瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 这个是否是很厉害的木马?请赐教。
jojot31 - 2006-7-17 17:13:00
先是用江民,无法查杀,然后用卡巴斯基提示说

对象                                                  结果

EXPLORER.EXE\bhu8hl.dll            是特洛伊木马Rootkit.Win32.Vanti.bn

EXPLORER.EXE\bhu8hl.dll            对象无法清除,清除被延迟。

C:\DOCUME~1\KK\LOCALS~1\Temp\bhu8hl.dll          是特洛伊木马Rootkit.Win32.Vanti.bn

C:\DOCUME~1\KK\LOCALS~1\Temp\bhu8hl.dll          对象无法清除,清除被延迟。

然后我在C:\Documents and Settings\kk\Local Settings\Temp目录里找到了bhu8hl.dll这个属性是隐藏和以读的文件。进入安全模式可以删除掉,但是重启又会跑出来。进程里面有4-5..SVCHOST.EXE 而且开机后CPU使用都是90%-100%。 在Google上搜索获得的信息也很少, 请教下应该怎么办?
ヤ苁佌變壞 - 2006-7-17 17:23:00
SVCHOST.EXE路径写出来
不言放弃 - 2006-7-17 17:26:00
【回复“jojot31”的帖子】
ROOTKIT确实是一种很厉害的木马

http://www.KZTechs.com/
下载System Repair Engineer
导出全部日志
jojot31 - 2006-7-17 17:37:00
System Repair Engineer已经下了,如何导出日志。。是不是只能扫描后的详细报告?

还有请问2楼的如何看那个进程的路径。
baohe - 2006-7-17 17:39:00
【回复“jojot31”的帖子】
这种DLL木马,用SSM可轻易搞掂。
遗憾的是,不少人不学着用SSM自己解决问题。
jojot31 - 2006-7-17 17:57:00
正在学中。

它说注册表值userinit被修改为非正常值  而且那个是红色的。。。

我应该把它删掉吗?
jojot31 - 2006-7-17 18:04:00
日至是否是这个东西?
正在运行的进程
[PID: 612][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 676][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\DOCUME~1\kk\LOCALS~1\Temp\bhu8hl.dll]  <N/A><N/A>
[PID: 700][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 744][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 756][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 904][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 992][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1072][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1164][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1388][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\nvcpl.dll]  <NVIDIA Corporation><6.14.10.7189>
    [C:\WINDOWS\system32\NVRSZHC.DLL]  <NVIDIA Corporation><6.14.10.7189>
    [C:\WINDOWS\system32\nvshell.dll]  <NVIDIA Corporation><6.14.10.10040>
    [C:\Program Files\WinRAR\rarext.dll]  <N/A><N/A>
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll]  <Kaspersky Lab><5.0.388.1>
[PID: 1484][C:\WINDOWS\system32\spoolsv.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\hpzsnt09.dll]  <HP><2.236.4.0>
[PID: 1696][C:\WINDOWS\system32\nvsvc32.exe]  <NVIDIA Corporation><6.14.10.7189>
    [C:\WINDOWS\system32\NVRSZHC.DLL]  <NVIDIA Corporation><6.14.10.7189>
[PID: 1772][C:\Program Files\Internet Explorer\iexplore.exe]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1940][C:\WINDOWS\System32\alg.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1212][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 668][C:\Program Files\Maxthon\Maxthon.exe]  <MY Soft Technology><1, 3, 3, 50>
    [C:\Program Files\Maxthon\maxzlib.dll]  < ><1, 0, 0, 2>
    [C:\Program Files\Maxthon\Services\RealTime\real_time.dll]  <><1, 0, 0, 1>
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\scrchpg.dll]  <Kaspersky Lab><5.0.1.18>
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\scrch_ag.dll]  <Kaspersky Lab><5.0.388.1>
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\FSSync.dll]  <Kaspersky Lab><5.0.388.0>
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\pr_rmt.dll]  <Kaspersky Lab><5.0.388.0>
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\ccclient.dll]  <Kaspersky Lab><5.0.388.1>
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\klipc.dll]  <Kaspersky Lab><5.0.388.0>
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\KLUtil.dll]  <Kaspersky Lab><5.0.388.1>
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\rpt.dll]  <Kaspersky Lab><5.0.388.2>
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\CCIFACE.dll]  <Kaspersky Lab><5.0.388.1>
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\prloader.dll]  <Kaspersky Lab><5.0.388.0>
    [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\prkernel.ppl]  <Kaspersky Lab><5.0.388.0>
    [c:\program files\kaspersky lab\kaspersky anti-virus personal\prstring.ppl]  <Kaspersky Lab><5.0.388.0>
    [c:\program files\kaspersky lab\kaspersky anti-virus personal\pr_srv.ppl]  <Kaspersky Lab><5.0.388.0>
    [c:\program files\kaspersky lab\kaspersky anti-virus personal\pr_clnt.ppl]  <Kaspersky Lab><5.0.388.0>
    [c:\program files\kaspersky lab\kaspersky anti-virus personal\tempfile.ppl]  <Kaspersky Lab><5.0.388.0>
    [C:\WINDOWS\system32\Macromed\Flash\Flash8b.ocx]  <Macromedia, Inc.><8,0,24,0>
    [C:\WINDOWS\system32\Macromed\Common\SwSupport.dll]  <Macromedia, Inc.><10.1r11>
[PID: 1264][C:\WINDOWS\system32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 596][E:\sreng2\SREng2\SREng.exe]  <Smallfrogs Studio><2.0.21.505>
不言放弃 - 2006-7-17 18:35:00
【回复“jojot31”的帖子】
晕倒

建议导出全部日志
1
查看完整版本: 这个是否是很厉害的木马?请赐教。
© 2000 - 2026 Rising Corp. Ltd.