找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 1842|回复: 7

晕啊,天天中彩!这些又是什么?

[复制链接]
发表于 2007-7-20 20:41:05 | 显示全部楼层 |阅读模式
女儿放假了,机子对她开放,天天中大奖。
这个木马有以下文件,都删了,也在相应位置用这些文件名建立了加权限的目录,与dxijqj39.sys有关的驱动注册信息也删了,但重启时始终发现在启动项通过 RunDll32.EXE 加载 wqjbik43.dll,无奈之下只好给注册表的启动项再加权限。

wqjbik43.dll
qzlqvf62.dll
dxijqj39.sys

但这样始终不是办法,要安装一些工具时又要去改注册表的权限,谁对这个木马了解多些,有何良策??
发表于 2007-7-20 20:52:21 | 显示全部楼层
你跟踪一下木马建了哪些文件,用批处理把含木马进程的全KILL掉,并删除木马文件。病毒看上你了;P

[ 本帖最后由 netwinxp 于 2007-7-20 08:53 PM 编辑 ]
回复

使用道具 举报

发表于 2007-7-20 21:27:17 | 显示全部楼层
原帖由 lxl1638 于 2007-7-20 08:41 PM 发表
女儿放假了,机子对她开放,天天中大奖。
这个木马有以下文件,都删了,也在相应位置用这些文件名建立了加权限的目录,与dxijqj39.sys有关的驱动注册信息也删了,但重启时始终发现在启动项通过 RunDll32.EXE 加 ...


用autoruns分析下就知道是怎么加载来的了`

选中       验证微软代码签名
选中       隐藏微软的项目


刷新一遍
剩下的东西```一眼就看出病毒的根源了
回复

使用道具 举报

发表于 2007-7-20 21:59:08 | 显示全部楼层
先用PE杀,再改注册表,不行重装,现在很多东西改了很难通过微软代码签名的。
回复

使用道具 举报

发表于 2007-7-21 08:15:22 | 显示全部楼层
装个冰点任她折腾

省心

:P
回复

使用道具 举报

发表于 2007-7-21 08:21:15 | 显示全部楼层
人家如果用ring0直接调用硬件设备,估计冰点也没辙
回复

使用道具 举报

发表于 2007-7-21 08:56:52 | 显示全部楼层
那么强悍的bingdu怎么从没光顾过我啊:@ :D
回复

使用道具 举报

发表于 2007-7-30 00:12:34 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1|闽公网安备35020302032614号 )

GMT+8, 2026-4-23 06:26

Powered by Discuz! X5.0

© 2001-2026 Discuz! Team.

快速回复 返回顶部 返回列表