版块导航: 正在加载中...

登录注册

应《网络安全法》要求，自2017年10月1日起，未进行实名认证将不得使用互联网跟帖服务。为保障您的帐号能够正常使用，请尽快对帐号进行手机号验证，感谢您的理解与支持！

24小时热门版块排行榜

返回列表

当前主题已经存档。

当前只显示满足指定条件的回帖，点击这里查看本话题的所有回帖

immajia

木虫 (正式写手)

应助: 0 (幼儿园)
金币: 1492.5
帖子: 793
在线: 43.2小时
虫号: 322247
注册: 2007-03-11
性别: GG
专业: 有机合成

[交流] 关于瑞星的问题!(已完毕!)

我昨天下载升级包后,有一大堆病毒不说,老是出来个IE保护黑白名单,取消老是出来,导出也没啥可以导出的,老是蹦出来,讨厌死了! 哪个虫友告诉俺怎么去掉这个破东西,是病毒还是啥玩意啊?
我把瑞星卸载了一次，重新安装还是存在这个破玩意,实在没法子了.
希望哪个大虾帮帮忙吧.

[ Last edited by immajia on 2007-11-21 at 13:47 ]

回复此楼

» 猜你喜欢

336求调剂已经有3人回复
306求调剂已经有9人回复
工科0856求调剂已经有4人回复
工科材料085601 279求调剂已经有10人回复
081700 调剂 267分已经有4人回复
276求调剂。有半年电池和半年高分子实习经历已经有9人回复
263求调剂已经有9人回复
求老师收我已经有3人回复
招08考数学已经有12人回复
接收2026硕士调剂(学硕+专硕) 已经有4人回复

1楼 2007-11-21 09:17:28

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

wood3658

金虫 (正式写手)

应助: 0 (幼儿园)
金币: 995.6
散金: 10
红花: 1
帖子: 337
在线: 88.6小时
虫号: 349663
注册: 2007-04-20
性别: GG
专业: 无机材料化学

★ ★ ★
immajia(金币+3,VIP+0):麻烦了,虽然是百度出来的.

，我看这个行，我以前也中过这种病毒。
经查，这是木马利用了瑞星的ie保护黑白名单功能的漏洞使用用户中招。
解决方法如下：
此病毒最近十分流行，究其原因就是大家不注意类似通过U盘传播的病毒的防护，拿来U盘（移动存储）设备就双击，导致病毒十分容易的通过U盘传播。
另一个传播方式就是打开网页时弹出ACTIVE插件安装的对话框，你点是，基本就中招了。

此病毒的元凶为auto.exe 他是一个木马下载器。通过U盘等移动存储传播到你的电脑中以后，在%system32%下面生成一个随机8个字母和数字组合成的exe文件
并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程

以上文件注册成一个服务，服务名为随机8位字母和数字组合的名称

并在每个磁盘的根目录下生成一个auto.exe和autorun.inf

本例中生成物如下：
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
注册为如下服务：B12E7AC4

连接网络下载木马，木马下载的种类千变万化，所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。

本例中木马植入完毕以后生成如下文件
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\DiskMan32.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe
...

对应的sreng日志如下：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
==================================
服务
[B12E7AC4 / B12E7AC4][Stopped/Auto Start]

==================================
正在运行的进程
[PID: 1672][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\NVDispDrv.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\WinForm.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
[C:\WINDOWS\system32\E2050308.DLL] [Microsoft Corporation, ]
==================================
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe

查杀方法：
一.清除病毒主程序（随机8位字母和数字组合的exe和dll）
必须首先清除auto.exe和其生成的随机8位字母和数字组合的exe和dll，因为他是木马群的万恶之源！！
1.首先下载sreng这个软件（http://download.kztechs.com/files/sreng2.zip）
解压缩后运行srengps.exe
依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”
等待列表出来之后查找那种不规则的随机8位字母（大写）和数字组合的服务
然后选中下面的 “删除服务” 并单击设置按钮
在弹出的框中点“否”
2.重启计算机进入安全模式下

把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击菜单栏下方的文件夹按钮（搜索右边的按钮）
删除如下文件
C:\auto.exe
C:\autorun.inf
以及每个分区下面的auto.exe和autorun.inf

%system32%文件夹下的随机8个字母和数字组合的exe和dll
即本例中的C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE

至此病毒主程序已经被删除了，接下来清除其下载的木马

二.清除病毒下载的木马（由于每个变种下载的木马不尽相同，因此本例仅供参考）
还是在安全模式下
打开sreng
启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击菜单栏下方的文件夹按钮（搜索右边的按钮）
在左边的资源管理器中打开C盘（系统盘）
删除如下文件
C:\WINDOWS\mppds.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\Kvsc3.dll

赞一下(1人)

回复此楼

3楼2007-11-21 09:29:43

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

查看全部 12 个回答

daixj21

木虫 (知名作家)

小木虫税务总局局长——水虫

应助: 0 (幼儿园)
贵宾: 0.01
金币: 3143.4
散金: 742
红花: 9
沙发: 9
帖子: 8361
在线: 304小时
虫号: 447796
注册: 2007-11-01
性别: GG
专业: 聚合物共混与复合材料

★
immajia(金币+1,VIP+0):谢谢参与!

