瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 shanda.dll,至今还没解决,请高手999999命

1   1  /  1  页   跳转

shanda.dll,至今还没解决,请高手999999命

收藏
骄傲的强哥
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2005-12-16
  • 来自:
发表于: 2005-12-16 20:00 | 只看楼主 短消息 资料
字号: 1楼

shanda.dll,至今还没解决,请高手999999命

请教大家一个问题!!
  中了shanda.dll病毒
  你们知道怎么解决吗?????????
  
  病毒症状:
  . 打开IE,自动在C:\WINDOWS\SYSTEM32\ 里生成三个文件,shanda.d11(后缀为D11,不是DLL),hooks.dll,mir.exe,并自动运行shanda.d11到进程里
    从装N遍,还有
最后编辑2005-12-18 12:47:46
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-16 20:03 | 短消息 资料
字号: 2楼

【回复“骄傲的强哥”的帖子】
找到C:\WINDOWS\SYSTEM32\ 下的,mir.exe打包,发到:baohelin@yahoo.com.cn。
gototop
 
海色の月
头像
社区嘉宾
  • 帖子:776
  • 注册: 2004-04-01
  • 来自:
发表于: 2005-12-16 23:10 | 短消息 资料
字号: 3楼

以下供参考……

首先,在注册表编辑器里修改一下显示所有文件的设置……
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"CheckedValue"=dword:00000000
把"CheckedValue"的值修改为“2”(dword:00000002)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000000
把"CheckedValue"的值修改为“1”(dword:00000001)

然后,显示所有文件,并关闭浏览器、游戏之类的程序,断开网络也可以,只要病毒wsock32.dll没有被正在运行的程序调用就行;
接下来,开始删除病毒文件:
%ProgramFiles%\Internet Explorer\wsock32.dll(87046字节)
%ProgramFiles%\Internet Explorer\wsock32.dll.tmp(同wsock32.dll)
%System%\Hooks.dll
%System%\Mir.exe
%System%\shanda.d11
%System%\wintemp.dll(同wsock32.dll)
最后,还要全盘搜索一下wsock32.dll,把大小是87046字节的wsock32.dll都删除。
gototop
 
骄傲的强哥
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2005-12-16
  • 来自:
发表于: 2005-12-17 18:13 | 只看楼主 短消息 资料
字号: 4楼

我改了注册表,但是%ProgramFiles%\Internet Explorer\wsock32.dll(87046字节)
%ProgramFiles%\Internet Explorer\wsock32.dll.tmp(同wsock32.dll)
还是看不到
gototop
 
海色の月
头像
社区嘉宾
  • 帖子:776
  • 注册: 2004-04-01
  • 来自:
发表于: 2005-12-18 12:47 | 短消息 资料
字号: 5楼

显示所有文件了吧?包括系统保护的隐藏文件……
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT