【求助】猫叔，木马wsttrs.exe

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2007-04-02 17:59 \| 短消息资料字号：小中大 11楼【回复“瓶子里没有水”的帖子】用IceSword搞。 1、禁止进程创建。 2、强制卸除下列进程中的病毒模块： [PID: 672][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\B302EC43.DLL] [Microsoft Corporation, ] [PID: 1388][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\B302EC43.DLL] [Microsoft Corporation, ] [C:\WINDOWS\system32\msccrt.dll] [N/A, ] [C:\DOCUME~1\new\LOCALS~1\Temp\Qqzo0.dll] [N/A, ] [PID: 3512][D:\日志扫描\SREng.EXE] [Smallfrogs Studio, 2.4.12.806] [C:\DOCUME~1\new\LOCALS~1\Temp\Qqzo0.dll] [N/A, ] 注意：日志中无winlogon进程信息。请自己检查这个进程中是否有病毒模块插入。如果有，仿上述方法处理、 3、删除下列服务项：服务 [B302EC43 / B302EC43][Stopped/Auto Start] <C:\WINDOWS\system32\B302EC43.EXE -service><Microsoft Corporation> 4、删除下列文件： C:\WINDOWS\system32\B302EC43.EXE C:\WINDOWS\system32\B302EC43.DLL C:\WINDOWS\system32\msccrt.dll C:\DOCUME~1\new\LOCALS~1\Temp\Qqzo0.dll 5、取消IceSword的“禁止进程创建”。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

锋芒艾服狮

帖子:1266
注册: 2006-10-22
来自:

发表于： 2007-04-02 18:03 | 短消息资料

字号：小中大 12楼

引用:

【baohe的贴子】【回复“瓶子里没有水”的帖子】
用IceSword搞。
1、禁止进程创建。
2、强制卸除下列进程中的病毒模块：
[PID: 672][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\B302EC43.DLL] [Microsoft Corporation, ]
[PID: 1388][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\B302EC43.DLL] [Microsoft Corporation, ]
[C:\WINDOWS\system32\msccrt.dll] [N/A, ]
[C:\DOCUME~1\new\LOCALS~1\Temp\Qqzo0.dll] [N/A, ]
[PID: 3512][D:\日志扫描\SREng.EXE] [Smallfrogs Studio, 2.4.12.806]
[C:\DOCUME~1\new\LOCALS~1\Temp\Qqzo0.dll] [N/A, ]

注意：日志中无winlogon进程信息。请自己检查这个进程中是否有病毒模块插入。如果有，仿上述方法处理、

3、删除下列服务项：

服务

[B302EC43 / B302EC43][Stopped/Auto Start]
<C:\WINDOWS\system32\B302EC43.EXE -service><Microsoft Corporation>

4、删除下列文件：
C:\WINDOWS\system32\B302EC43.EXE
C:\WINDOWS\system32\B302EC43.DLL
C:\WINDOWS\system32\msccrt.dll
C:\DOCUME~1\new\LOCALS~1\Temp\Qqzo0.dll

5、取消IceSword的“禁止进程创建”。
………………

猫叔，如果winlogon进程被插，用icesword强制卸除，是否会导致蓝屏？

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2007-04-02 18:07 | 短消息资料

字号：小中大 13楼

引用:

【spiritfire的贴子】

引用:

【baohe的贴子】【回复“瓶子里没有水”的帖子】
用IceSword搞。
1、禁止进程创建。
2、强制卸除下列进程中的病毒模块：
[PID: 672][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\B302EC43.DLL] [Microsoft Corporation, ]
[PID: 1388][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\B302EC43.DLL] [Microsoft Corporation, ]
[C:\WINDOWS\system32\msccrt.dll] [N/A, ]
[C:\DOCUME~1\new\LOCALS~1\Temp\Qqzo0.dll] [N/A, ]
[PID: 3512][D:\日志扫描\SREng.EXE] [Smallfrogs Studio, 2.4.12.806]
[C:\DOCUME~1\new\LOCALS~1\Temp\Qqzo0.dll] [N/A, ]

注意：日志中无winlogon进程信息。请自己检查这个进程中是否有病毒模块插入。如果有，仿上述方法处理、

3、删除下列服务项：

服务

[B302EC43 / B302EC43][Stopped/Auto Start]
<C:\WINDOWS\system32\B302EC43.EXE -service><Microsoft Corporation>

