版块导航: 正在加载中...

登录注册

应《网络安全法》要求，自2017年10月1日起，未进行实名认证将不得使用互联网跟帖服务。为保障您的帐号能够正常使用，请尽快对帐号进行手机号验证，感谢您的理解与支持！

24小时热门版块排行榜

返回列表

当前主题已经存档。

当前只显示满足指定条件的回帖，点击这里查看本话题的所有回帖

immajia

木虫 (正式写手)

应助: 0 (幼儿园)
金币: 1492.5
帖子: 793
在线: 43.2小时
虫号: 322247
注册: 2007-03-11
性别: GG
专业: 有机合成

[交流] 关于瑞星的问题!(已完毕!)

我昨天下载升级包后,有一大堆病毒不说,老是出来个IE保护黑白名单,取消老是出来,导出也没啥可以导出的,老是蹦出来,讨厌死了! 哪个虫友告诉俺怎么去掉这个破东西,是病毒还是啥玩意啊?
我把瑞星卸载了一次，重新安装还是存在这个破玩意,实在没法子了.
希望哪个大虾帮帮忙吧.

[ Last edited by immajia on 2007-11-21 at 13:47 ]

回复此楼

» 猜你喜欢

1楼 2007-11-21 09:17:28

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

renchao2001yh

木虫 (正式写手)

应助: 0 (幼儿园)
金币: 3468.2
散金: 2530
红花: 5
沙发: 1
帖子: 909
在线: 161.3小时
虫号: 441037
注册: 2007-10-27
性别: GG
专业: 电化学

是不是弹出个提示说受保护什么的？那你设置一下瑞星IE选项估计就成。

赞一下

回复此楼

作学问老实点好，作实验认真点好，做人踏实点好。

4楼2007-11-21 09:30:23

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

查看全部 12 个回答

daixj21

木虫 (知名作家)

小木虫税务总局局长——水虫

应助: 0 (幼儿园)
贵宾: 0.01
金币: 3143.4
散金: 742
红花: 9
沙发: 9
帖子: 8361
在线: 304小时
虫号: 447796
注册: 2007-11-01
性别: GG
专业: 聚合物共混与复合材料

★
immajia(金币+1,VIP+0):谢谢参与!

应该是病毒吧，下一个江民的杀杀毒再说，我觉得瑞星不怎么样

赞一下

回复此楼

自觉纳税光荣偷税漏税可耻.............——木虫税务局

2楼2007-11-21 09:25:54

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

wood3658

金虫 (正式写手)

应助: 0 (幼儿园)
金币: 995.6
散金: 10
红花: 1
帖子: 337
在线: 88.6小时
虫号: 349663
注册: 2007-04-20
性别: GG
专业: 无机材料化学

★ ★ ★
immajia(金币+3,VIP+0):麻烦了,虽然是百度出来的.

，我看这个行，我以前也中过这种病毒。
经查，这是木马利用了瑞星的ie保护黑白名单功能的漏洞使用用户中招。
解决方法如下：
此病毒最近十分流行，究其原因就是大家不注意类似通过U盘传播的病毒的防护，拿来U盘（移动存储）设备就双击，导致病毒十分容易的通过U盘传播。
另一个传播方式就是打开网页时弹出ACTIVE插件安装的对话框，你点是，基本就中招了。

此病毒的元凶为auto.exe 他是一个木马下载器。通过U盘等移动存储传播到你的电脑中以后，在%system32%下面生成一个随机8个字母和数字组合成的exe文件
并同时生成随机8个字母和数字组合的dll,由winlogon控制插入几乎所有进程

以上文件注册成一个服务，服务名为随机8位字母和数字组合的名称

并在每个磁盘的根目录下生成一个auto.exe和autorun.inf

本例中生成物如下：
C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE
注册为如下服务：B12E7AC4

连接网络下载木马，木马下载的种类千变万化，所以没有一个专门的查杀方法。这里我仅就我发现的下载的一些木马举例说明。

本例中木马植入完毕以后生成如下文件
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\nslookupi.exe
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\DiskMan32.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\mppds.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\NVDispDrv.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\WinForm.exe
...

对应的sreng日志如下：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
==================================
服务
[B12E7AC4 / B12E7AC4][Stopped/Auto Start]

==================================
正在运行的进程
[PID: 1672][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\AVPSrv.dll] [N/A, ]
[C:\WINDOWS\system32\DiskMan32.dll] [N/A, ]
[C:\WINDOWS\system32\NVDispDrv.dll] [N/A, ]
[C:\WINDOWS\system32\MsIMMs32.dll] [N/A, ]
[C:\WINDOWS\system32\WinForm.dll] [N/A, ]
[C:\WINDOWS\system32\cmdbcs.dll] [N/A, ]
[C:\WINDOWS\system32\DbgHlp32.dll] [N/A, ]
[C:\WINDOWS\system32\Kvsc3.dll] [N/A, ]
[C:\WINDOWS\system32\E2050308.DLL] [Microsoft Corporation, ]
==================================
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe

查杀方法：
一.清除病毒主程序（随机8位字母和数字组合的exe和dll）
必须首先清除auto.exe和其生成的随机8位字母和数字组合的exe和dll，因为他是木马群的万恶之源！！
1.首先下载sreng这个软件（http://download.kztechs.com/files/sreng2.zip）
解压缩后运行srengps.exe
依次点击“启动项目”-“服务”-“Win32服务应用程序” 之后勾选“隐藏经认证的微软项目”
等待列表出来之后查找那种不规则的随机8位字母（大写）和数字组合的服务
然后选中下面的 “删除服务” 并单击设置按钮
在弹出的框中点“否”
2.重启计算机进入安全模式下

