瑞星卡卡安全论坛

首页 » 技术交流区 » 入侵防御(HIPS) » 紧急求助 ! 恶意性远程操控
czpdaniu - 2010-7-25 20:21:00
今天上Q不小心接收一个文件
那个文件让我完完全全的被人远程操控···
我除了关机按钮可以直接按以外   
其他都无法操作   
用瑞星全盘查杀也无法删除
而且文件还隐藏起来了

求高手指导!!!!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 627; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)

附件: SREngLOG.log
leo108 - 2010-7-25 20:28:00
建议楼主使用System Repair Engineer扫描日志,将日志作为附件上传上来。下载页面:http://www.kztechs.com/sreng/download.html
操作方法:
1、下载后解压缩,运行SREngPS.EXE;
2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
4、选择保存路径,文件名保持默认,直接点击【保存】;
5、将“SREngLOG.log”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序.
czpdaniu - 2010-7-25 20:29:00
谢谢
我试试
荔枝饭饭 - 2010-7-25 22:20:00
建议使用费尔木马文件删除工具删除以下文件(先上传至www.virustotal.com看看有没有毒,有的话再删除)
下载地址:http://bbs.ikaka.com/showtopic-8442813.aspx
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\documents and settings\all users\application data\storm\update\%sessionname%\gvrqg.pic
c:\windows\system32\lt.sys


2.删除重启后使用SREng(就是楼上建议楼主使用的扫描工具)修复下面各项:

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Messenger / Messenger]    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\gvrqg.pic>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[ltsj / ltsj]    <\??\C:\WINDOWS\system32\lt.sys>


还有,最好到相同版本的未中毒电脑上考一个winlogon.exe文件覆盖到C:\WINDOWS\system32\目录下,感觉病毒替换了winlogon.exe。
承德小涛 - 2010-7-26 15:49:00
如果以上的方法,楼主都不能解决问题,建议楼主重装系统,全盘格式化,肯定能解决问题,而且很彻底
1
查看完整版本: 紧急求助 ! 恶意性远程操控