Hidden object的清除方法

一、提问

C:\WINDOWS\system32\LgSym.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.fq 
C:\WINDOWS\system32\Qqzos.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.kr 
我按照您空间里一些帖子的方法进行了处理,虽然卡巴不出现上述提示了但是却有了新的麻烦,每次打开电脑卡巴首先会提示我: 
C:\WINDOWS\system32\winrpcs.exe: 检测到新变种 风险软件 Hidden object 
然后就是: 
C:\WINDOWS\system32\dfsdfsg.exe: 检测到新变种 风险软件 Hidden object 
接着各种各样的*.EXE 文件检测到这个风险软件 Hidden object .......卡巴也查不出毒来每隔一段时间就蹦出关于这个Hidden object提示来.是不是上次的病毒我没有处理干净还是又中新招。我是拿它没有办法了拜求崔老师给出一个解决的方案. 
补充:好长一段时间以来网络时常会莫名其妙的断掉网络连接里确是显示连接着.可无论网页或网路程序到找不到网络.只能断猫.我是铁通的开始以为是网络质量不好.可是我隔壁的从没出现过这种问题 
SREng的扫描日志略

二、分析

1. 杀毒前关闭系统还原(Win2000系统可以忽略):右键 我的电脑 ,属性,系统还原,在所有驱动器上关闭系统还原 打勾即可。 
清除IE的临时文件:打开IE 点工具-->Internet选项 : Internet临时文件,点“删除文件”按钮 ,将 删除所有脱机内容 打勾,点确定删除。

关闭QQ等应用程序。进行如下操作前,请不要进行任何双击打开磁盘的操作。所有下载的工具都直接放桌面上。

2.用强制删除工具XDelBox(文件删除终结者)删除下面列出的文件。

【删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入。导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作,删除完成后会自动重启进入你安装的操作系统。操作前注意保存电脑中正在打开的文档。有关XDelBox的详细说明请看xdelbox1.2目录下help.chm。】

