
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys


查找HOSTS文件,用记事打开,清除里面的
只留这一项:127.0.0.1
gototop
 
xuemeig
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-01-12
  • 来自:
发表于: 2007-01-13 16:04 | 只看楼主 短消息 资料
字号: 12楼

========Content========
先谢谢这位高手,不过:
运行SREng2,使用“启动项目”--注册表--删除
C:\WINDOWS\system32\
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
删除不了,提示画面如下

附件附件:

下载次数:389
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-13 16:04:55
描述:
预览信息:EXIF信息
gototop
 
xuemeig
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-01-12
  • 来自:
发表于: 2007-01-13 16:09 | 只看楼主 短消息 资料
字号: 13楼

========Content========
所以开机时仍然进入c:\windows\system32目录,而且有时出现如下提示:

附件附件:

下载次数:368
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-13 16:09:30
描述:
预览信息:EXIF信息
gototop
 
xuemeig
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-01-12
  • 来自:
发表于: 2007-01-13 16:10 | 只看楼主 短消息 资料
字号: 14楼

还有:

附件附件:

下载次数:371
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-13 16:10:32
描述:
预览信息:EXIF信息
gototop
 
xuemeig
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-01-12
  • 来自:
发表于: 2007-01-13 16:13 | 只看楼主 短消息 资料
字号: 15楼

用查毒软件找出如下病毒,每次重新启动都又出来了:

附件附件:

下载次数:378
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-13 16:13:08
描述:
预览信息:EXIF信息
gototop
 
xuemeig
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-01-12
  • 来自:
发表于: 2007-01-13 16:24 | 只看楼主 短消息 资料
字号: 16楼

刚才那个病毒图片不太清楚,应该是:
文件名:IEXPLORE.EXE
文件路径:C:\Program Files\Internet Explore\EXPLORE.EXE
病毒名:Backdoor.Gpigeon.mgx
状态:清除成功

但是开机还是有的,再请大虾帮忙了。。。。。。
gototop
 
爬围墙上青天
头像
横据古稀狮
  • 帖子:10155
  • 注册: 2006-09-09
  • 来自:
发表于: 2007-01-13 16:32 | 短消息 资料
字号: 17楼

引用:
【xuemeig的贴子】刚才那个病毒图片不太清楚,应该是:
文件名:IEXPLORE.EXE
文件路径:C:\Program Files\Internet Explore\EXPLORE.EXE
病毒名:Backdoor.Gpigeon.mgx
状态:清除成功

但是开机还是有的,再请大虾帮忙了。。。。。。
………………

关闭系统还原``安全模式下开杀毒软件杀```
gototop
 
xuemeig
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-01-12
  • 来自:
发表于: 2007-01-13 16:44 | 只看楼主 短消息 资料
字号: 18楼

========Content========
哦,其实我一运行SREng2,点击“启动项目”,就立即跳出11楼的图片了,怎么办啊,改不了了。。。。。。帮帮忙
gototop
 
xuemeig
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-01-12
  • 来自:
发表于: 2007-01-13 18:07 | 只看楼主 短消息 资料
字号: 19楼

关闭系统还原``安全模式下开杀毒软件杀```是不是重新启动到安全模式杀毒啊,刚刚查完,没有病毒,可是开机还是进入c:\windows\system32目;
  还有,“找不到文件L_hy20.scr” 和“L_hy25.scr/L_hy26.exe不是有效的win32应用程序”等文件提示都是在启动阿里巴巴的贸易通软件的时候提示的,高手给点意见啊,谢谢了。。。
gototop
 
红夜鬼1
头像
横据古稀狮
  • 帖子:8602
  • 注册: 2006-10-18
  • 来自:
发表于: 2007-01-13 19:14 | 短消息 资料
字号: 20楼

运行SREng2,使用“启动项目”--注册表--

选中UsetrInit单击编辑,将值改为C:\windows\system32\userinit.exe,
注意豆号
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT