6,871
社区成员
发帖
与我相关
我的任务
分享Backdoor.Trojan病毒怎么杀?
我的电脑中了Backdoor.Trojan,杀毒软件提示
扫描类型: 自动防护 扫描
事件: 发现威胁!
威胁: Backdoor.Trojan
文件: C:\WINDOWS\system32\Update.exe
位置: C:\WINDOWS\system32
计算机: ZKW
用户: zkw
采用的操作: 清除 失败 : 隔离 失败 : 拒绝访问
发现的日期: 2005年11月20日 11:05:03
我按网上介绍原方法试了几次都没成功,请各路高手指点一下。
扫描类型: 自动防护 扫描
事件: 发现威胁!
威胁: Backdoor.Trojan
文件: C:\WINDOWS\system32\Update.exe
位置: C:\WINDOWS\system32
计算机: ZKW
用户: zkw
采用的操作: 清除 失败 : 隔离 失败 : 拒绝访问
发现的日期: 2005年11月20日 11:05:03
我按网上介绍原方法试了几次都没成功,请各路高手指点一下。
...全文
请发表友善的回复…
发表回复
pcmaker 2005-11-21
- 打赏
- 举报
需要把“系统保护。。。”的文件也显示出来
检查注册表里:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,里面的shell项,看看explorer.exe是否被加了什么其他程序
如果有,先用启动盘进入DOS,把那个文件删除,一般在system32下,然后再进入windows把那个注册表项修好
剩下的工作就是用上面他们的方法解决了
检查注册表里:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,里面的shell项,看看explorer.exe是否被加了什么其他程序
如果有,先用启动盘进入DOS,把那个文件删除,一般在system32下,然后再进入windows把那个注册表项修好
剩下的工作就是用上面他们的方法解决了
yuliguo2000 2005-11-21
- 打赏
- 举报
隔离查杀,安全模式
要不用dos
Backdoor.Trojan是一个特洛伊木马病毒,瑞星无法检测,用Norton AntiVirus可以发现,总是提示W32_ss.exe携带Backdoor.Trojan,但无法清除,也无法删除该文件。查到W32_ss.exe的位置在windows\system32下(我用的是XP,其他系统的位置不同,98在windows\system,2000在winnt\system32),但无法删除该文件,重启进入DOS,发现W32_ss.exe不见了,再进windows,又出现了。分析该病毒文件不只是W32_ss.exe,肯定还有其他文件,W32_ss.exe就是由其他文件在系统启动时产生的。查看windows\system32下的文件,发现有几个文件很可疑,文件名后面都没有修改日期,是一段空白,这几个文件是:boot32.sys debugg.dll c3.dll c3.sys c4.sys sdmapi.sys,再进DOS,在windows\system32里找到他们,先备份,再删除!好了,解决问题。进入windows,打开注册表,清除相关的内容。
要不用dos
Backdoor.Trojan是一个特洛伊木马病毒,瑞星无法检测,用Norton AntiVirus可以发现,总是提示W32_ss.exe携带Backdoor.Trojan,但无法清除,也无法删除该文件。查到W32_ss.exe的位置在windows\system32下(我用的是XP,其他系统的位置不同,98在windows\system,2000在winnt\system32),但无法删除该文件,重启进入DOS,发现W32_ss.exe不见了,再进windows,又出现了。分析该病毒文件不只是W32_ss.exe,肯定还有其他文件,W32_ss.exe就是由其他文件在系统启动时产生的。查看windows\system32下的文件,发现有几个文件很可疑,文件名后面都没有修改日期,是一段空白,这几个文件是:boot32.sys debugg.dll c3.dll c3.sys c4.sys sdmapi.sys,再进DOS,在windows\system32里找到他们,先备份,再删除!好了,解决问题。进入windows,打开注册表,清除相关的内容。
sly6605 2005-11-21
- 打赏
- 举报
在安全模式下解决了问题,谢谢大家,这个病毒真烦人。
sly6605 2005-11-20
- 打赏
- 举报
我显示了所有文件,没有找到C:\\$NtUninstallQ887678$\\这个目录。
Stylistxyc 2005-11-20
- 打赏
- 举报
恶意网站利用漏洞或ActiveX控件释放vbs文件。
该脚本在目录“C:\\$NtUninstallQ887678$”下释放“WINSYS.cer”以及“winsys.vbs”,
其实是个reg格式文件。
并写入注册表自启动项“regedit -s C:\\$NtUninstallQ887678$\\WINSYS.cer”
或者“regedit -s C:\\$NtUninstallQ887678$\\WINSYS.vbs”,
这样,每当用户机器启动,WINSYS.cer或者WINSYS.vbs的内容导入注册表,
这些内容是修改IE主页和其他设置的恶意代码。
如果用户感染此病毒,可以直接将“C:\\$NtUninstallQ887678$\\”目录删除
(该目录为隐藏属性),同时清除注册表所有run和runservices项中包含regedit -s字样的项。
如果用户反复感染此病毒,可以在IE-“工具”-“Internet 选项”-“安全”-安全级别设置为“高”。
隔离查杀,安全模式OK掉!
该脚本在目录“C:\\$NtUninstallQ887678$”下释放“WINSYS.cer”以及“winsys.vbs”,
其实是个reg格式文件。
并写入注册表自启动项“regedit -s C:\\$NtUninstallQ887678$\\WINSYS.cer”
或者“regedit -s C:\\$NtUninstallQ887678$\\WINSYS.vbs”,
这样,每当用户机器启动,WINSYS.cer或者WINSYS.vbs的内容导入注册表,
这些内容是修改IE主页和其他设置的恶意代码。
如果用户感染此病毒,可以直接将“C:\\$NtUninstallQ887678$\\”目录删除
(该目录为隐藏属性),同时清除注册表所有run和runservices项中包含regedit -s字样的项。
如果用户反复感染此病毒,可以在IE-“工具”-“Internet 选项”-“安全”-安全级别设置为“高”。
隔离查杀,安全模式OK掉!
gdhyj 2005-11-20
- 打赏
- 举报
可能是c:\winNT\\$NtUninstallQ887678$\\
