求助帖，专家进来帮我下啊，在线

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛求助帖，专家进来帮我下啊，在线

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

疯ァ缘初生襁褓狮帖子:37 注册: 2005-11-18 来自:	发表于： 2006-04-22 15:32 \| 只看楼主短消息资料字号：小中大 1楼求助帖，专家进来帮我下啊，在线我用木马杀客查出来以下木马：系统事件：启动项目中发现木马! 木马名称：Troj.LMir2.ky.2605 木马启动项：torjan program 木马从启动项目中清除成功! c:\windows\winlogon.exe 木马在硬盘清除成功! c:\windows\winlogon.exe 系统事件：启动项目中发现木马! 木马名称：系统用户登录管理.3 木马启动项：torjan program 木马从启动项目中清除成功! c:\windows\winlogon.exe 系统事件：启动项目中发现木马! 木马名称：Troj.LMir2.ky.2605 木马启动项：torjan program 木马从启动项目中清除成功! c:\windows\winlogon.exe 系统事件：启动项目中发现木马! 木马名称：系统用户登录管理.3 木马启动项：torjan program 木马从启动项目中清除成功! c:\windows\winlogon.exe 核心启动中发现木马! 已经清除 1 内存中发现木马模块!C:\WINDOWS\DOWNLO~1\CnsHook.dll-=>Adware.Cdn.4499 木马在硬盘清除失败!请进入安全模式才能清除木马. C:\WINDOWS\DOWNLO~1\CnsHook.dll 系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2609 木马路径：C:\WINDOWS\finder.com 处理方式：隔离成功系统事件：已发现木马! 木马名称：W32.Gokar.A@mm.2062 木马路径：C:\WINDOWS\explorer.com 处理方式：隔离成功 C:\WINDOWS\explorer.com 系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2607 木马路径：C:\WINDOWS\1.com 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2610 木马路径：C:\WINDOWS\ExERoute.exe 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2618 木马路径：C:\WINDOWS\system32\rundll32.com 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2609 木马路径：C:\WINDOWS\system32\finder.com 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2615 木马路径：C:\WINDOWS\system32\command.pif 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2616 木马路径：C:\WINDOWS\system32\MSCONFIG.COM 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2614 木马路径：C:\WINDOWS\system32\dxdiag.com 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2617 木马路径：C:\WINDOWS\system32\regedit.com 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Adware.cdn.2124 木马路径：C:\WINDOWS\system32\cns.exe 处理方式：隔离成功系统事件：已发现木马! 木马名称：Adware.cns.4860 木马路径：C:\WINDOWS\system32\cns.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：Adware.cns.4860 木马路径：C:\WINDOWS\system32\cns.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：3721.adware.2337 木马路径：C:\WINDOWS\system32\drivers\CnsMinKP.sys 处理方式：隔离成功 C:\WINDOWS\system32\drivers\CnsMinKP.sys 系统事件：已发现木马! 木马名称：CNNIC.adware.3046 木马路径：C:\WINDOWS\Downloaded Program Files\CnsHook.dll 处理方式：隔离失败处理意见：请进安全模式清除木马系统事件：已发现木马! 木马名称：Adware.Cdn.4499 木马路径：C:\WINDOWS\Downloaded Program Files\CnsHook.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：Adware.Cdn.4499 木马路径：C:\WINDOWS\Downloaded Program Files\CnsHook.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：3721.adware.2328 木马路径：C:\WINDOWS\Downloaded Program Files\CnsMin.dll 处理方式：隔离成功 C:\WINDOWS\Downloaded Program Files\CnsMin.dll 系统事件：已发现木马! 木马名称：3721.adware.2328 木马路径：C:\WINDOWS\Downloaded Program Files\3721\CnsMin.dll 处理方式：隔离成功 C:\WINDOWS\Downloaded Program Files\3721\CnsMin.dll 我不知道怎么去除去这个木马，但知道这是个专门偷盗帐号的木马，我想知道在不格式化系统下，怎么去除这个木马，因为我是个电脑白痴 2006-04-22 22:24:59
疯ァ缘初生襁褓狮帖子:37 注册: 2005-11-18 来自:	分享到：

不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球	发表于： 2006-04-22 15:34 \| 短消息资料字号：小中大 2楼【回复“疯ァ缘”的帖子】中了龙字传奇木马参考 http://forum.ikaka.com/topic.asp?board=28&artid=7495863
不言放弃社区嘉宾帖子:30678 注册: 2004-09-17 来自:蓝色星球

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-04-22 15:39 \| 短消息资料字号：小中大 3楼至于下面几个显示Adware的，则只是广告软件和流氓软件而已。
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

