廣告廣告
  加入我的最愛 設為首頁 風格修改
首頁 首尾
 手機版   訂閱   地圖  簡體 
您是第 5080 個閱讀者
 
<<   1   2  下頁 >>(共 2 頁)
發表文章 發表投票 回覆文章
  可列印版   加為IE收藏   收藏主題   上一主題 | 下一主題   
jessengirl 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x7
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片
推文 x0
[問題討論] 有人會解 wnso.exe 嗎?
試了很多次 用不同的軟件及人手刪除這軟件及連帶的檔案, 可惜刪除後不到一秒就自動重生. 已從安全模式中進行, 一樣無效. 一般防毒軟件對它已經失效了( 我用的是 NORTON 2005, 經常 UPDATE 的 ). 現想知他的種子在那和怎根除, 請知道的高手賜教, 謝謝.
[jessengirl] 鼻子一酸,開始叭嗒叭嗒掉眼淚了
動作


冬天到了,冷死我了,誰人好心送我名貴樹葉一塊?
http://www2.meoow.net/index.php
獻花 x0 回到頂端 [樓 主] From:臺灣中華寬頻網 | Posted:2006-12-10 02:38 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

此是一隻木馬病毒 來源處應該是 大陸對岸 台灣目前較少人反應
不過大部份的防毒軟體 本來就對木馬.間諜等程式較無解除功能
大部份的木馬 都需要另外尋求解木馬軟體 如: AD-AWARE 等
此毒很難纏 目前尚無好軟體可用 但可以先試試 AD-AWARE
另外有手動刪除的方法
http://bbs.mychat.to/read.php?fid=254&tid=588735&page=1#a

PS: 大大可否將此毒 壓縮傳檔上來 小弟想研究一下 謝謝


爸爸 你一路好走
獻花 x0 回到頂端 [1 樓] From:臺灣 | Posted:2006-12-10 10:24 |
jessengirl 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x7
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

先謝謝 upside
我也很想將這個毒傳給你看
但據我所努力過刪除的檔案中, 仍找不出源頭
我應該給你那些檔才對?
我已知的檔案包括了一些執行蕩和數個 .dll 檔
這些足夠嗎?

***重點是它會重生, 所以我幸定我尚未找到它的源頭

待覆, 感恩!~~~


冬天到了,冷死我了,誰人好心送我名貴樹葉一塊?
http://www2.meoow.net/index.php
獻花 x0 回到頂端 [2 樓] From:香港網上行 | Posted:2006-12-10 16:20 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用jessengirl於2006-12-10 16:20發表的 :
我也很想將這個毒傳給你看
但據我所努力過刪除的檔案中, 仍找不出源頭
我應該給你那些檔才對?
我已知的檔案包括了一些執行蕩和數個 .dll 檔
這些足夠嗎?

***重點是它會重生, 所以我幸定我尚未找到它的源頭
.......
上面的連結裡面就有解除的方法
但可以先把 WNSO.EXE 傳給我就可以了
就附件上傳 我抓完馬上刪除


爸爸 你一路好走
獻花 x1 回到頂端 [3 樓] From:臺灣 | Posted:2006-12-10 16:22 |
jessengirl 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x7
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

可以的 請等我5分鐘 再謝謝你哦


冬天到了,冷死我了,誰人好心送我名貴樹葉一塊?
http://www2.meoow.net/index.php
獻花 x0 回到頂端 [4 樓] From:香港網上行 | Posted:2006-12-10 16:28 |
jessengirl 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x7
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

內附一套我覺得有問題的檔
你要小心哦
收到請留言
我去刪掉它


冬天到了,冷死我了,誰人好心送我名貴樹葉一塊?
http://www2.meoow.net/index.php
獻花 x0 回到頂端 [5 樓] From:香港網上行 | Posted:2006-12-10 16:32 |
jessengirl 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x7
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

大大:

' ...... 我刪除的鍵值如下:HKLM/software/sepcompu (全部刪除)
         HKLM/System/currentcontrolset/services/front
HKLM/System/currentcontrolset/services/roreg
HKLM/System/controlset001(002,003中也有相同內容)/enum/root/legacy_front
HKLM/System/controlset001(002,003中也有相同內容)//enum/root/legacy_roreg
再用注冊表查詢的方式查詢下wnso,找到後刪除.... '

上文中, 我不明白 HKLM 的位置, 可以說清楚一點嗎, 我就是找不到這個, 其他都能找到, 謝謝!



