我来我网
https://5come5.cn
 
您尚未 登录  注册 | 菠菜 | 软件站 | 音乐站 | 邮箱1 | 邮箱2 | 风格选择 | 更多 » 
 

本页主题: windows.ext病毒 显示签名 | 打印 | 加为IE收藏 | 收藏主题 | 上一主题 | 下一主题

芙蓉古剑



性别: 帅哥 状态: 该用户目前不在线
等级: 人见人爱
发贴: 2942
威望: 0
浮云: 1136
在线等级:
注册时间: 2006-08-20
最后登陆: 2010-06-04

5come5帮你背单词 [ recite /ri'sait/ vt. & vi. 背诵,朗诵 ]


windows.ext病毒

中了windows.ext病毒
nod32杀不干净
求专杀
顶端 Posted: 2008-05-07 12:54 | [楼 主]
媚俗



性别: 帅哥 状态: 该用户目前不在线
头衔: 走了,不留印记
等级: 荣誉会员
家族: 音道·乐经
发贴: 8683
威望: 3
浮云: 103
在线等级:
注册时间: 2006-10-31
最后登陆: 2024-09-03

5come5帮你背单词 [ weary /'wiəri/ a. 疲倦的,厌倦的,令人厌烦的 ]


试验一下

另外,usbcleaner好像也可以。
附件: Duba_qqmsg.rar (66 K) 下载次数:1

顶端 Posted: 2008-05-07 13:01 | [1 楼]
雪狼王



贝尔诺勋章
性别: 帅哥 状态: 该用户目前不在线
头衔: 打不死的小强
等级: 荣誉会员
家族: 5COME5婚姻介绍所
发贴: 7568
威望: 4
浮云: 446
在线等级:
注册时间: 2005-10-19
最后登陆: 2009-04-30

5come5帮你背单词 [ duck /dΛk/ n. 鸭,鸭肉 ]


Copy code
此病毒也是属于根目录autorun病毒的一种,估计主要由U盘和移动硬盘传播.
此病毒有个最大特点,和其它autorun病毒不同的地方
就是居然没有修改注册表,禁止查看隐藏文件
第一步,杀进程:
windows.ext(源文件在windows 目录下)
病毒进程也是一杀就死,完全不做无谓抵抗
开始以为,作者偷懒。反正只要被发现,肯定会死,懒得做那么多麻烦的双守护什么的了
第二步:删文件
windows.ext 各根目录下autorun.inf msdos.bat
文件也是一杀就死
第三步:检查所有启动项,确保没有病毒加载的途径
第四部:重启
得意中。。。。
重启完毕,当场傻眼。病毒文件全部复活
原来表面的简单其实不简单。
windows.ext到底是谁生成的呢?病毒能加载的途径基本都堵上了啊
这样只能推测是文件性病毒了
最原始的办法,查看文件时间。
仔细一看,原来explorer.exe被修过,时间就是windows.ex最早的生成时间
明白了
重复刚才步骤,从其它电脑复制一个explorer.exe过来
再删掉windows目录,windows/system32目录下附近时间的几个dll和ext文件
重启,ok
baidu搜出来的。。
顶端 Posted: 2008-05-07 13:02 | [2 楼]
joezxd



性别: 帅哥 状态: 该用户目前不在线
头衔: 我的目标是太阳
等级: 人见人爱
家族: 绘里香榭
发贴: 2226
威望: 0
浮云: 1112
在线等级:
注册时间: 2006-10-07
最后登陆: 2019-01-07

5come5帮你背单词 [ twitch // v. & n. 猛拉,抽搐,痉挛 ]


看时间是一个好方法啊
顶端 Posted: 2008-05-07 13:05 | [3 楼]
雪狼王



贝尔诺勋章
性别: 帅哥 状态: 该用户目前不在线
头衔: 打不死的小强
等级: 荣誉会员
家族: 5COME5婚姻介绍所
发贴: 7568
威望: 4
浮云: 446
在线等级:
注册时间: 2005-10-19
最后登陆: 2009-04-30

5come5帮你背单词 [ negative /'negətiv/ a. 否定的,拒绝的,反面的,消极的,阴性的,负的;n. 底片,负数 ]


Copy code
  1、打开任务管理器(ctrl+alt+del或者任务栏右键点击也可),终止所有ravmone.exe的进程
        2、进入c:\windows,删除其中的ravmone.exe
        3、进入c:\windows,运行regedit.exe,在左边依次点开HK_Loacal_Machine\software\Microsoft\windows\CurrentVersion\Run\,在右边可以看到一项数值是c:\windows\ravmone.exe的,把他删除掉
        4、完成后,病毒就被清除了。
顶端 Posted: 2008-05-07 13:06 | [4 楼]
芙蓉古剑



性别: 帅哥 状态: 该用户目前不在线
等级: 人见人爱
发贴: 2942
威望: 0
浮云: 1136
在线等级:
注册时间: 2006-08-20
最后登陆: 2010-06-04

5come5帮你背单词 [ inaugurate /i'no:gjureit/ vt. 为…举行开幕(落成、成立)典礼,为…举行就职典礼,开创,开始 ]


谢谢,我试下看看
顶端 Posted: 2008-05-07 13:16 | [5 楼]
我来我网·5come5 Forum » 电脑F.A.Q.

Total 0.011554(s) query 5, Time now is:11-23 00:18, Gzip enabled
Powered by PHPWind v5.3, Localized by 5come5 Tech Team, 黔ICP备16009856号