가보 해독판

smss.exe 하나만 정상인 경우.

시스템에 둘 이상의 smss.exe 프로세스가 있고 일부 smss.exe 경로가 "WINDIR\SMSS.EXE" 인 경우 trojanclicker.nogar 에 있습니다 바이러스는 레지스트리에 자체 시작 항목을 여러 개 추가하고 시스템 파일 WIN.INI 를 수정하며 [WINDOWS] 항목에 "RUN" = "WINDIR\SMSS.EXE" 를 추가합니다. 수동으로 지울 때 바이러스 프로세스인 smss.exe 를 종료하고 WINDIR 에서 smss.exe 파일을 삭제합니다. 그런 다음 레지스트리와 WIN.INI 파일에서 관련 항목을 지우면

--------

설명: 이 프로세스는 세션 관리 하위 시스템에 대한 시스템 변수를 초기화하는 데 사용됩니다. MS-DOS 드라이브 이름은 LPT1 및 COM 과 유사하며 Win32 셸 하위 시스템을 호출하고 Windows 로그인 프로세스에서 실행됩니다.

소개: 사용자 세션 시작을 담당하는 세션 관리 하위 시스템입니다. 이 프로세스는 시스템 프로세스를 통해 초기화되며 이미 실행 중인 Winlogon, Win32( Csrss.exe) 스레드 및 설정된 시스템 변수를 포함한 많은 활동에 반영됩니다. 이러한 프로세스를 시작하면 Winlogon 또는 Csrss 가 종료될 때까지 기다립니다. 이러한 과정이 정상적이라면 시스템이 꺼집니다. Smss.exe 는 예상치 못한 일이 발생할 경우 시스템 응답을 중지 (일시 중지) 합니다.

--------------- 사용자 세션 시작을 담당하는 세션 관리 하위 시스템입니다. 이 프로세스는 시스템 프로세스를 통해 초기화되며 이미 실행 중인 Winlogon, Win32( Csrss.exe) 스레드 및 설정된 시스템 변수를 포함한 많은 활동에 반영됩니다. 이러한 프로세스를 시작하면 Winlogon 또는 Csrss 가 종료될 때까지 기다립니다. 이러한 과정이 정상적이라면 시스템이 꺼집니다. Smss.exe 는 예상치 못한 일이 발생할 경우 시스템 응답을 중지 (일시 중지) 합니다. 참고: 시스템에 둘 이상의 smss.exe 프로세스가 있고 일부 smss.exe 경로가 "WINDIR\SMSS.EXE" 인 경우 바이러스나 트로이 목마에 걸렸을 수 있습니다.

정리 방법:

1. Procexp.exe 및 SREng 실행

2. ProceXP 를 사용하여 windows 종료

4. 파일 및 시작프로그램 항목을 삭제할 수 있습니다 ...

삭제할 목록은 _spi.dll 주입 프로세스 실행을 참조하십시오.

안전 수준 (0-5): 0 (n/a 위험 없음 5 가장 위험)

트레이 소프트웨어: 예

광고 소프트웨어:;

액세스 사용: 예

인터넷 액세스: 아니오

설명: 시스템에 smss.exe 프로세스가 두 개 이상 있고 일부 smss.exe 경로가 www 에 있는 경우 바이러스는 레지스트리에 자체 시작 항목을 여러 개 추가하고 시스템 파일 WIN.INI 를 수정하며 [WINDOWS] 항목에 "RUN" = "WINDIR\SMSS.EXE" 를 추가합니다. 수동 정리 시 바이러스 프로세스 smss.exe 를 종료하고 Windows 디렉토리에서 smss.exe 파일을 삭제한 다음 레지스트리 및 WIN.INI 파일에서 관련 항목을 지우면 됩니다.

순수 수동 살인 트로이 목마 csrss.exe

참고: csrss.exe 프로세스는 시스템 프로세스에 속하며, 여기에 언급된 트로이 목마 csrss.exe 는 트로이 목마가 시스템 프로세스로 위장한

요 며칠 또 작업 관리자에 이 rundll32.exe 와 csrss.exe 의 프로세스가 더 많다는 것을 발견했다. 시스템 프로세스와는 달리, 사용자가 Administrator 이고, SYSTEM 이 아닌 내가 로그인한 사용자 이름이며, 그 이름은 소문자이고, system 이 시작한 프로세스는 모두 대문자 RUNDLL32.EXE 와 CSRSS.EXE 입니다.

그런 다음 F3 키를 눌러 리소스 관리자의 검색 기능을 사용하여 csrss.exe 를 찾습니다. 과연 c: \ windows 에서는 52736 바이트로 12 월 9 일 12 시 37 분에 생성되었습니다. 실제 csrss.exe 는 4k 에 불과하며 생성 시간은 2003 년 3 월 27 일 12 시, c: \ windows \ syetem32 에 있습니다.

그래서 슈퍼 무적의 UltraEdit 로 열어 kavscr.exe, mailmonitor 와 같은 문자가 들어 있는 것을 발견했습니다. 이들은 모두 금산 독패의 프로세스 이름입니다. 문자 앞의 몇 줄에는 SelfProtect 문자가 있습니다. 자기 보호와 바이러스 백신 소프트웨어 관련 프로그램은 바이러스가 아니면 목마다. 꺼져!

작업 관리자를 사용하여 csrss.exe 프로세스를 종료하려는 시도가 실패했습니다. 이를 시스템 핵심 프로세스라고 합니다. 고급 레지스트리 제거 [HKEY _ local _ machine \ software \ Microsoft \ windows \ currentversion \ run] 및 v [runserver]

그런 다음 관련 파일을 찾습니다.

여전히 시스템 검색 기능을 사용하여 12 월 9 일에 생성된 모든 파일을 찾고 12: 37 분에 생성된 csrss.exe, rundll32.exe, kavsrc.exe 를 볼 수 있지만 kavsrc.exe 의 아이콘도 98 아래의 메모장 아이콘입니다 이후 12 시 38 분에

@ echo off

debug c: \ Tmp.out

copy c: ₩ docume ~ 1 ₩ admin I ~ 1 ₩ locals ~ 1 ₩ temp ₩ tmp.dat C. C: \ docume ~ 1 \ admin I ~ 1 \ locals ~ 1 \ temp \ tmp.out

delc: \ docume C: \ docume ~ 1 \ admin I ~ 1 \ locals ~ 1 \ temp \ tmp.out

delc: \ docume C: \ docume ~ 1 \ admin I ~ 1 \ locals ~ 1 \ temp \ tmp.out

c: \ windows

조립은 약 1 분 동안 진행되어 12: 39 에 netstart.exe, WinSocks.dll, netserv.exe 및 0 바이트 tmp.out 파일이 생성되었습니다. Netstart.exe 크기는 117786 바이트이고 다른 두 크기도 52736 바이트입니다. 처음 두 개는 c: \ windows \ system32 아래에 있고 마지막 두 개는 현재 사용자의 Temp 폴더에 있습니다.

이렇게 하면 왜 내 시스템에 감염이 없는지 알 수 있다. Netstart.exe 는 작업 관리자에서 본 적이 없기 때문에 계속 실행되고 있지 않습니다. 이 파일들을 모두 삭제하는 방법은 winrar 로 압축하고 완료 후 원본 파일을 삭제하는 것입니다. 그런 다음 rar 파일 주석에 설명을 하고, 폴더에 넣어 나중에 연구할 수 있도록 남겨두는 것입니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 예술명언) 이 교도소는 모두 나의 전리품이지만, 아직 매우 적다.

이제 트로이 목마가 제거되었습니다. 검색 엔진을 사용하여 csrss.exe 에 대한 내용을 찾아보니 QQ 바이러스, 전설적인 도적목마, 시나 게임 바이러스가 많이 나왔지만 파일 크기는 내 것과 다르다. Netstart.exe 를 검색하면 일본어 사이트 결과가 하나밖에 없고 목마이기도 합니다.

이 바이러스는 어떻게 내 컴퓨터에 들어왔습니까? 검색 결과 12 월 9 일 12 시 36 분에 바로 가기 dos71cd.zip 이라는 바로 가기가 만들어졌는데, 이는 내가 그날 한 사이트에서 다운로드한 DOS7.11 부팅 디스크였으나 당시 다운로드에 실패했습니다. 지금 보기에는 전혀 실패가 아닌 것 같습니다. 이 사이트의 링크가 원래 웹 페이지 주입 프로그램이어서 클릭 후 바이러스를 직접 다운로드했기 때문입니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 실패명언)

lsass.exe 는 바이러스

services.exe 바이러스 Win32.troj.QQDragon.bl 솔루션

"services" = "windows \ services.exe"

Runservices]

"services" = "windows ₩ services.exe"

[HKEY _] Windows]

"run" = "windows ₩ services.exe"

[HKEY _ local \ Services.exe "

[HKEY _ local _ machine \ software \ Microsoft \ windows \ currer 일반적으로 CD

정상적인 winlogon 시스템 프로세스이며 사용자 이름은' SYSTEM' 프로그램 이름이 소문자 winlogon.exe 입니다.

이 프로세스로 위장한 트로이 목마 프로그램의 사용자 이름은 현재 시스템 사용자 이름이며 프로그램 이름은 대문자 WINLOGON.exe 입니다.