疯ァ缘初生襁褓狮帖子:37 注册: 2005-11-18 来自:	发表于： 2006-04-22 16:02 \| 只看楼主短消息资料字号：小中大 4楼怎么结束这个winlogon进程啊，我的瑞星防火墙和杀毒软件都不能用了
疯ァ缘初生襁褓狮帖子:37 注册: 2005-11-18 来自:

叶·幽思横据古稀狮帖子:7280 注册: 2005-09-01 来自:Town	发表于： 2006-04-22 16:35 \| 短消息资料字号：小中大 5楼转贴 winlogon.exe 这个木马很变态！！查杀方法如下：一、结束WINLOGON.EXE进程。二、下载RegFix（一个注册表修复工具）。将Regfix.exe的后缀改为scr，按确定。双击Regfix.scr，自动修复注册表主要文件关联项。三、找到并删除下列文件（见附图）。四、修改被木马篡改的注册表项： 1、HKEY_CLASSES_ROOT\.lnk\ShellNew "Command"="rundll32.com appwiz.cpl,NewLinkHere %1" 删除"Command"="rundll32.com 2、HKEY_CLASSES_ROOT\.bfc\ShellNew "Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1" 将"Command"="%SystemRoot%\\system32\\rundll32.com改为"Command"="%SystemRoot%\\system32\\rundll32.exe 3、HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1" 4、HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\""改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\"" 5、HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command @="rundll32.com shell32.dll,Control_RunDLL \"%1\",%" 删除@="rundll32.com 6、HKEY_CLASSES_ROOT\Drive\shell\find\command 将@="%SystemRoot%\\explorer.com"改为@="%SystemRoot%\\explorer.exe" 7、HKEY_CLASSES_ROOT\dunfile\shell\open\command 将@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"改为@="%SystemRoot%\\system32\\rundll32.exe NETSHELL.DLL,InvokeDunFile %1" 8、HKEY_CLASSES_ROOT\ftp\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1" 9、HKEY_CLASSES_ROOT\htmlfile\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome" 10、HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command 删除@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1" 11、HKEY_CLASSES_ROOT\htmlfile\shell\print\command 删除@=rundll32.com 12、HKEY_CLASSES_ROOT\inffile\shell\Install\command 删除@="%SystemRoot%\\System32\\rundll32.com 13、HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command 删除@="finder.com 14、HKEY_CLASSES_ROOT\scrfile\shell\install\command 删除@="finder.com 15、HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command 删除@="\"C:\\WINDOWS\\system32\\finder.com\" 16、HKEY_CLASSES_ROOT\telnet\shell\open\command 删除@="finder.com 17、HKEY_CLASSES_ROOT\Unknown\shell\openas\command 删除@="%SystemRoot%\\system32\\finder.com 18、HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command 删除@="C:\\WINDOWS\\ExERoute.exe \"%1\" %" 19、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除"Torjan Program"="C:\\WINDOWS\\WINLOGON.EXE" 20、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 将"Shell"="Explorer.exe 1"改为"Shell"="Explorer.exe" 附件: 文件名:5747922006422163520.JPG 下载次数:153 文件类型:image/pjpeg 文件大小: 上传时间:2006-4-22 16:35:20 描述:
叶·幽思横据古稀狮帖子:7280 注册: 2005-09-01 来自:Town

疯ァ缘初生襁褓狮帖子:37 注册: 2005-11-18 来自:	发表于： 2006-04-22 17:35 \| 只看楼主短消息资料字号：小中大 6楼我的进程里有2个winlogon.exe都要结束它吗还有将Regfix.exe的后缀改为scr怎么改啊还有我的电脑里找不到autorun.inf iexplore iexplore .com ~DF18A9.tmp这4个找不到告诉我啊
疯ァ缘初生襁褓狮帖子:37 注册: 2005-11-18 来自:

横据古稀狮

帖子:7280
注册: 2005-09-01
来自:Town

发表于： 2006-04-22 22:24 | 短消息资料

字号：小中大 7楼

引用:

【疯ァ缘的贴子】我的进程里有2个winlogon.exe都要结束它吗
还有将Regfix.exe的后缀改为scr怎么改啊
还有我的电脑里找不到autorun.inf iexplore iexplore .com ~DF18A9.tmp这4个找不到

告诉我啊
...........................

在安全模式下进行

你分得清哪个是伪装的吗?

关于改名：右键单击Regfix.exe 点“重命名” 或者先单击一下图标再在文件名那里单击一下把".exe"改为".scr".

