这个木马让我头痛

最近中了个木马，在安全模式下，删了文件，删了注册表的启动项，想不到重起后还在
后来重装系统，竟然阴魂不散，服了，向各位大侠求救
本人水平有限，截图上来给大家参考
希望给出个办法指点下:'(
不好意思，没说清楚，那个QQ的木马，我连同QQ整个文件都删了，现在主要是另外一个木马，就是启动项中有繁体字的那木马

[ 本帖最后由左人男于 2007-4-29 20:40 编辑 ]

附件: 您需要登录才可以下载或查看附件。没有帐号？注册

黑海舰队列兵

主题: 0
积分: 0
贝壳: 0 个
注册时间: 2004-11-20
最后登录: 2008-6-15

沙发

z5430794发表于 2007-4-28 22:23 | 只看该作者

对拉，喀吧老是报已检测到: 木马程序 Trojan-Downloader.Win32.Small.czl 文件: c:\windows\system32\ctfnom.exe/NSPack/FSG

ctfnom.exe不是系统文件吗？怎么有毒呢？

TOP

黑海舰队列兵

主题: 0
积分: 6
贝壳: 6 个
性别: 男
注册时间: 2007-3-15
最后登录: 2013-7-2

板凳

左人男发表于 2007-4-28 23:01 | 只看该作者

这是一种木马下载器病毒！

解决它的办法

右键我的电脑－属性－系统还原－关闭

下载一个叫unlocker的软件，很小的，然后安装。 C:\WINDOWS\system32 下找到病毒文件（文件应该是一个DLL文件，由字母和数字组成的），右击选择 unlocker进行解锁（安装完那个软件后会在右键菜单上生成一个unlocker的菜单项）。然后就可以把病毒文件删除了。再进入C:\ WINDOWS\system32\drivers 里找到×.sys文件（×跟之前那个文件同名，只是扩展名不一样）用同样的方法先解锁后删除。然后在开始－运行－输入regedit 打开注册表编辑器，分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项）

unlocker下载地址
http://www.onlinedown.net/soft/24732.htm

TOP

黑海舰队列兵

主题: 0
积分: 6
贝壳: 6 个
性别: 男
注册时间: 2007-3-15
最后登录: 2013-7-2

地板

左人男发表于 2007-4-28 23:04 | 只看该作者

其实咔吧也是可以干掉的，不过要在安全模式下查杀！

TOP

黑海舰队列兵

主题: 0
积分: 6
贝壳: 6 个
性别: 男
注册时间: 2007-3-15
最后登录: 2013-7-2

5楼

左人男发表于 2007-4-28 23:11 | 只看该作者

因为本人没中过，只能在网上找些资料，请参考：

1.用sreng删除启动项目
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<9><C:\WINDOWS\system32\Ravdm.exe> [Microsoft Corporation]
2.打开隐藏
取消文件隐藏模式方法:
1.打开任意文件夹窗口=》工具=》文件夹选项=》查看
2.取消隐藏受保护的系统文件前面的钩
3.选中显示所有文件和文件夹
4.取消隐藏已知文件类型扩展名前面的勾

3.删除C:\WINDOWS\system32\Ravdm.exe(有提示是系统文件,点是删除!)

4.重启系统

5.删除
C:\WINDOWS\system32\drivers\Rinld.sys

6.重命名C:\Program Files\Tencent\QQ\TIMPlatfrom.exe=>C:\Program Files\Tencent\QQ\TIMPlatform.exe(或者直接重新安装QQ)

注意一定升级病毒库然后在安全模式下查杀！
如还有问题，请来反馈！

TOP