瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 求助关于windows目录下开机随机生成××××.exe文件!
撒旦小子 - 2008-7-26 13:04:00
貌似是前晚上天梭的香港网站,www.tissot.com.hk,当时就觉得不对劲,有很多进程开始访问网络,赶紧断网,开始查病毒,倒是杀掉了不少,但重启了几次发现,每次重启之后任务管理器里都会有一个××××.exe(××××为随机4个字母)的进程,然后windows目录下有一个同名的文件,杀毒软件倒是能杀掉,但重启之后还有,如果先结束掉该进程,再在windows目录删除该文件,则杀毒软件就查不到了,重启之后照旧。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; WWTClient2)

附件: SREngLOG.log
撒旦小子 - 2008-7-26 13:05:00
麻烦各位大大,版主,帮帮忙啦,谢谢:default16:
撒旦小子 - 2008-7-26 13:10:00
用windows清理助手扫描了一下,检查结果是explorer.exe被替换了,是把O替换成0了?
aaccbbdd - 2008-7-26 13:12:00
建议删除启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9b547c6f-13dc-6821-6821-24ed05f80840}]
    <N/A>下注册表项目及对应文件
<C:\WINDOWS\system32\muovi\lsass.exe /t>  []


可疑驱动
[CMB8100 / CMB8100][Running/Auto Start]
  <\??\C:\WINDOWS\system32\Drivers\CertClient.dat><N/A>
[CMBProtector / CMBProtector][Running/Auto Start]
  <\??\C:\WINDOWS\system32\Drivers\CMBProtector.dat><N/A>

[Mtlmnt5 / Mtlmnt5][Running/Manual Start]
  <C:\windos\DRIVERS\Mtlmnt5.sys><>
[Mtlstrm / Mtlstrm][Stopped/Manual Start]
  <C:\windos\DRIVERS\Mtlstrm.sys><>
其对应文件自己测下
http://www.virscan.org/
http://www.virustotal.com/zh-cn/
超级游戏迷 - 2008-7-26 13:13:00
请把以下文件压缩,把压缩包上传上来:
C:\WINDOWS\system32\muovi\lsass.exe
C:\WINDOWS\system32\contmenu.dll
撒旦小子 - 2008-7-26 13:24:00


引用:

另外我在我电脑上搜了一下,有两个explorer,一个在windows目录下,一个在windows/system32目录下,不对吧,正常的应该就在windows目录下?
正常的资源管理器文件已经被病毒移动到c:\windows\system32目录下,c:\windows下如果有explorer.exe,可能已被病毒替换。
等两个可疑文件鉴定后,再研究杀毒步骤。

