引用 | 编辑
jessengirl
2006-12-10 02:38 |
楼主
▼ |
||
x0
试了很多次 用不同的软件及人手删除这软件及连带的档案, 可惜删除后不到一秒就自动重生. 已从安全模式中进行, 一样无效. 一般防毒软件对它已经失效了( 我用的是 NORTON 2005, 经常 UPDATE 的 ). 现想知他的种子在那和怎根除, 请知道的高手赐教, 谢谢.[jessengirl] 鼻子一酸,开始叭嗒叭嗒掉眼泪了 x0
|
引用 | 编辑
upside
2006-12-10 10:24 |
1楼
▲ ▼ |
此是一只木马病毒 来源处应该是 大陆对岸 台湾目前较少人反应
不过大部份的防毒软体 本来就对木马.间谍等程式较无解除功能 大部份的木马 都需要另外寻求解木马软体 如: AD-AWARE 等 此毒很难缠 目前尚无好软体可用 但可以先试试 AD-AWARE 另外有手动删除的方法 http://bbs.mychat.to/read.php?fid=254&tid=588735&page=1#a PS: 大大可否将此毒 压缩传档上来 小弟想研究一下 谢谢 x0 |
引用 | 编辑
jessengirl
2006-12-10 16:20 |
2楼
▲ ▼ |
先谢谢 upside
我也很想将这个毒传给你看 但据我所努力过删除的档案中, 仍找不出源头 我应该给你那些档才对? 我已知的档案包括了一些执行荡和数个 .dll 档 这些足够吗? ***重点是它会重生, 所以我幸定我尚未找到它的源头 待覆, 感恩!~~~ x0 |
引用 | 编辑
upside
2006-12-10 16:22 |
3楼
▲ ▼ |
下面是引用jessengirl于2006-12-10 16:20发表的 :上面的连结里面就有解除的方法 但可以先把 WNSO.EXE 传给我就可以了 就附件上传 我抓完马上删除 x1 |
引用 | 编辑
jessengirl
2006-12-10 16:28 |
4楼
▲ ▼ |
可以的 请等我5分钟 再谢谢你哦
x0 |
引用 | 编辑
jessengirl
2006-12-10 16:32 |
5楼
▲ ▼ |
内附一套我觉得有问题的档
你要小心哦 收到请留言 我去删掉它 x0 |
引用 | 编辑
jessengirl
2006-12-10 16:53 |
6楼
▲ ▼ |
大大:
' ...... 我删除的键值如下:HKLM/software/sepcompu (全部删除) HKLM/System/currentcontrolset/services/front HKLM/System/currentcontrolset/services/roreg HKLM/System/controlset001(002,003中也有相同内容)/enum/root/legacy_front HKLM/System/controlset001(002,003中也有相同内容)//enum/root/legacy_roreg 再用注册表查询的方式查询下wnso,找到后删除.... ' 上文中, 我不明白 HKLM 的位置, 可以说清楚一点吗, 我就是找不到这个, 其他都能找到, 谢谢! x0 |
引用 | 编辑
jessengirl
2006-12-10 19:32 |
8楼
▲ ▼ |
下面是引用upside于2006-12-10 19:00发表的 : 我刚找到了 要是我没猜错 是在 HKEY_L0CAL_MACHINE 所以简称 HKLM ? (努力中) x1 |
引用 | 编辑
jessengirl
2006-12-11 00:02 |
9楼
▲ ▼ |
经过一番努力,有如下结果:
使用工具: ICEWORD2.0 (不一定用的着,而且软件以简体字写成,很有机会出现不同程度的乱码) unlocker (不一定用的着,但用法非常简易) 操作地点:正常状态(不想进安全模式) 方法: 1、在注册表中删除相关项目,搜索wnso,rggzs,front,roreg,选项,front的删除时注意一下,有的不是。在注册表中不能删除的请使用ICEWORD工具来删除。 (注册表内的东西在正常状态下就能删掉,反而进入安全模式下删不掉 ) 我删除的键值如下: HKLM/software/sepcompu (全部删除) HKLM/System/currentcontrolset/services/front HKLM/System/currentcontrolset/services/roreg HKLM/System/controlset001(002,003中也有相同内容)/enum/root/legacy_front HKLM/System/controlset001(002,003中也有相同内容)//enum/root/legacy_roreg (HKLM 即 HKEY_LOCAL_MACHINE,此处删除过程中没太大问题,遇有不能删的,只要右击改权限成为允许再按确定,便能删掉) 再用注册表查询的方式查询下wnso,找到后删除。 ( 在 REGEDIT 内找到 wnso.lnk ) 2、先打开unlocker,然后删除windows/system32/drivers/下roreg.sys和front.sys两个文件,如不能删除,用unlocker和系统解锁后删除gprs5.com。 (此处轻易删掉) 3、删除c:\document and setting\all user\application data\下startup目录,不能删除用unlocker解锁后删除。 (此处找到一个不知名的档夹,已整个删掉) 4、删除c:\document and setting\administrator\templates\下有个目录,里面有a.dll,b.exe,c.dll,d.dll的目录, (此处亦轻易删掉,不需执行下一步) - 不能删除可以禁止掉rundll32.exe进程,或是用unlocker解锁,然后删除cdnup.exe清除方法 5、删除c:\program files\common file\rggzs目录, (此处亦轻易删掉,不需使用 unlocker) - 开了unlocker之后,可解锁删除 6\、删除开始中的wnso.lnk. (此档找不到,但刚才在 regedit 中已删了一个,不知有没关连) 7\在注册表中再查找一次wnso,删除后搞定 (已删所有含 wnso 的东西 ) 结果: 重登后,RGGZS夹连其他小档仍然跑出来,看来尚未能锁定种子档 x0 |
引用 | 编辑
jessengirl
2006-12-11 03:06 |
10楼
▲ ▼ |
刚才再重新照这个步骤做一次
重登之后 虫没再出现了 但出现了很快就档机的情况 通常是开档案管理或浏览器的时候 希望各位中了毒的朋友能顺利解毒吧!~ x0 |
引用 | 编辑
jessengirl
2006-12-11 22:14 |
11楼
▲ ▼ |
没办法了, 电脑不断当
HKLM/software/sepcompu <<<< 这个有不明白... 有高手能解释一下吗, 谢谢. x0 |
引用 | 编辑
upside
2006-12-12 01:29 |
12楼
▲ ▼ |
下面是引用jessengirl于2006-12-11 22:14发表的 :这个登录档的位置与 Program Files 位置相同应该是木马档 隐藏的位置 x0 |
引用 | 编辑
upside
2006-12-12 01:51 |
13楼
▲ ▼ |
关于“wnso.exe 万能搜索流氓软件”的清除
这是一个“万能搜索流氓软件”。据各界反映,到目前为止,还没有更好的杀毒方法 x0 |
引用 | 编辑
jessengirl
2006-12-12 08:37 |
14楼
▲ |
同意, 我已经重灌了, 再一次谢谢 upside 大大 ^^~
x0 |