计算机之家
图片广告

Powered by Google
计算机之家 » 『 疑难求助 』 » 求助,注册表

会员登录    [立即注册]  [忘记用户名]  [忘记密码]
:   密码:   界面风格:  Cookie 有效期:  

 
打印 | 推荐 | 订阅 | 收藏
标题: [已解决] 求助,注册表
zyqttj_1234
中级会员
Rank: 4



UID 30035
精华 0
积分 152
帖子 540
威望 152
现金 286 币币
存款 709 币币
阅读权限 4
注册 2007-6-6
来自 安徽
状态 离线
#1
 
发表于 2007-10-11 16:25  资料  个人空间  短消息  加为好友  QQ           
求助,注册表

急啊,我的注册表的有一个键值被木马锁定怎么办

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001  
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
红色的这个值被锁定为0
怎么办,
同时电脑中有木马
名子为sys1.exe sys6.exe 等,如何解决,谢谢了
这些病毒文件已删除,上面的键值还是不修改为1,
请教具体解决办法

吗的,垃圾瑞星也杀不掉,

[ 本帖最后由 zyqttj_1234 于 2007-10-11 20:17 编辑 ]





尊重他人,就是尊重自己  随风飘
顶部
奥运2008年
超级版主
Rank: 11Rank: 11Rank: 11Rank: 11


版主荣耀  
UID 366
精华 1
积分 1218
帖子 1211
威望 1208
现金 24 币币
存款 10061 币币
阅读权限 11
注册 2005-12-8
来自 牡丹之城
状态 离线
#2
 
发表于 2007-10-11 16:38  资料  个人空间  短消息  加为好友 
用AVG试一下,扫描文件也可以扫描注册表,感觉还不错

顶部
zyqttj_1234
中级会员
Rank: 4



UID 30035
精华 0
积分 152
帖子 540
威望 152
现金 286 币币
存款 709 币币
阅读权限 4
注册 2007-6-6
来自 安徽
状态 离线
#3
 
发表于 2007-10-11 17:15  资料  个人空间  短消息  加为好友  QQ
回到家中一下试试,谢谢指点





尊重他人,就是尊重自己  随风飘
顶部
AVH-暗香 (流香 )
论坛VIP
Rank: 9Rank: 9Rank: 9
暗香世家


爱心天使(一等荣誉)   VIP会员  
UID 21170
精华 1
积分 604
帖子 499
威望 594
现金 700 币币
存款 1380 币币
阅读权限 10
注册 2007-4-24
来自 暗香世家
状态 离线
#4
 
发表于 2007-10-11 18:42  资料  个人空间  短消息  加为好友 
SREng

http://www.kztechs.com/sreng/download.html

2.5.16.900 版本    For Windows 98SE/ME/2000/XP/Server 2003/Vista


http://baike.baidu.com/view/241805.htm   SREng 是什么?

网坛高手的方法:


将以下服务删除:(使用SREng操作)
方法:SREng-在"启动项目->服务->"Win32服务应用程序"选中"隐藏已认证的微软项目" 然后将下面名称的服务删除(选中有问题的服务后,点"删除服务",点“设置”按钮即可。注意弹出的窗口中要点 "否NO"才是确认删除服务)(不能删除的就禁用:启动类型改为disabled,点中修改启动类型,点设置):

[63C701E2 / 63C701E2]    <C:\WINDOWS\System32\38418C3A.EXE -k>
[Remote Help Session Manager / Rasautol]    <C:\WINDOWS\System32\ntsokele.exe>
[Networ VSA / Visual VSA WEB]    <C:\WINDOWS\System32\wniapsvr.exe -Run>

将以下驱动程序删除:(使用SREng操作)
方法:SREng-启动项目->服务-驱动程序中"选中"隐藏已认证的微软项目"然后删除下面名称的驱动程序(选中有问题的驱动后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)(不能删除就禁用:启动类型改为disabled,点中修改启动类型,点设置):

[Netgroup Packet Filter / NPF]    <system32\drivers\npf.sys>

重启以后

使用强制删除工具(禁止进程创建)
Unlocker      下载地址:http://www.crsky.com/soft/5890.html          或者
PowerRMV      下载地址:http://dl.filseclab.com/down/powerrmv.zip    或者
冰刃IceSword  下载地址:http://www.crsky.com/soft/6947.html     或者
金山反间谍

删除以下文件:

c:\windows\system32\38418c3a.exe
c:\windows\system32\ntsokele.exe
c:\windows\system32\wniapsvr.exe
c:\windows\system32\drivers\npf.sys

删除前麻烦备份





顶部
zyqttj_1234
中级会员
Rank: 4



UID 30035
精华 0
积分 152
帖子 540
威望 152
现金 286 币币
存款 709 币币
阅读权限 4
注册 2007-6-6
来自 安徽
状态 离线
#5
 
发表于 2007-10-11 20:17  资料  个人空间  短消息  加为好友  QQ
谢谢两位的帮助,回家又仔细看了一下,发现我中原来是个木马
它的启动是这样的
第一在其他文件下生成 一个随机的8位.exe文件,
第二服务中生成一个服务,
第三在系统启动初期.exe文件施放一个.dll文件也就是服务文件
这样的话,就是强行删除,或在安全模式下删除.dll文件
在下次正常启动系统时,这三个步骤又会重复
特别是在.exe施放.dll文件时,系统还没完全启动,没有人会开“任务管理器”,完全启动后再任务管理器,什么也看不到了,他隐藏了

另外,我查看了一下启动选项,并没有发现恶意启动选项,那么这个.exe文件到底是怎么启动的(我晕了,没弄清)





尊重他人,就是尊重自己  随风飘
顶部
caozhihui (空空空空空空)
版主
Rank: 10Rank: 10Rank: 10


版主荣耀  
UID 36427
精华 1
积分 497
帖子 770
威望 487
现金 663 币币
存款 430 币币
阅读权限 10
注册 2007-7-25
来自 黑蝙蝠
状态 离线
#6
 
发表于 2007-10-12 11:43  资料  个人空间  短消息  加为好友  QQ
病毒可能被隐藏了!
用WINRAR软件可以查看隐藏文件!!





本论坛发帖可获得QQ会员`三砖!请各位IT朋友加入!
论坛地址:www.myitbbs.cn
顶部
 

 
 
当前时区 GMT+8, 现在时间是 2008-12-3 14:29 清除 Cookies - 联系我们 - 计算机之家™ - Archiver - WAP - TOP
设为主页 |  本页地址 |  收藏本页 |  用户协议
Processed in 0.012346 second(s), 8 queries , Gzip enabled
[粤ICP备05135749号] Powered by Discuz! 5.5.0  © 2001-2008 Comsenz Inc.
本站法律顾问:ItLaw-庄毅雄律师  Designed by Deepseath.