神马品牌网红米2a系统:反病毒专家进.急啊~~~~
来源:百度文库 编辑:神马品牌网 时间:2024/04/28 00:51:50
WINXP下上网时突然瑞星跳出报警,当时看了一眼,正奇怪没有见到清除/隔离选项,报警就结束了。重起机子时突然发现瑞星防火墙加载失败,瑞星监控根本不启动。(两者均是最新版)
于是手动开启瑞星防火墙、瑞星监控,失败。
运行MSCONFIG,无法启动。
运行REGEDIT,发现HKCR:EXE/EXEFILES被修改为WINFILES,描述为EXE关联被修改。
起动任务管理器发现有两个WINLOGON进程,
用反间碟专家发现启动项里多了TORJAN PROGRAM 指向C:\WINDOWS\WINLOGON.EXE。
于是DEL掉WINLOGON.EXE,
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices里去掉TORJAN PROGRAM项,
将HKEY_CLASSES_ROOT\.exe 的WINFILES修改回EXEFILES,
然后手动DEL掉WINLOGON.EXE,
用反间碟专家查杀,发现D盘下有AUTORUN.INF,于是选择清除。
重开机,发现根本没用,查杀发现D盘下AUTORUN.INF还在,启动项里还有TORJAN PROGRAM在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices里,
HKCR:EXE/EXEFILES还被修改为WINFILES,描述为EXE关联被修改。
WINLOGON.EXE又回来了
且D盘双击无法打开,用漏洞扫描发现所有分区被共享。
重复清注册表,杀毒,删文件。
重起,一切依旧。
于是手动开启瑞星防火墙、瑞星监控,失败。
运行MSCONFIG,无法启动。
运行REGEDIT,发现HKCR:EXE/EXEFILES被修改为WINFILES,描述为EXE关联被修改。
起动任务管理器发现有两个WINLOGON进程,
用反间碟专家发现启动项里多了TORJAN PROGRAM 指向C:\WINDOWS\WINLOGON.EXE。
于是DEL掉WINLOGON.EXE,
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices里去掉TORJAN PROGRAM项,
将HKEY_CLASSES_ROOT\.exe 的WINFILES修改回EXEFILES,
然后手动DEL掉WINLOGON.EXE,
用反间碟专家查杀,发现D盘下有AUTORUN.INF,于是选择清除。
重开机,发现根本没用,查杀发现D盘下AUTORUN.INF还在,启动项里还有TORJAN PROGRAM在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices里,
HKCR:EXE/EXEFILES还被修改为WINFILES,描述为EXE关联被修改。
WINLOGON.EXE又回来了
且D盘双击无法打开,用漏洞扫描发现所有分区被共享。
重复清注册表,杀毒,删文件。
重起,一切依旧。
进系统的安全模式,用管理员的用户进瑞星的安装目录里面找到一个Update文件夹,运行里面的SETUP.EXE文件。完成后,杀毒!不行再吼!
你把瑞星升级到最高版本,在安全模式下杀,杀完.然后修复注册表.然后重启电脑.就OK.
去雅虎助手下载反间谍专家!~~