프로세스 보기 기준 ctrl+alt+del 을 누른 다음 프로세스를 선택합니다. 일반적으로 사용자 이름이 "SYSTEM" 인 winlogon.exe 프로세스가 하나만 있습니다. 두 개의 winlogon.exe 가 있는데 그 중 하나가 대문자이고 사용자 이름이 현재 시스템 사용자라면 트로이 목마가 있을 수 있습니다.

이 목마는 매우 강력해서 트로이 목마 천적을 파괴하여 제대로 작동하지 못하게 할 수 있다. 현재 나는 다른 바이러스 백신 소프트웨어를 사용해서 찾아내지 못했다.

그 WINDOWS 아래의 WINLOGON.EXE 는 확실히 바이러스이지만, 그녀는 이 바이러스의 작은 캐릭터에 지나지 않는다. D 디스크를 열어 pagefile 의 DOS 가 파일과 autorun.inf 파일을 가리키고 있는지 보자. 프로그램을 실행하거나 D 디스크를 두 번 클릭하여 열면 다시 설치됩니다. 허허, 그동안 많은 사람들이 도둑맞은 것은 이 해독된 가보 때문에, 그리고 바이러스 백신 소프트웨어를 찾을 수 없었고, 어떤 사람이 이 바이러스를' 눈' 이라고 부르는 것은 전설의 세계를 전문적으로 훔치는 목마다. QQ 와 같은 다른 계좌를 훔칠 수 있을지는 몰라도, 인터넷 은은 그녀를 보고 기뻐했다. ㅋㅋㅋㅋㅋ

독을 두려워하지 않고 손실을 줄이는 가장 좋은 방법은 방화벽을 열어 자신이 신뢰하는 몇 가지 일반적인 임무를 제외하고 외출하는 것을 막는 것입니다. 물론 모두 가능한 한 빨리 백업한 다음 바이러스 백신

를 폐쇄하는 것이 좋습니다. 방신 등 수정된 51pywg 가보, 그들이 해독한 다른 모든 플러그인, 이번 혐의가 가장 큰 것은 51PYWG 이며, 다른 협력사이트도 도망칠 것으로 예상됩니다 이미 여러 차례 사이트에 목마를 넣은 것으로 확인되었다. 비록 그가 해킹되었다고 설명했지만, 다른 가능성을 배제할 수는 없다. 특히 시작 후 사이트에 연결된 플러그인을 특별히 조심하고, 스타터 자체를 배제하지 않으면 독이 된다. 어차피 한 마디로, 이런 시작은 한 사이트에 연결된 크래킹 소프트웨어를 가장 쉽게 해독할 수 있다. 언제 넣을 것인지, 어떻게 할 것인지, 예를 들면, 하루에 몇 시간씩 넣으면 그가 얼마나 시원한가에 따라 달라진다. (윌리엄 셰익스피어, 햄릿, 독서명언) 맹맹맹은 아직 말을 놓거나 자기가 놓아두는 것을 발견하지 못한 것 같지만, 최근 전설의 세계전설 N 여명이 도적되어 이 사이트들을 직접 가리키는데, 다음은 최근 특히 독이 된 WINLOGON.EXE 도적호 바이러스 제거 방법입니다. 이 가짜 WINLOGON.EXE 는 WINDOWS 에 있습니다. (윌리엄 셰익스피어, Winlogon.exe, Windows, Winlogon.exe, Windows) 진행과정에서 현재 사용자나 ADMINISTRATOR 로 표현된 또 다른 SYSTEM 의 winlogon.exe 는 정상입니다. 그건 절대 함부로 삭제하지 마세요. 잘 보세요. 앞부분은 대문자이고, 뒤는 소문자이고, 일부 네티즌은 이 파일 연결 목적지가 하남이라는 것을 확인했습니다.

"폭설" 바이러스 해결 방법

증상: d 디스크를 두 번 클릭하여 열 수 없습니다. autorun.inf 및 pagefile.com 파일

D 디스크에는 두 개가 있어 D 디스크를 두 번 클릭하여 열 수 없습니다. CD 에 접시가 많이 들어 있어요!

d: ₩ autorun.inf

d: ₩ pagefile.com

c: ₩ Iexplore.com

c: \ windows \ 1.com

c: \ windows \ iexplore > 빨간색 아이콘에는 전설적인 세계 아이콘이 있음)

c: \ windows \ debug \ * * * * programme.exe

c: \ windows \ system32 \ msconfig.com

c: \ windows \ systems Rundll32.com

c: \ windows \ system32 \ finder.com

c: \ windl32.com WINLOGON.EXE! 이렇게 많은 일을 한 목적은 그녀를 죽이는 것이다! ! !

c: \ windows \ winlogon.exe

이것은 프로세스에서 볼 수 있습니다. 두 가지가 있습니다. 하나는 진짜이고 하나는 거짓입니다.

