1   1  /  1  页   跳转

给我发送tcsrv.exe样本的朋友进

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-07 14:22 | 只看楼主 短消息 资料
字号: 1楼

给我发送tcsrv.exe样本的朋友进

这是个带驱动的灰鸽子。
查杀:
结束IE浏览器进程(已经被鸽子插入)。
然后删除鸽子的注册表项(图1)。
最后删除鸽子的文件(图2)

图1

附件附件:

下载次数:225
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-7 14:22:52
描述:
预览信息:EXIF信息



最后编辑2006-05-07 14:58:44
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-07 14:23 | 只看楼主 短消息 资料
字号: 2楼

图2

附件附件:

下载次数:241
文件类型:image/pjpeg
文件大小:
上传时间:2006-5-7 14:23:19
描述:
预览信息:EXIF信息
gototop
 
2120058
头像
自信弱冠狮
  • 帖子:433
  • 注册: 2005-08-21
  • 来自:
发表于: 2006-05-07 14:24 | 短消息 资料
字号: 3楼

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><KB6087692.LOG>
用SREng修复这项,删除KB6087692.LOG

切图!!!
gototop
 
Pual
头像
初生襁褓狮
  • 帖子:19
  • 注册: 2006-05-07
  • 来自:
发表于: 2006-05-07 14:49 | 短消息 资料
字号: 4楼

还是看不懂
gototop
 
Pual
头像
初生襁褓狮
  • 帖子:19
  • 注册: 2006-05-07
  • 来自:
发表于: 2006-05-07 14:54 | 短消息 资料
字号: 5楼

我已经把SVKP.sys
tcsrv.exe已经删了
注册表怎么弄
还有个SHADOW这个文件找不到
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-07 14:57 | 只看楼主 短消息 资料
字号: 6楼

【回复“Pual”的帖子】
1、结束iexplore.exe进程。

2、打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支,删除Transaction Coordinator和Explorer。
3、删除C:\WINDOWS\system32\文件夹中的SVKP.SYS和tcsrv.exe

明白了?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-05-07 14:58 | 只看楼主 短消息 资料
字号: 7楼

引用:
【Pual的贴子】
还有个SHADOW这个文件找不到
...........................

我那图中的箭头并未指向SHADOW。
SHADOW是我的系统中的,你系统中没这东东。
gototop
 
Pual
头像
初生襁褓狮
  • 帖子:19
  • 注册: 2006-05-07
  • 来自:
发表于: 2006-05-07 14:58 | 短消息 资料
字号: 8楼

OK
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT