中了一个很ＮＢ的毒，帮忙分析下

solcroft

打开regedit.exe，把hkey_local_machine\software\microsoft\windows nt\currentversion\windows\Appinit_Dlls下面的rarjbpi.dll值删掉

重启电脑，看看c:windows\system32\rarjbpi.dll是否能被删掉

jxlpn

原帖由 solcroft 于 2007-10-4 15:02 发表
打开regedit.exe，把hkey_local_machine\software\microsoft\windows nt\currentversion\windows\Appinit_Dlls下面的rarjbpi.dll值删掉

重启电脑，看看c:windows\system32\rarjbpi.dll是否能被删掉

照此方法操作了,  删除键值 ,  然后重启,  c:windows\system32\rarjbpi.dll无法被删掉.

jxlpn

一启动QQ的话,就会这样..

solcroft

有些病毒发现自己的注册表值被删除后会自动添加回去
这样的话就先尝试看安全模式下能不能删掉
再不能的话就用unlocker，icesword这一类的工具了
建议你进行任何操作前先备份一下文件，注册表

solcroft

我没用过QQ，这是怎么回事你就另请高人了

hj5abc

原帖由 jxlpn 于 2007-10-4 14:55 发表
Logfile of HijackThis v1.99.1
Scan saved at 14:53:37, on 2007-10-4
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Sy ...

这个是Hijackthis的.. sreng有详细的进程信息.
把temp下的文件删除后 , 在组策略中设置一条禁止temp\*.exe启动的规则.
另, program files\IE\plugins下有挂全局钩子的文件,*.jmp和*.sys , delete掉.
还有,你X盘下有个autorun,也delete掉,再建立一个autorun.inf的文件夹,防止重复感染.

rarjbpi.dll 用ice或syscheck强制删掉,再恢复appinit_dlls.

[ 本帖最后由 hj5abc 于 2007-10-4 15:37 编辑 ]

wei.angel

原帖由 <i>fanghao1234</i> 于 2007-10-4 04:24 发表 <a href="http://bbs.kafan.cn/redirect.php?goto=findpost&pid=1826782&ptid=138893" target="_blank"><img src="http://bbs.kafan.cn/images/common/back.gif" border="0" onclick="zoom(this)" onload="attachimg(this, 'load')" alt="" /></a><br />
卡巴应该可以杀的

<br />

wei.angel

原帖由 fanghao1234 于 2007-10-4 04:24 发表
卡巴应该可以杀的

卡巴绝对可以杀

jxlpn

我卸了瑞星.. 装了卡巴.

正在更新.

一会更新完全盘扫一下,然后看看情况.

jxlpn

用卡巴扫描的结果.

删除后系统用不了了,全是系统文件, 不得已,只能恢复..

考虑是否重装中.