|
 | 作者: ghame [ghame]
 论坛用户 |
登录 |
| 昨天我一个朋友的XP机子中了病毒,病毒中有一个VBS文件,一个CER文件,还修改了注册表,开机时自动运行internat.exe 并用 regedit.exe -s 将CER文件中的内容写入注册表。 病毒修改了原来系统文件夹中的 Rundll.exe 文件, 导致我朋友运行程序时经常出先C++ Runtime 错误。 我察看注册表,发现VBS文件和CER文件是在C:\$NT.....$\目录中,其中.....指一串数字,我记不得了。这个文件夹对windows 和DOS 都是隐藏的,在DOS 下用DIR 不能列出。但是用TYPE命令可以查看那个VBS和CER文件。 查看进程,有一个RESET5.EXE,基本确认是病毒文件。还有一个internat.exe,这个文件在2000和98中是显示输入法图标用的,但是这里被病毒修改了。 查看服务,RESET5.EXE也在其中,马上禁用。 VBS文件我是用DEL命令删除的,但是不知道为什么,我不能用这个方法删除那个CER文件,后来我是用DOS 的EDIT 将这个文件的内容全部删掉再保存。这样就解决了开机自启动的文件问题。 但是我发现这样做以后任务管理器中还是出现RESET5.EXE进程,我找遍整个硬盘都找不到这个文件,估计是在那个隐藏的文件夹中。 如果有哪位高手见过这个病毒,或者知道那个隐藏文件夹的原理,请教一教小弟。多谢! |
| 地主 发表时间: 04-02-25 14:10 |
 | 回复: wangsong [wangsong]  论坛用户 |
登录 |
|
这也是一款QQ密码窃取密码,木马文件名为QQSPYSP.EXE,文件大小379,904byte。它的清除方法 重启电脑到纯DOS状态下,然后将C:\WINDOWS\SYSTEM文件夹中的Internat.exe文件删除,再将该文件夹下的smaxinte.exe文件重命名Internat.exe,最后删除Windows文件夹下的Internat.exe和uttnskf.ini文件,重新启动电脑即可清除该木马。 RESET5.EXE这个不是木马 杀毒软件查一下 |
| B1层 发表时间: 04-02-25 18:42 |
| 回复: ghame [ghame] 论坛用户 |
登录 |
|
请问一下,我打开任务管理器的时候,RESET5.EXE进程总共有三个,我想一般的程序没有必要同时启动三个同名的进程。还有,我发现了一个Rundll.exe进程,这个文件不是应该只在运行DLL时使用吗? 我用别的机上的Rundll.exe对比过,它大了大约1KB。 我将这个文件删除后,用别的机上复制过来的Rundll.exe代替,系统变得不稳定。从回收站还原原来的Rundll.exe后才没出现问题。 请问这是怎么回事? |
| B2层 发表时间: 04-02-25 19:56 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 请问如何删除这个病毒的RESET5.EXE和internat.exe文件?