Code:
D:\Autorun.inf 
D:\pagefile.pif 
e:\Autorun.inf 
e:\pagefile.pif 
C:\DOCUME~1\GLG\LOCALS~1\Temp\Servere.exe 
C:\DOCUME~1\GLG\LOCALS~1\Temp\cftmon.exe 
C:\DOCUME~1\GLG\LOCALS~1\Temp\crasos.exe 
C:\WINDOWS\servicea.exe 
C:\WINDOWS\system32\dfsdfsg.exe 
C:\WINDOWS\system32\rpcsddos.exe 
C:\WINDOWS\system32\winrpcs.exe 
C:\DOCUME~1\GLG\LOCALS~1\Temp\xpe.sys

~~~注意 文中的GLG是这位求助者的用户名,也可能是王小丫/Administrator等。 要看中毒者的具体用户名了。。

3. 用工具 SREng 删除如下各项

【打开SREng后提醒“函数的内容与预期值不符他们可能被一些恶意的软件所修改”的错误请忽略,装杀软后的正常修改。】 
==================================

Code:
启动项目 -->注册表 的如下项删除[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
<wu1jz><C:\DOCUME~1\GLG\LOCALS~1\Temp\Servere.exe> [N/A] 
<dlf67keir><C:\DOCUME~1\GLG\LOCALS~1\Temp\cftmon.exe> [N/A] 
<64qq0fg020gw7><C:\DOCUME~1\GLG\LOCALS~1\Temp\crasos.exe> [N/A] 
<uewhqm4x8><C:\WINDOWS\servicea.exe> [N/A]

================================== 
启动项目 -->服务-->Win32服务应用程序 的如下项删除 
[sadsaads / afdsfsgg][Stopped/Auto Start] 
<C:\WINDOWS\system32\dfsdfsg.exe><Microsoft Corporation> 
[Remote Procedure Call System(RPCSDDOS) / RpcSDDOS][Stopped/Auto Start] 
<C:\WINDOWS\system32\rpcsddos.exe><N/A> 
[Windows RPCS / WINRPCS][Stopped/Auto Start] 
<C:\WINDOWS\system32\winrpcs.exe><N/A>

================================== 
启动项目 -->服务-->驱动程序的如下项删除(如果删不掉,就设置类型为disabled!) 
[king001 / king001][Stopped/Manual Start] 
<\??\C:\DOCUME~1\GLG\LOCALS~1\Temp\xpe.sys><N/A>

(0)

相关推荐

  • Hidden object的清除方法

    一.提问 C:\WINDOWS\system32\LgSym.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.fq  C:\WINDOWS\system32\Qqzos.dll: 检测到 木马程序 Trojan-PSW.Win32.OnLineGames.kr  我按照您空间里一些帖子的方法进行了处理,虽然卡巴不出现上述提示了但是却有了新的麻烦,每次打开电脑卡巴首先会提示我:  C:\WINDOWS\system32\winrpcs.exe: 检测到新变种 

  • 各分区根目录释放shell.exe,autorun.inf 的病毒清除方法

    病毒名:Trojan-psw.Win32.Magania.os 卡巴 Worm.Win32.Delf.ysa 瑞星  文件变化:  释放文件 C:\WINDOWS\system32\Shell.exe C:\WINDOWS\system32\Shell.pci C:\pass.dic 各分区根目录释放 shell.exe autorun.inf autorun.inf内容 [Autorun] OPEN=Shell.exe shellexecute=Shell.exe shell\Auto\com

  • 浅谈Scala的Class、Object和Apply()方法

    浅谈Scala的Class、Object和Apply()方法

    Scala中如果一个Class和一个Object同名,则称Class是Object的伴生类.Scala没有Java的Static修饰符,Object下的成员和方法都是静态的,类似于Java里面加了Static修饰符的成员和方法.Class和Object都可以定义自己的Apply()方法,类名()调用Object下的Apply()方法,变量名()调用Class下的Apply()方法. class ApplyTest{ def apply() { println("This is a class,

  • JavaScript中Object.prototype.toString方法的原理

    在JavaScript中,想要判断某个对象值属于哪种内置类型,最靠谱的做法就是通过Object.prototype.toString方法. var arr = []; console.log(Object.prototype.toString.call(arr)) //"[object Array]" 本文要讲的就是,toString方法是如何做到这一点的,原理是什么. ECMAScript 3 在ES3中,Object.prototype.toString方法的规范如下: 15.2.

  • IRC后门病毒及手动清除方法

    2004年年初,IRC后门病毒开始在全球网络大规模出现.一方面有潜在的泄漏本地信息的危险,另一方面病毒出现在局域网中使网络阻塞,影响正常工作,从而造成损失. 同时,由于病毒的源代码是公开的,任何人拿到源码后稍加修改就可编译生成一个全新的病毒,再加上不同的壳,造成IRC后门病毒变种大量涌现.还有一些病毒每次运行后都会进行变形,给病毒查杀带来很大困难.本文先从技术角度介绍IRC后门病毒,然后介绍其手工清除方法. 一.技术报告 IRC病毒集黑客.蠕虫.后门功能于一体,通过局域网共享目录和系统漏洞进行传

  • 在原生不支持的旧环境中添加兼容的Object.keys实现方法

    如下所示: if (!Object.keys) { Object.keys = (function () { var hasOwnProperty = Object.prototype.hasOwnProperty, //原型上的方法,只取自身有的属性: hasDontEnumBug = !({toString: null}).propertyIsEnumerable('toString'), //ie6一下,!之后的内容为false; dontEnums = [ 'toString', 'to

  • js中的eval()函数把含有转义字符的字符串转换成Object对象的方法

    在项目中遇到一个问题:在前端需要把后台返回的json字符串转换成一个js中的json对象,可是从后台返回的字符串中含有转义字符:\", 在网上查到方法如下,可以处理这种情况: var page = eval("("+data+")"); 以上这篇js中的eval()函数把含有转义字符的字符串转换成Object对象的方法就是小编分享给大家的全部内容了,希望能给大家一个参考,也希望大家多多支持我们.

  • MY123病毒清除方法,专杀工具下载

    近期爆发的恶性病毒?比上次普遍感染的"sxs.exe病毒"更夸张,并且已经从流氓软件的范畴变身为病毒了. 病毒现象: IE 浏览器首页无法改变,被修改为 www.my123.com , 或自动跳转到 7255 . 手动清除方法非常烦琐,并且目前依然不停有变种出来,所以一般用户还是尝试用专杀工具吧 MY123.com 病毒专杀工具 目前许多工具已经针对此病毒发布了最新的专杀工具,已经可以比较方便的删除它了,并且杀毒厂商也关注起来,病毒变种虽然变的快,相信专杀工具也出的不会太晚,请关注下面

  • 判断js的Array和Object的实现方法

    var a = ['hello','world']; console.log(typeof a); // object console.log(a.toString()); // hello,word 字符串 console.log(Object.prototype.toString.call(a)); //[object Array] var b = {'hello':'world'}; console.log(typeof b); // object console.log(b.toStri

  • 常见木马的手工清除方法

    常见木马的手工清除方法 1. 冰河v1.1 v2.2 这是国产最好的木马 作者:黄鑫 清除木马v1.1 打开注册表Regedit 点击目录至: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun 查找以下的两个路径,并删除 " C:windowssystem kernel32.exe" " C:windowssystem sysexplr.exe" 关闭Regedit 重新启动到MSDOS方式 删除

随机推荐