瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛致“mopery”——关于你那个Setup.exe

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

2 / 2 页

跳转页

致“mopery”——关于你那个Setup.exe

本主题由大版主 networkedition 于 2012-2-24 13:34:00 执行移动主题操作

baohe 大版主帖子:72578 注册: 2003-04-10 来自:	发表于： 2006-06-22 15:09 \| 显示全部短消息资料字号：小中大 11楼引用: 【mopery的贴子】运行在我机器也一样报错... 但是没个盘删掉C盘的其他盘的 Setup.exe 还是个问题...一点其他盘就又中彩... 开磁盘也被他修改了...变成弹出窗口... 刀刀研究了一下午加一晚上...征服不了.. 附件: 文件名:1558472006622150116.jpg 下载次数:170 文件类型:image/pjpeg 文件大小: 上传时间:2006-6-22 15:09:06 描述: 预览信息:EXIF信息 User Comment : LEAD Technologies Inc. V1.01
baohe 大版主帖子:72578 注册: 2003-04-10 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-06-22 15:16 | 显示全部 短消息资料

字号：小中大 12楼

引用:

【mopery的贴子】没自动播放...
问题是改从那步删起..Autorun.inf 在我机上找不到..
system.exe SSM 检测到了但是...
还是找不到文件..
...........................

结束那个explorer.exe进程。
然后删除图5所示的文件。
我的硬盘只有C、D两个分区。
如果硬盘分区不止两个，其它分区根目录下也要查一下。估计也有那三个文件。查到就删。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-06-22 15:36 | 显示全部 短消息资料

字号：小中大 13楼

引用:

【刀刀笨贼的贴子】mopery 你看一下:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\currentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] 将checkedValue的值是多少
...........................

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\windows\currentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] ，checkedValue的值应该是“1”。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-06-22 15:44 | 显示全部 短消息资料

字号：小中大 14楼

引用:

【mopery的贴子】Autorun.inf
system.exe
这俩个文件为什么检测得到却搜不到...
...........................

我这里：
能监测到、能看到，也能删掉。删掉，就完了。不会“死而复生”。

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2006-06-22 16:25 | 显示全部 短消息资料

字号：小中大 15楼

引用:

【mopery的贴子】killbox 在关键时候真好用...

解决...

在我机器上看不到
Autorun.inf
system.exe
这俩个文件...

-----------------------------------------------------------
在此声明...此病毒出自校园网..可通过U盘传播...

...........................

杀这个木马，有两个要点：
1、务必先结束那个指向system32\explorer.exe的木马进程。否则，你就别想杀净（看图）。
2、至于“看不到木马文件”的问题，是因为木马修改了HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的一个键值。正常时，"CheckedValue"=dword:00000001；而木马将其改成了"CheckedValue"=dword:00000000。如果此键值不修正，你就看不到隐藏的木马文件。
其实，WINDOWS下，即使看不到隐藏的木马文件，也没什么。用IceSword可以看到，也可以删除。很方便的。

附件:

文件名:1558472006622161712.jpg

下载次数:175

文件类型:image/pjpeg

文件大小:

上传时间:2006-6-22 16:25:02

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

<<上一主题|下一主题>>

2 / 2 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致“mopery”——关于你那个Setup.exe

致“mopery”——关于你那个Setup.exe

附件:

文件名:1558472006622150116.jpg 下载次数:170 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(31208); 上传时间:2006-6-22 15:09:06 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

附件:

文件名:1558472006622161712.jpg 下载次数:175 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(219746); 上传时间:2006-6-22 16:25:02 描述: 预览信息:EXIF信息User Comment : LEAD Technologies Inc. V1.01

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛致“mopery”——关于你那个Setup.exe

文件名:1558472006622150116.jpg

下载次数:170

文件类型:image/pjpeg

文件大小:

上传时间:2006-6-22 15:09:06

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01

文件名:1558472006622161712.jpg

下载次数:175

文件类型:image/pjpeg

文件大小:

上传时间:2006-6-22 16:25:02

描述:

预览信息:EXIF信息
User Comment : LEAD Technologies Inc. V1.01