<<上一主题|下一主题>>

1 / 1 页

跳转页

疯ァ缘初生襁褓狮帖子:37 注册: 2005-11-18 来自:	发表于： 2006-04-22 15:32 \| 只看楼主短消息资料字号：小中大 1楼求助帖，专家进来帮我下啊，在线我用木马杀客查出来以下木马：系统事件：启动项目中发现木马! 木马名称：Troj.LMir2.ky.2605 木马启动项：torjan program 木马从启动项目中清除成功! c:\windows\winlogon.exe 木马在硬盘清除成功! c:\windows\winlogon.exe 系统事件：启动项目中发现木马! 木马名称：系统用户登录管理.3 木马启动项：torjan program 木马从启动项目中清除成功! c:\windows\winlogon.exe 系统事件：启动项目中发现木马! 木马名称：Troj.LMir2.ky.2605 木马启动项：torjan program 木马从启动项目中清除成功! c:\windows\winlogon.exe 系统事件：启动项目中发现木马! 木马名称：系统用户登录管理.3 木马启动项：torjan program 木马从启动项目中清除成功! c:\windows\winlogon.exe 核心启动中发现木马! 已经清除 1 内存中发现木马模块!C:\WINDOWS\DOWNLO~1\CnsHook.dll-=>Adware.Cdn.4499 木马在硬盘清除失败!请进入安全模式才能清除木马. C:\WINDOWS\DOWNLO~1\CnsHook.dll 系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2609 木马路径：C:\WINDOWS\finder.com 处理方式：隔离成功系统事件：已发现木马! 木马名称：W32.Gokar.A@mm.2062 木马路径：C:\WINDOWS\explorer.com 处理方式：隔离成功 C:\WINDOWS\explorer.com 系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2607 木马路径：C:\WINDOWS\1.com 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2610 木马路径：C:\WINDOWS\ExERoute.exe 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2618 木马路径：C:\WINDOWS\system32\rundll32.com 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2609 木马路径：C:\WINDOWS\system32\finder.com 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2615 木马路径：C:\WINDOWS\system32\command.pif 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2616 木马路径：C:\WINDOWS\system32\MSCONFIG.COM 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2614 木马路径：C:\WINDOWS\system32\dxdiag.com 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Troj.LMir2.ky.2617 木马路径：C:\WINDOWS\system32\regedit.com 处理方式：隔离成功系统事件：已发现伪系统木马! 木马名称：Adware.cdn.2124 木马路径：C:\WINDOWS\system32\cns.exe 处理方式：隔离成功系统事件：已发现木马! 木马名称：Adware.cns.4860 木马路径：C:\WINDOWS\system32\cns.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：Adware.cns.4860 木马路径：C:\WINDOWS\system32\cns.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：3721.adware.2337 木马路径：C:\WINDOWS\system32\drivers\CnsMinKP.sys 处理方式：隔离成功 C:\WINDOWS\system32\drivers\CnsMinKP.sys 系统事件：已发现木马! 木马名称：CNNIC.adware.3046 木马路径：C:\WINDOWS\Downloaded Program Files\CnsHook.dll 处理方式：隔离失败处理意见：请进安全模式清除木马系统事件：已发现木马! 木马名称：Adware.Cdn.4499 木马路径：C:\WINDOWS\Downloaded Program Files\CnsHook.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：Adware.Cdn.4499 木马路径：C:\WINDOWS\Downloaded Program Files\CnsHook.dll 处理方式：删除成功系统事件：已发现木马! 木马名称：3721.adware.2328 木马路径：C:\WINDOWS\Downloaded Program Files\CnsMin.dll 处理方式：隔离成功 C:\WINDOWS\Downloaded Program Files\CnsMin.dll 系统事件：已发现木马! 木马名称：3721.adware.2328 木马路径：C:\WINDOWS\Downloaded Program Files\3721\CnsMin.dll 处理方式：隔离成功 C:\WINDOWS\Downloaded Program Files\3721\CnsMin.dll 我不知道怎么去除去这个木马，但知道这是个专门偷盗帐号的木马，我想知道在不格式化系统下，怎么去除这个木马，因为我是个电脑白痴 2006-04-22 22:24:59
疯ァ缘初生襁褓狮帖子:37 注册: 2005-11-18 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 求助帖，专家进来帮我下啊，在线

求助帖，专家进来帮我下啊，在线

求助帖，专家进来帮我下啊，在线

附件:

文件名:5747922006422163520.JPG 下载次数:153 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(0); 上传时间:2006-4-22 16:35:20 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛求助帖，专家进来帮我下啊，在线

文件名:5747922006422163520.JPG

下载次数:153

文件类型:image/pjpeg

文件大小:

上传时间:2006-4-22 16:35:20

描述: