小黄
新手上路
积分 42
发帖 42
注册 2006-10-26
|
#1 请问rising.exe是什么病毒?
请问rising.exe是什么病毒?
| |
※ ※ ※ 本文纯属【小黄】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
 |
|
2007-5-1 12:08 |
|
hnjiyulong
新手上路
积分 21
发帖 21
注册 2007-5-1
|
#2
开始流窜rising.exe 和autorun.inf 这两个怪异文件,它们分布在分区根目录, 与前不久的<熊猫毒>相差不差的,但比较难处理.
1、首先,点重启按F8进入安全模式。打开 windows资源管理器,依次点工具-文件夹选项-查看,选上“显示所有文件和文件夹”和“显示系统文件夹的内容”;去掉“隐藏已知文件类型的扩展名”和“隐藏受保护的操作系统文件”前面的对钩。
提示:在照上面设置后仍然找不到下面指出的病毒文件,或照上面设置失败,请不要关闭资源管理器,打开winrar或冰刃,用winrar或冰刃查找病毒文件。如果还是找不到,可以确定文件不存在。如果能找到,请使用冰刃,点文件(菜单里的)-设置-禁止进线程创建,然后右键点文件,删除,再回资源管理器,在原文件位置建立和病毒文件同名的带扩展名的文件夹免疫。
4、使用费尔强制删除工具,删除以下文件,删除后重建的可以选上抑制文件再次生成后删除。
C:\WINDOWS\system32\FB000E3A.DLL
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\system32\cmdbcsg.dll
C:\DOCUME~1\new\LOCALS~1\Temp\upxdwnd.dll
C:\WINDOWS\system32\FB000E3A.EXE
<C:\WINDOWS\winform.exe>
<C:\WINDOWS\mppds.exe>
<C:\WINDOWS\msccrt.exe>
<C:\WINDOWS\cmdbcsg.exe>
<C:\DOCUME~1\new\LOCALS~1\Temp\upxdwnd.exe>
C:\Autorun.inf
C:\rising.exe
D:\Autorun.inf
D:\rising.exe
E:\Autorun.inf
E:\rising.exe
删除以下目录:
C:\Syswm1i
删除后在c:盘下建立名字为:“Syswm1i”的空文件,防止以上文件夹再次创建。
6、用sreng-点启动项目-点服务-点win32服务应用程序:将以下项删除:
[FB000E3A / FB000E3A][Stopped/Auto Start]
<C:\WINDOWS\system32\FB000E3A.EXE -service><Microsoft Corporation>
7、用sreng-点启动项目-点注册表: 将以下项的启动删除:
<333><C:\Syswm1i\svchost.exe> []
<winform><C:\WINDOWS\winform.exe> []
<mppds><C:\WINDOWS\mppds.exe> []
<msccrt><C:\WINDOWS\msccrt.exe> []
<cmdbcsg><C:\WINDOWS\cmdbcsg.exe> []
<upxdwnd><C:\DOCUME~1\new\LOCALS~1\Temp\upxdwnd.exe> []
9、用sreng- 点系统修复-浏览器加载项-删除以下内容:
[]
{05fbf39b-2c6b-45e2-8b0d-4e03f37a8dbf} <C:\WINDOWS\system32\45e2cfsb.dll, N/A>
[]
{84d5bfe3-1854-49d9-ae2b-1b294ae19f4f} <C:\WINDOWS\system32\49d9ntos.dll, N/A>
[]
{05FBF39B-2C6B-45E2-8B0D-4E03F37A8DBF} <C:\WINDOWS\system32\45e2cfsb.dll, N/A>
[]
{84D5BFE3-1854-49D9-AE2B-1B294AE19F4F} <C:\WINDOWS\system32\49d9ntos.dll, N/A>
12、删除ie临时文件:点ie图标-选属性,或打开ie浏览器,点工具-internet选项-删除。
删除\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下所有exe和dll文件。
如果以上提到的文件都已处理后,重起到正常模式看看。
建议如下预防方式:
1.disable<全部驱动自播放>
2.disable <禁止指定程序运行>
3.disable <注册表编辑器>和<命令解释文件cmd.com or cmd.exe>
4.kill 这两个病毒文件, 重新建立同名的空文件.
| |
※ ※ ※ 本文纯属【hnjiyulong】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-5-1 15:45 |
|
44463616
新手上路
积分 20
发帖 20
注册 2007-1-25
|
#3 呵呵
估计有人对瑞星不满意了。。制造Rising.exe
| |
※ ※ ※ 本文纯属【44463616】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-5-17 19:10 |
|
lzhdm
新手上路
积分 2
发帖 2
注册 2007-5-18
|
#4
| Quote: | Originally posted by 44463616 at 2007-5-17 19:10:
估计有人对瑞星不满意了。。制造Rising.exe |
|
很有可能
| |
※ ※ ※ 本文纯属【lzhdm】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-5-18 08:11 |
|
初出江湖
新手上路
积分 14
发帖 14
注册 2007-5-16
|
#5
瑞星华而不实,以叫他下岗
| |
※ ※ ※ 本文纯属【初出江湖】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-5-18 10:52 |
|
Legend
超级版主
超级版主
积分 77171
发帖 70170
注册 2005-10-29
|
|
|
2007-5-18 11:34 |
|
shjywxz
注册用户
积分 54
发帖 54
注册 2007-2-11
|
#7
这个微点能杀,今天测试过了
| |
※ ※ ※ 本文纯属【shjywxz】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
珊瑚教育我的家
http://shjyzb.kmip.net |
|
|
|
2007-5-18 18:49 |
|
soood
新手上路
积分 5
发帖 5
注册 2006-9-10
来自 辽宁
|
#8 #8
谁在胡说,本人长期将微点和瑞星混合使用,效果不错.所谓各有所长,让微点去杀rising.exe.你不是想给微点制造混乱,就是拍马屁,可笑!
| |
※ ※ ※ 本文纯属【soood】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-5-19 06:39 |
|
deegee
新手上路
积分 5
发帖 5
注册 2007-1-10
|
#9
这个是番茄花园病毒吧!
| |
※ ※ ※ 本文纯属【deegee】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
|
|
|
2007-5-22 23:11 |
|
