瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 版主帮忙看日志下!刚杀了个木马
paul2lilin - 2008-5-25 13:01:00
用arswp杀了几个木马,请版主帮我看看。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; TencentTraveler ; .NET CLR 2.0.50727)

附件: SREngLOG.log
火影忍者 - 2008-5-25 13:28:00
==================================
服务
[Alertters / Alertters][Stopped/Auto Start]
  <C:\WINDOWS\alg.exe><N/A>
[Infrared Monitor / Irmon][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\rimon.dll><N/A>

==================================
驱动程序
[cqit / cqit][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp34D.tmp><N/A>
[drop / drop][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp359.tmp><N/A>
[fmsq / fmsq][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp357.tmp><N/A>
[jtio / jtio][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp35B.tmp><N/A>
[o / o][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\o.sys><N/A>
[ping / ping][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp355.tmp><N/A>
[ptfs / ptfs][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp353.tmp><N/A>
[zftp / zftp][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp347.tmp><N/A>

==================================
paul2lilin - 2008-5-25 20:13:00
不懂哦。:default2:
sako - 2008-5-26 7:27:00
帮火影哥搞定嘻嘻

http://d5.97sky.cn/TonPE_V1.4.exe
请务必下载雨林木风PE安装包进行安装以防止误操作删除系统文件无法进入系统时的修复,并在安装完成后重起一次确认可以正常进入PE系统后继续以下操作。

以下操作一定要拔掉网线,在安全模式下进行,运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。
Xdelbox工具 下载:http://www.dodudou.com/down/ 一定要下载那个1.7支持奥运版本的
下载后
解压所有文件到一个文件夹
在 添加旁边的框中 分别输入
C:\WINDOWS\alg.exe
C:\WINDOWS\system32\rimon.dl
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp34D.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp359.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp357.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp35B.tmp
C:\WINDOWS\system32\drivers\o.sys
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp355.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp353.tmp
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp347.tmp
输入完一个以后 点击旁边的添加 按钮 被添加的文件 将出现在下面的大框中
然后一次性选中 (按住ctrl)下面大框中所有的文件
右键 单击 点击 重启立即删除
重启计算机以后 会有两个系统进入的选择的倒计时界面
第一个是你原来的windows系统
第二个是这个软件给你设定的dos系统
系统会自动选择进入第二个系统
类似dos的界面滚动完毕以后 病毒就被删除了
之后他会自动重启进入正常模式
sako - 2008-5-26 7:28:00
搞定后

用sreng删除下列
服务
[Alertters / Alertters][Stopped/Auto Start]
  <C:\WINDOWS\alg.exe><N/A>
[Infrared Monitor / Irmon][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\rimon.dll><N/A>

==================================
驱动程序
[cqit / cqit][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp34D.tmp><N/A>
[drop / drop][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp359.tmp><N/A>
[fmsq / fmsq][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp357.tmp><N/A>
[jtio / jtio][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp35B.tmp><N/A>
[o / o][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\o.sys><N/A>
[ping / ping][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp355.tmp><N/A>
[ptfs / ptfs][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp353.tmp><N/A>
[zftp / zftp][Stopped/Auto Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp347.tmp><N/A>
sako - 2008-5-26 7:28:00
最后清理下系统

下载清理系统临时文件和IE临时文件夹工具,全选所有项目,点击“立即清理”清理系统
http://www.atribune.org/public-beta/ATF-Cleaner.exe
下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar


到安全模式下全盘查杀
1
查看完整版本: 版主帮忙看日志下!刚杀了个木马
© 2000 - 2026 Rising Corp. Ltd.