把下面的代码拷入记事本中然后另存为1.reg文件
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"

双击1.reg把这个注册表项导入

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击菜单栏下方的文件夹按钮（搜索右边的按钮）
删除如下文件
C:\auto.exe
C:\autorun.inf
以及每个分区下面的auto.exe和autorun.inf

%system32%文件夹下的随机8个字母和数字组合的exe和dll
即本例中的C:\WINDOWS\system32\E2050308.DLL
C:\WINDOWS\system32\F2F187EC.EXE

至此病毒主程序已经被删除了，接下来清除其下载的木马

二.清除病毒下载的木马（由于每个变种下载的木马不尽相同，因此本例仅供参考）
还是在安全模式下
打开sreng
启动项目注册表删除如下项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]
[N/A]

双击我的电脑，工具，文件夹选项，查看，单击选取"显示隐藏文件或文件夹" 并清除"隐藏受保护的操作系统文件（推荐）"前面的钩。在提示确定更改时，单击“是” 然后确定
点击菜单栏下方的文件夹按钮（搜索右边的按钮）
在左边的资源管理器中打开C盘（系统盘）
删除如下文件
C:\WINDOWS\mppds.exe
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\kterzx.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\upxdnd.dll
C:\WINDOWS\system32\AVPSrv.dll
C:\WINDOWS\system32\DiskMan32.dll
C:\WINDOWS\system32\NVDispDrv.dll
C:\WINDOWS\system32\MsIMMs32.dll
C:\WINDOWS\system32\WinForm.dll
C:\WINDOWS\system32\cmdbcs.dll
C:\WINDOWS\system32\DbgHlp32.dll
C:\WINDOWS\system32\Kvsc3.dll

赞一下(1人)

回复此楼

3楼2007-11-21 09:29:43

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

immajia

木虫 (正式写手)

应助: 0 (幼儿园)
金币: 1492.5
帖子: 793
在线: 43.2小时
虫号: 322247
注册: 2007-03-11
性别: GG
专业: 有机合成

是中毒了吗?2楼的我怎么找不到你说的那些随机8位字母和数字组合的exe和dll服务啊?

赞一下

回复此楼

5楼2007-11-21 10:00:01

已阅回复此楼关注TA 给TA发消息送TA红花 TA的回帖

查看全部 12 个回答

最具人气热帖推荐 [查看全部]		作者	回/看	最后发表

[考研] 求调剂一志愿海大，0703化学学硕304分，有大创项目，四级已过 +6	幸运哩哩 2026-03-22	10/500	2026-03-22 20:10 by edmund7
[考研] 308求调剂 +3	墨墨漠 2026-03-21	3/150	2026-03-22 16:54 by i_cooler
[考研] 生物学071000 329分求调剂 +5	我爱生物生物爱� 2026-03-17	5/250	2026-03-22 16:42 by tcx007
[考研] 求调剂院校信息 +6	CX 330 2026-03-21	6/300	2026-03-22 15:25 by 无懈可击111
[考研] 070300化学求调剂 +3	苑豆豆 2026-03-20	3/150	2026-03-22 14:48 by ColorlessPI
[考研] 化学调剂 +5	yzysaa 2026-03-21	5/250	2026-03-21 22:12 by peike
[考研] 工科0856求调剂 +3	沐析汀汀 2026-03-21	3/150	2026-03-21 18:30 by 学员8dgXkO
[考研] 0805材料320求调剂 +3	深海物语 2026-03-20	3/150	2026-03-21 15:46 by 无际的草原
[考研] 268求调剂 +9	简单点0 2026-03-17	9/450	2026-03-21 15:37 by lature00
[考研] 332求调剂 +3	凤凰院丁真 2026-03-20	3/150	2026-03-21 10:27 by luoyongfeng
[考研] 一志愿武理材料305分求调剂 +6	想上岸的鲤鱼 2026-03-18	7/350	2026-03-21 01:03 by JourneyLucky
[考研] 一志愿重庆大学085700资源与环境专硕，总分308求调剂 +3	墨墨漠 2026-03-18	3/150	2026-03-21 00:39 by JourneyLucky
[考研] 22408 344分求调剂一志愿华电计算机技术 +4	solanXXX 2026-03-20	4/200	2026-03-20 23:49 by alg094825
[考研] 材料与化工 322求调剂 +4	然11 2026-03-19	4/200	2026-03-20 22:12 by luoyongfeng
[考研] 求调剂 +3	@taotao 2026-03-20	3/150	2026-03-20 19:35 by JourneyLucky
[考博] 申博26年 +3	八6八68 2026-03-19	3/150	2026-03-19 19:43 by nxgogo
[考研] 085601材料工程专硕求调剂 +10	慕寒mio 2026-03-16	10/500	2026-03-19 15:26 by 丁丁*
[考研] 0703化学调剂 +3	妮妮ninicgb 2026-03-17	3/150	2026-03-18 10:29 by macy2011
[考研] 有没有道铁/土木的想调剂南林，给自己招师弟中～ +3	TqlXswl 2026-03-16	7/350	2026-03-17 15:23 by TqlXswl
[考研] 一志愿苏州大学材料工程（085601）专硕有科研经历三项国奖两个实用型专利一项省级立项 +6	大火山小火山 2026-03-16	8/400	2026-03-17 15:05 by 无懈可击111