爱问知识人 爱问教育 医院库

十万火急,我是不是被人控制了系统?

搜索
我要提问
首页
电脑/网络
反病毒

十万火急,我是不是被人控制了系统?

昨天我接收了一个人的文件,被木马克星提示怀疑是灰鸽子木马,已被我用黄山收复删了,但我刚才开机时木马克星提示:
发现新建立系统服务:WS2IFSL Windows 套接字 2 .0 Non-IFS 服务提供程序支持环境 文件名称:\SystemRoot\System32\drivers\ s
            这是为什么呀??

俊***
回答
提交回答
好评回答
  • 2005-12-24 18:08:56 
    手工查杀灰鸽子的关键是找到病毒注册的系统服务名及病毒文件X.exe所在位置。
用HijackThis 1.99.0扫日志即可达到此目的(百度一下即可找到),多为GrayPigeonServer”,
如果不清楚,可以上传扫描文件.
确定并记下病毒服务名称后,即可重启系统至安全模式,打开注册表编辑器,定位
到HKEY_LOCAL_MACHINE\\ SYSTEM\\ CURRENT CONTROLSET\\ SERVICES \\ 病毒服务
名称(如:“GrayPigeonServer”),将其删除。
在“安全模式”下,在“文件夹选项”的“查看”面板中勾选“显示系统文件夹内容”、
“显示所有文件及文件夹”两个选项,按“确定”按钮。根据HijackThis日志中提示的病毒文
件所在路径,找到病毒文件,删除之。重启系统,手工杀毒即告完成。

    金***

    2005-12-24 18:08:56

    70 9 评论
    分享
    提交评论

其他答案

    2005-12-22 22:37:58 
  •   Trojan。Riler。E病毒警报
更新时间:2005-07-11 15:42:59 
病毒名称:Trojan。Riler。E 
病毒发现日期:7月7日
发现变种日期:7月8日
性质:木马
大小:83781字节
感染平台:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
危害度:低
感染力:低
危害症状:
在系统文件夹(system或者system32)生成以下文件
porder。
      dll
winmedl。dll
WinSSi。exe
comysrmdrt。dll
在以下注册表创造服务:WS2IFSL
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WS2IFSL 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ENUM\ROOT\LEGACY_Ws2IFSL 
在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows 增加键值:"AppInit_Dlls"="comysrmdrt。
      dll"
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock 2 \Parameters\Protocol_Catalog9\Catalog_Entries\000000[两个任意数字]增加键值:"PackedCatalogItem"="系统文件夹名称\comysrmdrt。
      dll" 
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows增加键值:"DisplayLog"="1" 
打开一个后门,连接到 
病毒处理:
运行注册表编辑器
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下的"AppInit_Dlls" = "comysrmdrt。
      dll"
删除该项注册条目:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WS2IFSL 
HKEY_LOCAL_MACHINE\System\CurrentControlSet\ENUM\ROOT\LEGACY_Ws2IFSL 
找到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000[Two random digits]双击"PackedCatalogItem"
删除原值并根据自己的系统类型替换为:
Windows 2000: "%SystemRoot%\system32\msafd。
      dll"
Windows XP: "%SystemRoot%\system32\mswsock。dll" 
删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows下的"DisplayLog"="1"
。
      

    滔***

    2005-12-22 22:37:58

    58 12 评论
    分享
    提交评论
展开更多答案

类似问题

换一换

  • 反病毒 相关知识

  • 电脑网络技术
  • 电脑网络

相关推荐

正在加载...
最新问答 推荐信息 热门专题 热点推荐
  • 1-20
  • 21-40
  • 41-60
  • 61-80
  • 81-100
  • 101-120
  • 121-140
  • 141-160
  • 161-180
  • 181-200
  • 1-20
  • 21-40
  • 41-60
  • 61-80
  • 81-100
  • 101-120
  • 121-140
  • 141-160
  • 161-180
  • 181-200
  • 1-20
  • 21-40
  • 41-60
  • 61-80
  • 81-100
  • 101-120
  • 121-140
  • 141-160
  • 161-180
  • 181-200
  • 1-20
  • 21-40
  • 41-60
  • 61-80
  • 81-100
  • 101-120
  • 121-140
  • 141-160
  • 161-180
  • 181-200

热点检索

  • 1-20
  • 21-40
  • 41-60
  • 61-80
  • 81-100
  • 101-120
  • 121-140
  • 141-160
  • 161-180
  • 181-200
问题大全
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9
主题大全
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9
关于我们 爱问协议 帮助中心

Copyright © 1996-2019 IASK Corporation, All Rights Reserved

返回
顶部
帮助 意见
反馈

确定举报此问题

举报原因(必选):

放弃 确定报告