中毒C:\WINDOWS\system32\NeroCheck.exe/Expressor

泉心

已删除: 木马程序 Backdoor.Win32.Bifrose.ago 文件: C:\WINDOWS\system32\NeroCheck.exe/Expressor
杀了以后开机又有，重做系统也不顶用！
求大虾帮忙呀！

mds

用unlocker解锁删除NeroCheck.exe再清理注册表看看!
如果不行用SREng扫个报告贴上来

qiuchunyang

先用autorun病毒专杀试试

chinajl

重装系统后如果双击感染病毒的文件夹，还是会重新中毒的，建议重装系统后不要直接用资源管理器打开文件夹

泉心

原帖由 mds 于 2007-8-19 17:01 发表
用unlocker解锁删除NeroCheck.exe再清理注册表看看!
如果不行用SREng扫个报告贴上来

我都下下来试用了
原谅我太菜了！

[ 本帖最后由 泉心 于 2007-8-19 19:26 编辑 ]

泉心

原帖由 qiuchunyang 于 2007-8-19 17:14 发表
先用autorun病毒专杀试试

用的360专杀，能杀掉但开机又出来了！

泉心

找不到NeroCheck.exe个文件，unlocker解锁删除NeroCheck.exe再清理注册表看看!

1. 2007-08-19,18:52:11
   
2. System Repair Engineer 2.5.16.900
   
3. Smallfrogs (http://www.KZTechs.com)
   
4. Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能
   
5. 以下内容被选中：
   
6.     所有的启动项目（包括注册表、启动文件夹、服务等）
   
7.     浏览器加载项
   
8.     正在运行的进程（包括进程模块信息）
   
9.     文件关联
   
10.     Winsock 提供者
    
11.     Autorun.inf
    
12.     HOSTS 文件
    
13.     进程特权扫描
    
14. 
    
15. 这部分太长删掉了
    
16. ==================================
    
17. 文件关联
    
18. .TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
    
19. .EXE  OK. ["%1" %*]
    
20. .COM  OK. ["%1" %*]
    
21. .PIF  OK. ["%1" %*]
    
22. .REG  OK. [regedit.exe "%1"]
    
23. .BAT  OK. ["%1" %*]
    
24. .SCR  OK. ["%1" /S]
    
25. .CHM  OK. ["C:\WINDOWS\hh.exe" %1]
    
26. .HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
    
27. .INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
    
28. .INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
    
29. .VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
    
30. .JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
    
31. .LNK  OK. [{00021401-0000-0000-C000-000000000046}]
    
32. ==================================
    
33. Winsock 提供者
    
34. N/A
    
35. ==================================
    
36. Autorun.inf
    
37. N/A
    
38. ==================================
    
39. HOSTS 文件
    
40. 127.0.0.1       localhost
    
41. ==================================
    
42. 进程特权扫描
    
43. 特殊特权被允许： SeDebugPrivilege [PID = 1648, C:\PROGRAM FILES\360SAFE\SAFEMON\360TRAY.EXE]
    
44. 特殊特权被允许： SeDebugPrivilege [PID = 1712, C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE]
    
45. 特殊特权被允许： SeLoadDriverPrivilege [PID = 2640, C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE]
    
46. 特殊特权被允许： SeLoadDriverPrivilege [PID = 2172, D:\PROGRAM FILES\ADOBE\PHOTOSHOP CS\PHOTOSHOP.EXE]
    
47. ==================================
    
48. API HOOK
    
49. RVA  错误： LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
    
50. RVA  错误： LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
    
51. RVA  错误： LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
    
52. RVA  错误： LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
    
53. RVA  错误： GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
    
54. ==================================
    
55. 隐藏进程
    
56. N/A
    
57. ==================================

复制代码

[ 本帖最后由 泉心 于 2007-8-19 19:27 编辑 ]

wangjay1980

晕，你把最主要的部分删了

泉心

15000多字节，一次只能法2000，我打了个，包帮忙看看。谢谢！

泉心

原帖由 泉心 于 2007-8-19 23:09 发表
15000多字节，一次只能法2000，我打了个，包帮忙看看。谢谢！