附件: 桌面.rar
超级游戏迷 - 2008-7-26 13:36:00
扫描结果 :  31%的杀软(11/36)报告发现病毒
时间 :  2008/07/26 13:33:42 (CST)
软件名称引擎版本
病毒库版本
病毒库时间
扫描结果
时间
a-squared3.5.0.222008.07.252008-07-25-
2.698
AntiVir7.8.1.127.0.5.1752008-07-25TR/Downloader.Gen
2.105
Arcavir1.0.52008072512502008-07-25-
1.211
AVAST!3.0.1080725-12008-07-25-
0.016
AVG7.5.51.442270.5.6/15742008-07-25Downloader.Tiny.K
1.525
BitDefender7.60825.13901077.202072008-07-26BehavesLike:Win32.Malware (suspected)
6.799
CA (VET)9.0.0.14331.6.59832008-07-26-
0.693
ClamAV0.93.378292008-07-26-
0.038
Comodo2.112.0.0.5972008-07-26-
0.441
CP Secure1.1.0.7152008.07.262008-07-26-
5.527
Dr.Web4.44.0.91702008.07.252008-07-25-
3.025
ewido4.0.0.22008.07.252008-07-25-
3.082
F-Prot4.4.4.56200807252008-07-25-
1.065
F-Secure5.51.61002008.07.25.062008-07-25-
2.817
IkarusT3.1.01.342008.07.26.711632008-07-26Trojan-Downloader
3.522
Microsoft1.37042008.07.262008-07-26TrojanDownloader:Win32/Sagnusnagta.A
7.483
mks_vir2.012008.07.252008-07-25-
2.517
Norman5.93.015.93.002008-07-25-
4.614
nProtect2008-07-25.0017026732008-07-25BehavesLike:Win32.Malware
4.538
Quick Heal9.502008.07.252008-07-25TrojanDownloader.Small.ysf
1.625
Sophos2.75.44.312008-07-26-
1.981
Sunbelt3.1.1536.121662008-07-25-
3.443
The Hacker6.2.96v003892008-07-24-
0.423
VBA323.12.8.120080725.08542008-07-25-
1.667
ViRobot200807252008.07.252008-07-25-
0.411
VirusBuster4.5.11.1010.82.22/5967922008-07-25-
0.946
卡巴斯基5.5.102008.07.262008-07-26-
0.059
安博士V32008.07.26.002008.07.262008-07-26-
0.862
江民杀毒11.0.7062008.07.262008-07-26-
1.138
熊猫卫士9.05.012008.07.242008-07-24Suspicious file
2.036
瑞星20.020.54.50.002008-07-26-
1.226
赛门铁克1.3.0.2420080725.0032008-07-25-
0.060
趋势科技8.700-10045.436.012008-07-25-
0.034
迈克菲5.2.0053472008-07-25Downloader-BDH
2.178
金山毒霸2008.1.14.152008.7.25.182008-07-25Win32.Troj.AgentT.fd.12288
0.644
飞塔2.81-3.119.3562008-07-26Suspicious
1.679

以上是检测结果。可疑文件请分别打包,否则不知道哪个有问题。
超级游戏迷 - 2008-7-26 13:38:00
另外请把你说的随机数字名文件也找个打包传上来。
撒旦小子 - 2008-7-26 13:46:00
版主好,那个检测结果是什么意思看不懂啊!?呵呵
另外那个随机四个字母的exe文件已经被我删除了啊!
超级游戏迷 - 2008-7-26 14:06:00
十分抱歉,在引用你6楼的回复帖时误用了“编辑”指令,十分抱歉……:default3:

还好主要内容还在:default2:
豪斯登堡新郎 - 2008-7-26 14:08:00
启动项目
注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9b547c6f-13dc-6821-6821-24ed05f80840}]
    <N/A><C:\WINDOWS\system32\muovi\lsass.exe /t>  []

正在运行的进程

[PID: 384 / Allen Iverson][C:\WINDOWS\system32\explorer.exe]  [Microsoft Corporation, 6.00.2900.3300 (xpsp.080125-2028)]



删除文件:
c:\windows\explorer.exe
C:\WINDOWS\system32\muovi\lsass.exe

复制c:\windows\system32\explorer.exe粘贴到c:\windows\文件夹内

做完下载以下软件清理一次并更新杀毒软件至最新进行全盘杀毒一次

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip
撒旦小子 - 2008-7-26 14:35:00


引用:
原帖由 超级游戏迷 于 2008-7-26 14:06:00 发表
十分抱歉,在引用你6楼的回复帖时误用了“编辑”指令,十分抱歉……:default3:

还好主要内容还在:default2:



呵呵,没关系,俺还得感谢你和,俺把system32下的explorer.exe替换了windows下的,似乎问题就解决了!多谢各位版主:default24:
撒旦小子 - 2008-7-26 14:42:00


引用:
原帖由 豪斯登堡新郎 于 2008-7-26 14:08:00 发表
启动项目
注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9b547c6f-13dc-6821-6821-24ed05f80840}]
    <N/A><C:\WINDOWS\system32\muovi\lsass.exe /t>  []

正在运


感谢版主,用你的方法基本搞定了,只是不能确定电脑里还有没有病毒了,我用的是卡巴,居然连explorer.exe的病毒都查不出来,太失望了……呵呵
1
查看完整版本: 求助关于windows目录下开机随机生成××××.exe文件!
© 2000 - 2026 Rising Corp. Ltd.