冬天到了,冷死我了,誰人好心送我名貴樹葉一塊?
http://www2.meoow.net/index.php
獻花 x0 回到頂端 [6 樓] From:香港網上行 | Posted:2006-12-10 16:53 |
upside 手機 葫蘆墩家族
個人頭像
個人文章 個人相簿 個人日記 個人地圖
特殊貢獻獎 社區建設獎 優秀管理員勳章
頭銜:反病毒 反詐騙 反虐犬   反病毒 反詐騙 反虐犬  
版主
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

那一篇文章是從處轉出 所以他們的登錄檔資料 可能與我們不同
應該是 HKEY 才對 其他不變


爸爸 你一路好走
獻花 x0 回到頂端 [7 樓] From:臺灣 | Posted:2006-12-10 19:00 |
jessengirl 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x7
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

下面是引用upside於2006-12-10 19:00發表的 :
那一篇文章是從處轉出 所以他們的登錄檔資料 可能與我們不同
應該是 HKEY 才對 其他不變

我剛找到了 要是我沒猜錯
是在 HKEY_L0CAL_MACHINE
所以簡稱 HKLM ?

(努力中)



冬天到了,冷死我了,誰人好心送我名貴樹葉一塊?
http://www2.meoow.net/index.php
獻花 x1 回到頂端 [8 樓] From:香港網上行 | Posted:2006-12-10 19:32 |
jessengirl 手機
數位造型
個人文章 個人相簿 個人日記 個人地圖
小人物
級別: 小人物 該用戶目前不上站
推文 x0 鮮花 x7
分享: 轉寄此文章 Facebook Plurk Twitter 複製連結到剪貼簿 轉換為繁體 轉換為簡體 載入圖片

經過一番努力,有如下結果:

使用工具:
ICEWORD2.0 (不一定用的著,而且軟件以簡體字寫成,很有機會出現不同程度的亂碼)
unlocker (不一定用的著,但用法非常簡易)

操作地點:正常狀態(不想進安全模式)
方法:
1、在注冊表中刪除相關項目,搜索wnso,rggzs,front,roreg,選項,front的刪除時注意一下,有的不是。在注冊表中不能刪除的請使用ICEWORD工具來刪除。 (註冊表內的東西在正常狀態下就能刪掉,反而進入安全模式下刪不掉 )

我刪除的鍵值如下:
HKLM/software/sepcompu (全部刪除)
HKLM/System/currentcontrolset/services/front
HKLM/System/currentcontrolset/services/roreg
HKLM/System/controlset001(002,003中也有相同內容)/enum/root/legacy_front
HKLM/System/controlset001(002,003中也有相同內容)//enum/root/legacy_roreg
(HKLM 即 HKEY_LOCAL_MACHINE,此處刪除過程中沒太大問題,遇有不能刪的,只要右擊改權限成為允許再按確定,便能刪掉)

再用注冊表查詢的方式查詢下wnso,找到後刪除。
( 在 REGEDIT 內找到 wnso.lnk )

2、先打開unlocker,然後刪除windows/system32/drivers/下roreg.sys和front.sys兩個文件,如不能刪除,用unlocker和係統解鎖後刪除gprs5.com。
(此處輕易刪掉)

3、刪除c:\document and setting\all user\application data\下startup目錄,不能刪除用unlocker解鎖後刪除。
(此處找到一個不知名的檔夾,已整個刪掉)

4、刪除c:\document and setting\administrator\templates\下有個目錄,裏面有a.dll,b.exe,c.dll,d.dll的目錄, (此處亦輕易刪掉,不需執行下一步)
- 不能刪除可以禁止掉rundll32.exe進程,或是用unlocker解鎖,然後刪除cdnup.exe清除方法

5、刪除c:\program files\common file\rggzs目錄, (此處亦輕易刪掉,不需使用 unlocker)
- 開了unlocker之後,可解鎖刪除

6\、刪除開始中的wnso.lnk. (此檔找不到,但剛才在 regedit 中已刪了一個,不知有沒關連)

7\在注冊表中再查找一次wnso,刪除後搞定 (已刪所有含 wnso 的東西 )

結果: 重登後,RGGZS夾連其他小檔仍然跑出來,看來尚未能鎖定種子檔



冬天到了,冷死我了,誰人好心送我名貴樹葉一塊?
http://www2.meoow.net/index.php
獻花 x0 回到頂端 [9 樓] From:香港網上行 | Posted:2006-12-11 00:02 |

<<   1   2  下頁 >>(共 2 頁)
首頁  發表文章 發表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind
Processed in 0.058377 second(s),query:16 Gzip disabled
本站由 瀛睿律師事務所 擔任常年法律顧問 | 免責聲明 | 本網站已依台灣網站內容分級規定處理 | 連絡我們 | 訪客留言