瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 关于Backdoor.sdbot.kql病毒就没有一个高手可以处理的吗???
东方全败 - 2006-6-21 10:44:00
关于Backdoor.sdbot.kql病毒就没有一个高手可以处理的吗???
杀完了 过几天又出来了 那位高手快来帮帮我呀
谢谢

我在线等
东方全败 - 2006-6-21 10:46:00
自己顶一下 在线等了
谢谢
可以处理的高手可以留下电话 我打 谢谢
东方全败 - 2006-6-21 10:55:00
自己再顶
东方全败 - 2006-6-21 10:55:00
自己再顶
东方全败 - 2006-6-21 11:13:00
自己再顶
edong8109 - 2006-6-21 11:24:00
是木马!
用HijackThis扫描下系统日制,
然后贴出来!!
我的就刚刚解决!!
mopery - 2006-6-21 11:26:00
http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下载HijackThis...把日志帖上来..
东方全败 - 2006-6-21 11:51:00
我知道是木马,用最新的端星可以杀掉,网络正常,但是过了二三天又出来了。
我用的是win2000 补丁打到4, 针对这个病毒还要打什么补丁。
edong8109 你是怎么搞好的,好了之后再中了没有 谢谢
东方全败 - 2006-6-21 12:14:00
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      11:55:15, 日期 2006/06/21
操作系统:  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:    Internet Explorer v6.00 (6.00.2600.0000)

当前运行的进程:         
D:\WINNT\System32\smss.exe
D:\WINNT\system32\winlogon.exe
D:\WINNT\system32\services.exe
D:\WINNT\system32\lsass.exe
D:\WINNT\system32\svchost.exe
D:\Program Files\Rising\Rav\CCenter.exe
D:\Program Files\Rising\Rav\Ravmond.exe
D:\WINNT\system32\spoolsv.exe
D:\WINNT\System32\svchost.exe
D:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
D:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
D:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
D:\WINNT\system32\MSTask.exe
D:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe
D:\WINNT\System32\WBEM\WinMgmt.exe
D:\WINNT\system32\svchost.exe
D:\WINNT\TEMP\DM5623.EXE
D:\WINNT\Explorer.EXE
D:\Program Files\NyQiaZi\NyQaiZi.exe
D:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
D:\Program Files\Rising\Rav\RavTask.exe
D:\WINNT\system32\internat.exe
D:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\WINNT\system32\zstatus.exe
E:\HijackThis1991汉化版\HijackThis1991zww.exe

O1 - Hosts: 160.68.16.5 tcds-6server
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINNT\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [MS-4011 Memory Patch] \\160.68.22.2\托地税软件\杀毒程序升级\5.8\RavSasser.exe -Patch
O4 - 启动项HKLM\\Run: [NyQaiZi] D:\Program Files\NyQiaZi\NyQaiZi.exe /A
O4 - 启动项HKLM\\Run: [TkBellExe] "D:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [OfficeScanNT Monitor] "D:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - 启动项HKLM\\Run: [RavTask] "D:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [DrvMon.exe] D:\WINNT\system32\DrvMon.exe
O4 - Startup: 移动即时通.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - 浏览器额外的按钮: (no name) - {12341234-1234-5678-9012-123456789012} - (no file)
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINNT\web\related.htm
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - https://160.68.16.5:4343/officescan/console/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - https://160.68.16.5:4343/officescan/console/ClientInstall/setup.cab
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - https://160.68.16.5:4343/officescan/console/html/AtxEnc.cab
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - https://160.68.16.5:4343/officescan/console/ClientInstall/RemoveCtrl.cab
O18 - 列举现有的协议: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - D:\WINNT\System32\mshtml.dll
O18 - 列举现有的协议: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - D:\WINNT\system32\urlmon.dll
O18 - 列举现有的协议: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - D:\WINNT\system32\urlmon.dll
O18 - 列举现有的协议: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - D:\WINNT\system32\urlmon.dll
O18 - 列举现有的协议: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - D:\WINNT\system32\urlmon.dll
O18 - 列举现有的协议: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - D:\WINNT\system32\urlmon.dll
O18 - 列举现有的协议: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - D:\WINNT\system32\urlmon.dll
O18 - 列举现有的协议: ipp - (no CLSID) - (no file)
O18 - 列举现有的协议: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - D:\WINNT\System32\itss.dll
O18 - 列举现有的协议: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - D:\WINNT\System32\mshtml.dll
O18 - 列举现有的协议: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - D:\WINNT\system32\urlmon.dll
O18 - 列举现有的协议: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - D:\WINNT\System32\mshtml.dll
O18 - 列举现有的协议: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - D:\WINNT\System32\inetcomm.dll
O18 - 列举现有的协议: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - D:\WINNT\system32\urlmon.dll
O18 - 列举现有的协议: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - D:\WINNT\System32\itss.dll
O18 - 列举现有的协议: msdaipp - (no CLSID) - (no file)
O18 - 列举现有的协议: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - D:\WINNT\System32\mshtml.dll
O18 - 列举现有的协议: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - D:\WINNT\System32\mshtml.dll
O18 - 列举现有的协议: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - D:\WINNT\System32\mshtml.dll
O18 - 列举现有的协议: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - D:\WINNT\System32\msdxm.ocx
O20 - Winlogon Notify: nwprovau - D:\WINNT\SYSTEM32\nwprovau.dll
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - D:\WINNT\System32\dmadmin.exe
O23 - NT 服务: OfficeScanNT 实时扫描 (ntrtscan) - Trend Micro Inc. - D:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - NT 服务: OfficeScanNT 个人防火墙 (OfcPfwSvc) - Trend Micro Inc. - D:\Program Files\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: OfficeScanNT 侦听程序 (tmlisten) - Trend Micro Inc. - D:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

