可以試試用console registry tool, REG.EXE

再不行就複製登錄檔到別的電腦上修改

[wugen 在  2007-7-11 09:07 AM 作了最後編輯]

使用windows的修復工具 可在dos環境下移除 但是依舊無法完全清除在登陸檔中
的對外連結 導致此病毒一旦上網又再生 dos下有提供編輯登陸檔的程式嗎

去Virustotal掃毒的用意再於可以知道哪一款防毒軟體能夠偵測到病毒

至於Recovery Mode的使用不難.  由XP光碟開機以後按"R"進入..  操作就類似CMD/DOS的介面

應該是直接進安全模式執行刪除, 而不是在正常模式刪了一些才進入安全模式.

如果不想用unlocker, 可以用XP光碟開機進入Recovery Mode然後刪除檔案..

可以把病毒送去http://www.virustotal.com/en/indexx.html 掃看看

目前出現一種病毒 藉由網頁中傳遞 且相當難以清除
病毒主檔名 cgiacgi.dll 位於system32下
附屬執行檔案 tr??????? 位於 system32\drivers
且自動下載其他木馬病毒於system32下
目前測試已知
會變更登陸檔中權限資料 感染系統中正在運行的exe檔
主要存在於 ie 中的附屬程式中 一上網自動執行 或是桌面啟動 active desktop功能者
外掛於winlogon.exe 中 簡單來說就是開機即無法刪除病毒檔案
土法刪除法
winlogon是系統啟動主程式之一 要消除附載於開機中請刪除登陸檔中
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
下的啟動程式 (不要刪錯 系統會死掉)  注意病毒會變更權限 記得按右鍵將權限變更
另外意外掛其他木馬程式於其中 也請謹慎刪除
利用搜尋方式尋找cgiacgi.dll 或 位於drivers中的tr???????
全部移除
使用工具可以採用autoruns工具(微軟出品) 先刪除沒有廠商名稱軟體或是執行程式 (誤殺依然容易造成系統癱瘓)
當無法刪除時 在試試看使用regedit.exe手動搜尋刪除
安裝 unlockers
重新開機
進入安全模式中
依舊利用reg搜尋 清除登陸程式中不該存在的啟動程式
在進入system32中利用unlocker 移除可疑程式 (可以不使用這套工作的人 請說明一下移除方式)
重新開機
一般模式
此時系統中應該還有我沒發現的登陸程式 如果有裝nod32的 應該會發現cgiacgi.dll進行對exe感染
再次利用unlocker刪除 system32 及 system32\drivers\的病毒副本 (應該都是 病毒名稱.bak)
再重新開機
進安全模式
檢查病毒檔名 此時應該就可以利用一般刪除移除 不過建議還是使用unlocker或是進入dos模式下 利用指令移除

7/5
symantec 無法判別
nod32 可攔截 無法移除
病毒檢測
system32\drivers\mjnupvvh.sys        Win32/Delf.NFO 外掛病毒檔
SYSTEM32\CGIACGI.DLL        Win32/Delf.NFR 主病毒
SYSTEM32\cgiacgi.dll.bak        Win32/Delf.NFR 主病毒備檔
其實還有6個是nod32沒有掃出來的
pcc 無法判別 會死當
kb 一樣無法判別

無奈啊..........................
連google跟百度都還沒有此病毒資料

順便求助一下 如何反組譯 exe 及 dll 及 js 檔案   

[mmcatdog 在  2007-7-5 02:16 AM 作了最後編輯]