应该是病毒吧，下一个江民的杀杀毒再说，我觉得瑞星不怎么样

赞一下

回复此楼

自觉纳税光荣偷税漏税可耻.............——木虫税务局

2楼2007-11-21 09:25:54

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

renchao2001yh

木虫 (正式写手)

应助: 0 (幼儿园)
金币: 3468.2
散金: 2530
红花: 5
沙发: 1
帖子: 909
在线: 161.3小时
虫号: 441037
注册: 2007-10-27
性别: GG
专业: 电化学

是不是弹出个提示说受保护什么的？那你设置一下瑞星IE选项估计就成。

赞一下

回复此楼

作学问老实点好，作实验认真点好，做人踏实点好。

4楼2007-11-21 09:30:23

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

immajia

木虫 (正式写手)

应助: 0 (幼儿园)
金币: 1492.5
帖子: 793
在线: 43.2小时
虫号: 322247
注册: 2007-03-11
性别: GG
专业: 有机合成

是中毒了吗?2楼的我怎么找不到你说的那些随机8位字母和数字组合的exe和dll服务啊?

赞一下

回复此楼

5楼2007-11-21 10:00:01

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

查看全部 12 个回答

最具人气热帖推荐 [查看全部]		作者	回/看	最后发表

[考研] 291 求调剂 +4	化工2026届毕业� 2026-03-21	4/200	2026-03-23 09:59 by bingchuan
[考研] 0854电子信息求调剂 +3	α____ 2026-03-22	3/150	2026-03-22 21:28 by zhq0425
[考研] 328求调剂，英语六级551，有科研经历 +6	生物工程调剂 2026-03-17	10/500	2026-03-22 20:22 by edmund7
[考研] 310求调剂 +4	baibai1314 2026-03-16	4/200	2026-03-22 20:19 by edmund7
[考研] 324求调剂 +6	lucky呀呀呀鸭 2026-03-20	6/300	2026-03-22 16:01 by ColorlessPI
[考研] 一志愿西北大学，070300化学学硕，总分287，双非一本，求调剂。 +3	晨昏线与星海 2026-03-20	3/150	2026-03-22 16:00 by ColorlessPI
[考研] 求调剂 +7	Auroracx 2026-03-22	7/350	2026-03-22 12:38 by 素颜倾城1988
[考研] 生物学一志愿985，分数349求调剂 +4	zxts12 2026-03-21	7/350	2026-03-22 09:57 by zxts12
[考研] 化学调剂 +5	yzysaa 2026-03-21	5/250	2026-03-21 22:12 by peike
[考研] 0805 316求调剂 +3	大雪深藏 2026-03-18	3/150	2026-03-21 18:55 by 学员8dgXkO
[考研] 材料学硕333求调剂 +3	北道巷 2026-03-18	3/150	2026-03-21 18:17 by 学员8dgXkO
[考研] 311求调剂 +3	勇敢的小吴 2026-03-20	3/150	2026-03-21 17:40 by ColorlessPI
[考研] 求调剂 +3	.m.. 2026-03-21	4/200	2026-03-21 16:25 by barlinike
[考研] 南昌大学材料专硕311分求调剂 +6	77chaselx 2026-03-20	6/300	2026-03-21 07:24 by JourneyLucky
[考研] 南京大学化学376求调剂 +3	hisfailed 2026-03-19	6/300	2026-03-20 23:43 by hisfailed
[考研] 材料与化工 322求调剂 +4	然11 2026-03-19	4/200	2026-03-20 22:12 by luoyongfeng
[考研] 一志愿吉林大学材料学硕321求调剂 +11	Ymlll 2026-03-18	15/750	2026-03-20 19:40 by 丁丁*
[考研] 材料与化工专硕调剂 +7	heming3743 2026-03-16	7/350	2026-03-20 19:31 by zhukairuo
[考研] 086500 325 求调剂 +3	领带小熊 2026-03-19	3/150	2026-03-20 18:38 by 尽舜尧1
[考研] 0703化学调剂 +3	妮妮ninicgb 2026-03-17	3/150	2026-03-18 10:29 by macy2011