mopery - 2006-6-21 12:29:00
修复

O1 - Hosts: 160.68.16.5 tcds-6server
O9 - 浏览器额外的按钮: (no name) - {12341234-1234-5678-9012-123456789012} - (no file)

病毒路径?
东方全败 - 2006-6-21 12:37:00
O1 - Hosts: 160.68.16.5 tcds-6server
O9 - 浏览器额外的按钮: (no name) - {12341234-1234-5678-9012-123456789012} - (no file

这个没有问题 我可以肯定

轩辕小聪 - 2006-6-21 12:39:00
病毒文件名称与具体路径?
东方全败 - 2006-6-21 12:40:00
杀完病毒后,网络正常网络上和机子可以相互访问,
但过了几天又出来了,
Backdoor.sdbot.kql 攻击win2000的什么漏洞,打上什么补丁就可以了,那位高手知道,帮我一下。
东方全败 - 2006-6-21 13:17:00
我自己再顶一下
go  go go
yanmings - 2006-6-21 13:21:00
引用:
【东方全败的贴子】杀完病毒后,网络正常网络上和机子可以相互访问,
但过了几天又出来了,
Backdoor.sdbot.kql 攻击win2000的什么漏洞,打上什么补丁就可以了,那位高手知道,帮我一下。
...........................

晕,只是攻击win2000的什么漏洞,又没说在你的机子里,结果让你说的好象已经在你的机子里了
轩辕小聪 - 2006-6-21 13:27:00
如果杀完之后,重启后再杀没有了,等到几天后又再出现,那就是再次染毒,而不是说杀不干净,这是两码事。
东方全败 - 2006-6-21 16:04:00
我晕 知道呀!这我都做了,可以没有用???????
白天黑云 - 2006-6-21 16:17:00
是灰鸽子病毒
白天黑云 - 2006-6-21 16:18:00
我教你。qq48593229
程凯哥 - 2006-6-22 9:14:00
我中了Backdoor.SdBot.qto,瑞星最新版可以杀 文件监控可以搞定,但是保不定明天又会出这个病毒来,win2000所有补丁都打了,安全模式下杀毒也美的异常.难道这类病毒就没有彻底解决的方法么?有高手来解释一下这类病毒的特点,为啥那么难清除干净啊
凌晨25点的爱 - 2006-6-22 9:52:00
系统修改:
A、将复制自己为%System%mgnwin32.exe

B、在注册表主键添加以下键值:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
"RandomWin32" = "mgnwin32.exe"

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
"RandomWin32" = "mgnwin32.exe"
凌晨25点的爱 - 2006-6-22 9:53:00
http://www.h31home.com/rss/blogto.asp?id=1437
专杀下载
东方全败 - 2006-6-22 18:44:00
朋友在吗?在了回话 我在线
东方全败 - 2006-6-22 18:48:00
我也用了专杀工具,可以杀掉机子也正常了,但是过了几天又中标了我狂晕呀 帮帮我 我快烦挂了 谢谢各位高手
东方全败 - 2006-6-22 19:25:00
顶一下
东方全败 - 2006-6-22 19:33:00
再顶
东方全败 - 2006-6-23 15:40:00
再顶一下
东方全败 - 2006-6-23 17:47:00
再顶一下
1
查看完整版本: 关于Backdoor.sdbot.kql病毒就没有一个高手可以处理的吗???
© 2000 - 2026 Rising Corp. Ltd.