는 정말 소문자 WINLOGON.EXE, (당신들이 아닌지 모르겠다), 사용자 이름은 SYSTEM,

, 가짜는 대문자 winlogon.exe, 사용자 이름은 당신입니다

이 파일은 진행 중에 중단할 수 없습니다. 핵심 프로세스를 중단할 수 없고, 진짜처럼 만들 수 있다고 합니다! 안전 모드에서도

당신의 과정에 있을 것입니다! 제가 지금 알고 있는 것은 이것뿐입니다. 만약 안심하지 않는다면, 그 중 한 파일의 수정 날짜를 보고' 검색' 을 사용하여 이날 수정된 파일을 검색하는 것이 좋을 것입니다. 같은 시간에 분명히 한 무더기가 나올 것입니다. 시스템 복원 클립에도 있습니다. (데이비드 아셀, Northern Exposure (미국 TV 드라마), 컴퓨터명언) ! 이 파일들은 스스로 연결될 것입니다. 만약 당신이 일부를 삭제하고, 실수로 하나를 실행하거나, 시작-실행에서 msocnfig, command, regedit 명령을 실행하면, 이 모든 파일들은 스스로 보충됩니다!

이 파일들을 알고, 먼저 닫을 수 있는 모든 프로그램을 닫고, 프로그램 액세서리 안에 있는 WINDOWS 탐색기를 열고, 위 도구의 폴더 옵션 안에 있는 보기에서 모든 파일과 파일 가짜 표시를 설정하고, 보호된 운영 체제 파일을 숨김 해제한 다음 시작 메뉴 실행을 열고, 명령 regedit 을 입력하여 레지스트리로 들어갑니다

HKEY _ local _ machine \ software \ Microsoft \ windows \ currentversion \ run < 까지 !

그런 다음 로그아웃합니다! 시스템에 다시 들어간 후 작업 관리자를 열고 rundll32 가 있는지 확인합니다. 어떤 말은 먼저 중단되었습니다. 이것이 사실인지 거짓인지 알 수 없습니다. 조심하세요. D 디스크로 이동 (두 번 클릭하여 들어가지 않도록 주의! 그렇지 않으면 이 바이러스가 다시 활성화될 것이다.) 마우스 오른쪽 버튼을 클릭하고' 열기' 를 선택하여 autorun.inf 와 pagefile.com 을 삭제하고,

< P > 를 다시 CD 로 가서 위에 나열된 파일을 모두 삭제해라! 중간에 파일 중 하나를 두 번 클릭하지 않도록 주의하십시오. 그렇지 않으면 모든 단계가 다시 시작됩니다! 그런 다음 로그아웃합니다.

내가 분투하는 동안 그 파일들을 삭제하면 모든 exe 파일이 열리지 않고 cmd 를 실행해도 안 된다.

그런 다음 c: \ windows \ system32 로 cmd.exe 파일을 복사합니다. 예를 들어 바탕 화면으로, cmd.COM 으로 이름을 바꿉니다. 나도 com 파일을 사용하고 com 파일을 두 번 클릭합니다

assoc.exe = exefile (assoc 와. exe 사이에 공백 있음)

file 명령을 다시 입력합니다 명령을 내리지 않으면 CMD.COM 을 열고 위 두 줄을 복사하여 두 번 붙여 넣기만 하면 됩니다.

하지만 이 작업을 마치면 전원을 켤 때 사용자가 좀 느려지고 파일 "1" 을 찾을 수 없다는 경고 상자가 나타납니다. (Windows 에서 1.com 파일이어야 합니다. ), 마지막으로 인터넷 지원 같은 소프트웨어를 사용하여 IE 설정

< P > 마지막으로 전원을 어떻게 해결할지, 파일' 1.com' 을 찾을 수 없는 방법:

< P > 실행기에서' regedit' 를 실행하여 엽니다. CurrentVersion\Winlogon] 의

에서 "Shell"="Explorer.exe 1" 을 "shell" = "exe1" 로 복원합니다 여러분 공유해 주세요!

WINLOGiN.EXE 의 경우 바이러스, 일반적으로 c:/windows 아래에 있어야 하며, 아이콘은 상당히 다릅니다 ~ ~ 수동으로 삭제할 수 있습니다. 같은 폴더 아래에 다른 파일의 관련 아이콘이 있는 것처럼 함께 삭제해야 합니다. 그렇지 않으면 WINLOGON.EXE 를 삭제하면 재부팅 후 자동으로 생성되고 정상적인 시스템 프로세스인 winlogon.exe 가 c:/windows/system32 아래에 있습니다.

바이러스 프로세스는 winlogin.exe 이고 winlogon.exe 입니다 !

winlogon-winlogon.exe-프로세스 정보

프로세스 파일: winlogon 또는 winlogon.exe