致：ella0514

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛致：ella0514

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-12-03 12:39 \| 只看楼主短消息资料字号：小中大 1楼致：ella0514 今天，关闭所有安全软件，又运行了一下你昨天发来的样本。结果发现，昨天，我的操作及查杀思路有误。昨天感染系统，在NtFrs32修改winlogon.exe内存时，我误用SSM阻止了木马这步动作。因而，并未完全完成系统感染过程。以致后面的查杀操作针对的并不是木马感染系统的真实情况。其实，这个木马的软肋在于——没有注册表监控功能。因此，按照下述步骤查杀，很容易将其杀灭： 1、打开注册表编辑器，展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，删除左栏中的NtFrs32。 2、重启系统。 3、删除下列文件（见附图）。附件: 文件名:1558472005123123906.jpg 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-12-3 12:39:06 描述: 2005-12-03 22:22:40
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：

ella0514 初生襁褓狮帖子:54 注册: 2005-12-02 来自:	发表于： 2005-12-03 19:44 \| 短消息资料字号：小中大 2楼没有suflsd这个文件,只有gsuflsd.dll 也没有nsdff.dll.只有tnsdff.dll还有开机后仍然有那个错误提示,还有会自动弹出一个desktop记事本
ella0514 初生襁褓狮帖子:54 注册: 2005-12-02 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-12-03 19:50 \| 只看楼主短消息资料字号：小中大 4楼【回复“ella0514”的帖子】删除NtFrs32.exe、gsuflsd.dll和tnsdff.dll。用SREng或RegFix等工具修复一下注册表。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

ella0514 初生襁褓狮帖子:54 注册: 2005-12-02 来自:	发表于： 2005-12-03 19:55 \| 短消息资料字号：小中大 5楼又是无法删除,正在使用.要退到安全模式里删掉吗?
ella0514 初生襁褓狮帖子:54 注册: 2005-12-02 来自:

大版主

发表于： 2005-12-03 19:58 | 只看楼主 短消息资料

字号：小中大 6楼

引用:

【ella0514的贴子】又是无法删除,正在使用.要退到安全模式里删掉吗?
...........................

展开。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，
删除左栏中的NtFrs32。
重启系统。
那些文件就能删掉。
如果你愿意在安全模式下删，也可以试试。

初生襁褓狮

发表于： 2005-12-03 20:00 | 短消息资料

字号：小中大 7楼

引用:

【baohe的贴子】
展开。HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，
删除左栏中的NtFrs32。
重启系统。
那些文件就能删掉。
如果你愿意在安全模式下删，也可以试试。
...........................

我已经删了注册表里的NtFrs32了

大版主

发表于： 2005-12-03 20:03 | 只看楼主 短消息资料

字号：小中大 8楼

引用:

【ella0514的贴子】
我已经删了注册表里的NtFrs32了
...........................

1、展开1HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，
删除左栏中的NtFrs32。
2、重启系统。
3、删文件。
这个顺序不要搞错。

ella0514 初生襁褓狮帖子:54 注册: 2005-12-02 来自:	发表于： 2005-12-03 20:34 \| 短消息资料字号：小中大 9楼顺序没搞错. 已经删了文件可是还是有那个错误提示.还有自动弹那个记事本出来.
ella0514 初生襁褓狮帖子:54 注册: 2005-12-02 来自:

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-12-03 20:38 \| 只看楼主短消息资料字号：小中大 10楼【回复“ella0514”的帖子】用SREng或RegFix等工具修复一下注册表。
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

1 / 2 页

跳转页

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2005-12-03 12:39 \| 只看楼主短消息资料字号：小中大 1楼致：ella0514 今天，关闭所有安全软件，又运行了一下你昨天发来的样本。结果发现，昨天，我的操作及查杀思路有误。昨天感染系统，在NtFrs32修改winlogon.exe内存时，我误用SSM阻止了木马这步动作。因而，并未完全完成系统感染过程。以致后面的查杀操作针对的并不是木马感染系统的真实情况。其实，这个木马的软肋在于——没有注册表监控功能。因此，按照下述步骤查杀，很容易将其杀灭： 1、打开注册表编辑器，展开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services，删除左栏中的NtFrs32。 2、重启系统。 3、删除下列文件（见附图）。附件: 文件名:1558472005123123906.jpg 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-12-3 12:39:06 描述: 2005-12-03 22:22:40
baohe 大版主帖子:72578 注册: 2003-04-10 来自:	分享到：