|
 | 作者: c [c]
 论坛用户 |
登录 |
| 一个启动文件 他在C盘的根目录 他有一个文件夹 文件夹的名字是 "$NtUninstallQ8877565$" 里面有一个证书文件 名字叫 "WINSYS.cer" 我对他非常怀疑 就把他从启动选项里删除了 可是每次从起 都会弹出一个对话框 说找不到这个文件 想问一下 这是系统文件吗? 谢谢  |
| 地主 发表时间: 12/20 11:49 |
 | 回复: fay9771783 [fay9771783] 论坛用户 |
登录 |
|
那是个木马 先手工把这个 C:\$NtuninstallqXXXXXX$ 目录整个删除,这里要注意这个目录的一般并不固定,但它的总体形式一般总是“$NtuninstallqXXXXXX”的形式。如果您在资源管理中看不到也许是因为您的系统没有打开“查看隐藏文件”的设置,请再这样设置一下: 打开“我的电脑” 依次打开菜单“工具/文件夹选项” 然后在弹出的“文件夹选项”对话框中切换到“查看”页 在下面的“高级设置”列表框中改变“不显示隐藏的文件和文件夹”选项为“显示所有文件和文件夹”选项 最后点击“确定” 做了这几步后您再找一下这个形式的目录,如果找到就把它整个删除掉 在“开始/运行”中运行 regedit.exe 命令打开注册表编译器,然后直接 F3 键打开搜索窗口,在中间输入“winsys.cer”并搜索。这样只要在注册表中发现有此内容的您全部把它删除掉,直到搜索完毕找不到有关值。 在未联接到 Internet 的情况下打开IE,并依次打开“工具/Internet选项/删除文件”,然后在弹出的对话框中选中“删除所有脱机内容”选项,然后点击“确定”。做完这一步之后先别着急关闭这个“Internet选项”对话框,请接着按下面的步骤继续做 查看“Internet选项”对话框中“主页”处的地址,如果它不是您自己设置的网站主页或是一个非常陌生的网址则记下这个网址(只记 http:// 之后的内容,可以用鼠标选中后使用 Ctrl+C 键直接复制),然后按照第2步的方法从注册表全部搜索出并删除有关这个网址的注册表键或值 |
| B1层 发表时间: 12/20 15:13 |
| 回复: c [c] 论坛用户 |
登录 |
|
谢谢你的回复 辛苦了 我现在用的是诺顿企业办8.0 杀不了 能介绍几款好一点的杀木马软件吗? 谢谢 |
| B2层 发表时间: 12/20 22:36 |
 | 回复: zintaly [zintaly]  论坛用户 |
登录 |
|
我觉得是个脚本文件。。。启动是加载的文件 |
| B3层 发表时间: 12/20 22:37 |
 | 回复: lho [lho] 论坛用户 |
登录 |
|
杀木马是很麻烦的 |
| B4层 发表时间: 12/20 22:38 |
| 回复: c [c] 论坛用户 |
登录 |
|
能请高手 具体说说吗? 我刚发现 现在重起机器已经没有哪个对话框了 也不要那个文件了 |
| B5层 发表时间: 12/20 22:44 |
| 回复: zintaly [zintaly] 论坛用户 |
登录 |
|
不会的,找到进程,很容易杀的 |
| B6层 发表时间: 12/20 22:44 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 菜鸟乐园 标题: 一个古怪的启动文件求助求助