4、删除下列文件：
C:\WINDOWS\system32\B302EC43.EXE
C:\WINDOWS\system32\B302EC43.DLL
C:\WINDOWS\system32\msccrt.dll
C:\DOCUME~1\new\LOCALS~1\Temp\Qqzo0.dll

5、取消IceSword的“禁止进程创建”。
………………

猫叔，如果winlogon进程被插，用icesword强制卸除，是否会导致蓝屏？
………………

有时会；有时不会。
不同的病毒，情况不同。

不动如山飘泊而立狮帖子:740 注册: 2005-01-14 来自:	发表于： 2007-04-02 18:12 \| 短消息资料字号：小中大 14楼楼主搞定了吗? 让我们也长长见识..............
不动如山飘泊而立狮帖子:740 注册: 2005-01-14 来自:

瓶子里没有水锋芒艾服狮帖子:1763 注册: 2007-01-27 来自:地域的游魂	发表于： 2007-04-02 18:38 \| 只看楼主短消息资料字号：小中大 15楼因为用喀吧扫描过，我手动根据提示删除过C:\WINDOWS\system32\B302EC43.EXE C:\WINDOWS\system32\B302EC43.DLL C:\WINDOWS\system32\msccrt.dll C:\DOCUME~1\new\LOCALS~1\Temp\Qqzo0.dll 至于B302EC43 / B302EC43][Stopped/Auto Start] <C:\WINDOWS\system32\B302EC43.EXE -service><Microsoft Corporation> 刚刚终止不过PID: 672][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\B302EC43.DLL] [Microsoft Corporation, ] [PID: 1388][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\B302EC43.DLL] [Microsoft Corporation, ] [C:\WINDOWS\system32\msccrt.dll] [N/A, ] [C:\DOCUME~1\new\LOCALS~1\Temp\Qqzo0.dll] [N/A, ] [PID: 3512][D:\日志扫描\SREng.EXE] [Smallfrogs Studio, 2.4.12.806] [C:\DOCUME~1\new\LOCALS~1\Temp\Qqzo0.dll] [N/A, ] 这些我怎么找、不到了，是因为用喀吧扫描过，而又用手删除的原因吗？？附件: 文件名:829849200742185118.jpg 下载次数:237 文件类型:image/pjpeg 文件大小: 上传时间:2007-4-2 18:38:58 描述:
瓶子里没有水锋芒艾服狮帖子:1763 注册: 2007-01-27 来自:地域的游魂

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-04-02 19:05 \| 短消息资料字号：小中大 16楼重启电脑进安全模式，照版主的说法做了吗？现在有无异常啊？最好再扫个新日志看看，也好学点东西。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

瓶子里没有水锋芒艾服狮帖子:1763 注册: 2007-01-27 来自:地域的游魂	发表于： 2007-04-02 19:10 \| 只看楼主短消息资料字号：小中大 17楼安全下搞啊~ 我晕，这就去~~
瓶子里没有水锋芒艾服狮帖子:1763 注册: 2007-01-27 来自:地域的游魂

逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:	发表于： 2007-04-02 19:14 \| 短消息资料字号：小中大 18楼我想知道的是,为什么我的系统不存在安全模式.....似乎是一次性的.....
逍遥浪子45 自信弱冠狮帖子:329 注册: 2006-09-25 来自:

瓶子里没有水锋芒艾服狮帖子:1763 注册: 2007-01-27 来自:地域的游魂	发表于： 2007-04-02 19:17 \| 只看楼主短消息资料字号：小中大 19楼【回复“天月来了”的帖子】y晕，重起电脑了，才想起来，如果是在安全模式下，这个病毒是不回运行的，那用的着冰刃强制终止么~？？安全下直接就可以删除文件~ 至少我的安全下可以
瓶子里没有水锋芒艾服狮帖子:1763 注册: 2007-01-27 来自:地域的游魂

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-04-02 21:12 \| 短消息资料字号：小中大 20楼呵呵！！！那你现在系统怎样了啊？光删除文件是不行的，还得删除注册表项呢。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】猫叔，木马wsttrs.exe

附件:

文件名:829849200742185118.jpg 下载次数:237 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(160067); 上传时间:2007-4-2 18:38:58 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【求助】猫叔，木马wsttrs.exe

文件名:829849200742185118.jpg

下载次数:237

文件类型:image/pjpeg

文件大小:

上传时间:2007-4-2 18:38:58

描述: