|
| Su | Mo | Tu | We | Th | Fr | Sa |
|---|
| 29 | 30 | 1 | 2 | 3 | 4 | 5 |
| 6 | 7 | 8 | 9 | 10 | 11 | 12 |
| 13 | 14 | 15 | 16 | 17 | 18 | 19 |
| 20 | 21 | 22 | 23 | 24 | 25 | 26 |
| 27 | 28 | 29 | 30 | 31 | 1 | 2 |
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
手工杀毒实践
—
电脑报社区论坛上有人说他的电脑不断重启,就是XP启动画面出现前重启(就是那个有进度条的画面),安全模式也一样,都是一到那就重启,根本不能进系统。开始以为没进系统应该是硬件问题。后来他说是NTDETECT.com文件丢失了,从安装光盘上重拷一个就搞定了。
这时我才想起来以前有遇到过这样的例子,还在博客中记录下来了,那个例......
论坛问题:用超级兔子检测到下列可疑项,但删除不了:
找到可疑应用初始化程序:tlqpri.dll
找到未知文件执行挂钩:{54123FF1-8371-9834-9021-184518451FA5}(C:\WINDOWS\System32\qjepri.dll)
找到未知文件执行挂钩:{4562452F-FA36-BA4F-892A-FF5FBBAC53......
最近连着遇上两例,都是诺顿连续报警。查看他们的SREng日志,并没什么可疑的,只是有个smService服务,这个服务是番茄版XP自带的服务。
网上信息如下:
进程文件:smService.exe
进程名称: smService.exe
英文描述: N/A
进程分析: 番茄藤的保护进程。番茄藤是番茄花园开发的番茄花园更新辅助程序,方便以后番茄系统遇......
日志如下:(没问题的地方略了)
2007-08-02,16:47:07
SystemRepair Engineer 2.5.16.900
Smallfrogs ([url]http://www.KZTechs.com[/url])
Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户......
现象:电脑启动和运行都慢,启动时老是听到二三声咚的报警声,但又不见任何提示,启动到桌面后一两分钟要等超级巡警提示一个什么Entdrv51键值被删除又被创建之后才能正常使用电脑,打开IE时弹就一个全英文的对话框,不论点什么,仍然会弹出。而且首页是百度时,GOOGLE(谷歌)的网站打不开,一输入谷歌网站的地址回车就变成百度。每次用MCAFEE杀毒总能杀出一两个特......
系统启动后只显示桌面背景,而任务栏、图标都不显示,有时还有一个DOS窗口出来,显示netdde32.exe文件名。
这也是映像劫持的结果。
一种解决方法是:按Ctrl+Alt+Del打开任务管理器,单击“文件”-“新建任务”,输入Regedit.exe,进入注册表编辑器(其它方法进入注册表编辑器也行,或把下面内容写成注册表文件导入也行),找到HKEY_L......
有人说他的鼠标光标会自动向右或下移动,出现频繁,换过键鼠没用,用卡巴扫过没用。
开始以为是QQ游戏还是宠物之类的导致,以前有听说过此类软件会在你不动时自动把光标移到边上。
后来看了他扫描上来的SREng日志,让其删除文件:
c:\documentsand settings\administrator\local settings\temp\dat6.t......
上午同事电脑有问题,看了下确定是病毒,启动到安全模式下,用SREng和powerrmv杀毒(这次冰刃在该机的安全模式下不能运行,只以在正常模式下用,很疑惑,冰刃的适应性不太好,有的系统环境能用,有的不能用)。
先删除以下文件:
c:\program files\lmkk\vwuu.dll
c:\program files\common files\......
论坛有人问,打开魔兽世界后瑞星就提示有木马Backdoor.Bifrost.f(病毒是在maxthon.exe中发现的),并成功删除(只有运行魔兽时出现),还会自动打开网站http:// just .game2b.cn/adl.htm。重起电脑,还会。用杀毒软件彻底扫描了电脑,却没发现有病毒。删了傲游后,打开WOW还弹木马Trojan.DL.JS.Agent......
有人说他的任务管理器打不开了,用了网上很多方法也不行,如果不是他把所有方法写出来,我差点把以前收藏在博客上的招亮出去(任务管理器被病毒禁用解决方法)。
后来怀疑是不是映像劫持,想偷懒让他下autoruns自己查。结果上传的图片上没有映像劫持,只好让他用SREng扫描日志了。
没想到SREng的日志一出来就发现问题了:
[HKEY_LOCAL_MACHI......
论坛会员说开机后显示找不到瑞星文件,跳出InitError对话框:
Cannot find files:
c:\windows\rav.exe
c:\windows\ravUI.dll
c:\windows\rscommon.dll
c:\windows\pngdll.dll
c:\windows\rsxml.dll
一开始还没把握搞定,只是让......
电脑报论坛有人问下载电影时,音响会自己发出一些对话出来,但没开播放器,也没开QQ,断网才没声。
从他的日志中摘出两个可疑的服务(单位电脑在烂,较大的操作,包括使用日志分析助手都会死机,只好粗看):
[ECOUOEFHQUC/ BPWFWECGSV][Running/Auto Start]
查看全文
论坛有人问的,电脑时不时的自动唱一句wewil we will rock you,又说不是QQ的音乐。
检查其扫描的SREng日志后要求删除下面文件:
c:\program files\common files\system\owupxei.exe
c:\program files\common files\microsoft shared\iqwfo......
winlogon.exe不停请求连接网络,无论按允许还是禁止它,每分钟还是会跳出来询问数次。
删除文件:
c:\windows\system32\systen.dll
c:\windows\system32\drivers\npf.sys
c:\windows\system32\drivers\hfjltoxc.sys
systen.dll机主说删......
瑞星查出Trojan.DL.MNLess.oq病毒,提示手动删除,但清除不了。
方案:
到安全模式下删除下面文件(老规矩,手工删除不了的用powerrmv或冰刃,其实用其它方法也行,只要干掉怎么做都行):
c:\programfiles\internet explorer\connection wizard\isignup.sys
c:\progra......
周一一上班遇到的,今天才整理出来,什么病毒不知道,反正电脑是卡死的,反应慢,网站打不开(卡住了一样),系统是windows2000 SP4。只要强行关机,启动到带网络的安全模式下,这里倒是运行正常,一点都不卡。用SREng扫描日志保存。然后按下面处理:
删除文件(手工-冰刃或powerrmv):
c:\program files\internet exp......
现象:开机老是跳出一个rundll对话框说system32里的p49gf7.dll加载错误,还有C:\WINDOWS\system32\Manager.dll金山报为灰鸽子。检查sreng扫描的日志,还发现Winsock被修改:
RSVP UDP Service Provider
C:\WINDOWS\System32\ESPI11.dll(DY......
今天同事的电脑上看到一个恶心的病毒(其实病毒都是恶心,只是他更无耻),竟然会在你浏览的网页中插入准色情图片(要插你就插真正的嘛,打什么擦边球,怕还来这一套)和GOOGLE广告(也不怕GOOGLE发现后K他,在这点上我支持GOOGLE加强监管,别只K小站长),也有弹出其它广告窗口。由于当时打开的是地税的政府网站,我还以为是被黑了,后来发现其它电脑上该网是正常的......
修复IE主页被改成“好大123综合搜索引擎”......