瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 求助!!惨遭病毒木马伏击 详情见内帖
lindama - 2008-5-12 23:02:00
现将失守阵地及敌方名单公布如下:

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\G1AV4TEJ\real[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GDM7KDMN\rl[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\W1ON838R\lz[1].htm
[Hack.Exploit.Script.JS.MultiExp.a]
C:\Documents and Settings\lindama\Local Settings\Temporary Internet Files\Content.IE5\E5ANADC7\real[1].htm
[Suspicious.Trojan.Script.JS.Obcode.c]
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.exe>>upx_c
[Trojan.DL.Win32.Undef.az]
C:\WINDOWS\system32\sens.dll
[Trojan.Win32.Patch.d]
请求增援!!
不是灌水帖!!
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.13) Gecko/20080311 Firefox/2.0.0.13
豪斯登堡新郎 - 2008-5-12 23:07:00
清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

先用上面的软件清理一次系统 
如果还有问题  请看版规 提供日志
lindama - 2008-5-14 16:23:00
sorry 没有找到相关版规 应该用什么工具扫描 360卫士查了之后拷下来吗?
天月来了 - 2008-5-14 16:28:00
下载清理系统临时文件和IE临时文件夹工具,全选所有项目,点击“立即清理”清理系统
http://www.atribune.org/public-beta/ATF-Cleaner.exe

这 里 下 载 W i n d o w s 清 理 助 手 ,清理你那系统。
http://www.arswp.com/

———————————————————————————————————————————————
扫SRENG日志发这论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 下载的是压缩包,必须解压缩(建议解压到系统Windows文件夹里)
2 运行SREng***.EXE  ((将SREng***.EXE改名为123.com运行))
3 选择主界面左边的:智能扫描=》扫描=》保存报告
4 把报告保存后,直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击你自己的主题贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
豪斯登堡新郎 - 2008-5-14 16:33:00
点击下载System Repair Engineer系统扫描工具软件
建议直接下载保存到系统文件夹内
扫描和上传日志的方法:
1、解压缩所下载的"sreng980.rar"压缩包;
2、打开已经解压缩的"SREng980"文件夹,双击运行其中的"我爱新郎.com";
3、依次按“智能扫描”、选中“检查进程模块的数字签名”、“扫描”、“保存报告”,将日志保存到桌面上;
4、把保存在桌面上的日志文件以附件形式传上来,请不要更改日志内容.
友情提示:
1、扫描日志前请先关闭所有打开的软件(如QQ、迅雷等程序和IE窗口,注意,是关闭而不是最小化窗口)
2、注意在没有进一步提示前,请勿用SRENG工具胡乱修复,否则系统可能变的情况更糟。
lindama - 2008-5-14 17:49:00
下方为日志↓

附件: SREngLOG.log (2008-5-14 17:48:59, 43.64 K)
该附件被下载次数 305

lindama - 2008-5-14 17:52:00
用windows清理助手清理系统时有一个木马始终无法清理,位置是C:\Documents and Settings\All Users\「开始」菜单\程序\启动
天月来了 - 2008-5-14 18:00:00
下面这两项不认识,自己去判断了。
==================================
驱动程序
[FBAPI / FBAPI][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\FBAPI.sys><N/A>

[Machnm32 Driver / Machnm32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\Machnm32.sys><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,
==================================
驱动程序
[CQ / CQ][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp58.tmp><N/A>

[CQSJ / CQSJ][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp63.tmp><N/A>

[QJ / QJ][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp5C.tmp><N/A>

[RXJH / RXJH][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp4A.tmp><N/A>
————————————————————————————————————
再重启电脑,反复检查,操作相关,

————————————————————————————————————
再重启电脑,

用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://www.atribune.org/public-beta/ATF-Cleaner.exe

用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/

升级杀毒软件至最新版本全盘杀毒。
下载卡卡助手,清理你那系统。
记得打打系统漏洞补丁
天月来了 - 2008-5-14 18:02:00


引用:
原帖由 lindama 于 2008-5-14 17:52:00 发表
用windows清理助手清理系统时有一个木马始终无法清理,位置是C:\Documents and Settings\All Users\「开始」菜单\程序\启动


难道是它们?

==================================
启动文件夹
[Utility Tray]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Utility Tray.lnk --> C:\WINDOWS\system32\sistray.exe [Silicon Integrated Systems Corporation]><N>
[Adobe Gamma]
  <C:\Documents and Settings\lindama\「开始」菜单\程序\启动\Adobe Gamma.lnk --> C:\PROGRA~1\COMMON~1\Adobe\CALIBR~1\ADOBEG~1.EXE [Adobe Systems, Inc.]><N>

是些什么呢?自己判断一下,是你必须要用的宝贝东西么???

不是必须的,就删除:

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Utility Tray.lnk
C:\Documents and Settings\lindama\「开始」菜单\程序\启动\Adobe Gamma.lnk
lindama - 2008-5-15 9:23:00
天月:
sreng相关项无法删除, utility tray 与 adobe gamma 两个快捷方式找到并删除了,具体情况如何,正在进一步的了解中。
另:xp启动时会出现一个启动/exe的程序
天月来了 - 2008-5-15 10:40:00
相关项无法删除是什么提示呢???

去安全模式下操作删除。

删除的过程,SRENG工具的提示要看清除了,否则会被你自己取消删除的
lindama - 2008-5-15 11:17:00
sreng 应删除项已删除,[a:启动时的那个exe程序窗口仍会出现(系统无法关闭,只能强制关闭),b:windows清理助手有一个文件无法清理,ab两文件目标文件夹相同]
天月
怎么处理??
天月来了 - 2008-5-15 11:32:00
清理助手的哪个文件不能清理?包括文件夹名、路径呢?

详细说说哦。

还有用解压工具WinRAR依路径打开。
找这个文件在不在:
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.exe

如果这个文件在,就删除它。或者用瑞星主动防御禁止这个文件的读取、修改、删除、等,然后重启电脑,再用瑞星的粉碎功能去粉碎它。

还有启动时的那个exe程序窗口到底是什么样的?能抓图来看看么?

回答以上问题后。再去扫描个最新日志来,看看到底哪里还有残余的。
lindama - 2008-5-15 12:51:00
[用瑞星主动防御禁止这个文件的读取、修改、删除]
怎么操作?
lindama - 2008-5-15 13:37:00
传上来几张图片
exe似乎是系统文件  你帮着分析一下吧 谢谢
lindama - 2008-5-15 13:55:00
lindama - 2008-5-15 13:56:00
lindama - 2008-5-15 13:57:00
lindama - 2008-5-15 13:58:00
lindama - 2008-5-15 14:00:00
这是用winrar打开时的情况
我担心这个文件比较重要 不敢轻易删掉
豪斯登堡新郎 - 2008-5-15 14:01:00
删除掉
天月来了 - 2008-5-15 14:11:00
还担心重要,不敢删呢。

要学会自助哦。

就象这次地震一样,不会自助怎么得了哦。

自己百度一下,就知道它的真相了。

关于主动防御禁止程序或文件被读取、修改、启动、删除等操作,这里去看看:
http://bbs.ikaka.com/showtopic-8370526.aspx
lindama - 2008-5-15 15:24:00
删不了:default8:
豪斯登堡新郎 - 2008-5-15 15:40:00
http://www.onlinedown.net/soft/53325.htm

这里下载冰刃  找到删除
lindama - 2008-5-15 16:28:00
谢谢豪斯登堡 谢谢天月
问题解决了:default5:
1
查看完整版本: 求助!!惨遭病毒木马伏击 详情见内帖
© 2000 - 2026 Rising Corp. Ltd.