«23456789   5  /  9  页   跳转

【求助】冰剑的问题~IE进程红了

收藏
天使之剑
头像
社区嘉宾
  • 帖子:2961
  • 注册: 2005-09-15
  • 来自:
发表于: 2006-01-10 18:51 | 短消息 资料
字号: 41楼

引用:
【又被黑了的贴子】有进展了
一开机就直接结束有问题的svchost和IE...
就能找到这几个了(改名压缩后拿到了)……但在下次开机如果不结束上面的进程图里的文件也是会被隐藏
...........................

在删除它们之前请上报瑞星,接下来还需要清理注册表,这项工作需要RootkitRevealer。
gototop
 
又被黑了
头像
初生襁褓狮
  • 帖子:1773
  • 注册: 2005-03-07
  • 来自:
发表于: 2006-01-10 20:28 | 只看楼主 短消息 资料
字号: 42楼

上报完等回复了
BlackLight查没问题
RootkitRevealer慢的要死
gototop
 
又被黑了
头像
初生襁褓狮
  • 帖子:1773
  • 注册: 2005-03-07
  • 来自:
发表于: 2006-01-10 21:58 | 只看楼主 短消息 资料
字号: 43楼

RootkitReveal日志好大,挑重点放
刚才点save就直接重起了~晕

C:\Documents and Settings\**\Local Settings\Temp\UQZBERSH.DL1    2006-1-9 14:00    100.00 KB    Hidden from Windows API.
C:\Documents and Settings\**\Local Settings\Temp\UQZBERSH.LOG    2006-1-10 21:13    30.06 KB    Hidden from Windows API.
C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\1IR712TI\list[6].htm    2006-1-10 21:44    42.61 KB    Hidden from Windows API.
C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\4PIFOHEJ\list[3].htm    2006-1-10 17:59    42.02 KB    Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\CMST9NLA\scrollsms[1].htm    2006-1-10 21:43    6.52 KB    Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\CMST9NLA\scrollsms[2].htm    2006-1-10 21:44    6.52 KB    Hidden from Windows API.
C:\Documents and Settings\**\My Documents\My Pictures\UQZBERSH.JPG    2006-1-10 18:18    45.83 KB    Hidden from Windows API.
C:\Documents and Settings\**\Recent\uqzbersh.JPG.lnk    2006-1-10 18:20    600 bytes    Hidden from Windows API.
C:\Documents and Settings\**\Recent\uqzbersh.rar.lnk    2006-1-10 18:17    275 bytes    Hidden from Windows API.
C:\WINDOWS\SYSTEM32\DRIVERS\UQZBERSH.SYS    2006-1-9 13:26    11.50 KB    Hidden from Windows API.
C:\WINDOWS\SYSTEM32\UQZBERSH.D1L    2006-1-9 13:26    38.18 KB    Hidden from Windows API.
C:\WINDOWS\SYSTEM32\UQZBERSH.DLL    2006-1-9 13:26    24.00 KB    Hidden from Windows API.
gototop
 
天使之剑
头像
社区嘉宾
  • 帖子:2961
  • 注册: 2005-09-15
  • 来自:
发表于: 2006-01-10 22:23 | 短消息 资料
字号: 44楼

引用:
【又被黑了的贴子】RootkitReveal日志好大,挑重点放
刚才点save就直接重起了~晕

C:\Documents and Settings\**\Local Settings\Temp\UQZBERSH.DL1    2006-1-9 14:00    100.00 KB    Hidden from Windows API.
C:\Documents and Settings\**\Local Settings\Temp\UQZBERSH.LOG    2006-1-10 21:13    30.06 KB    Hidden from Windows API.
C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\1IR712TI\list[6].htm    2006-1-10 21:44    42.61 KB    Hidden from Windows API.
C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\4PIFOHEJ\list[3].htm    2006-1-10 17:59    42.02 KB    Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\CMST9NLA\scrollsms[1].htm    2006-1-10 21:43    6.52 KB    Visible in Windows API, but not in MFT or directory index.
C:\Documents and Settings\**\Local Settings\Temporary Internet Files\Content.IE5\CMST9NLA\scrollsms[2].htm    2006-1-10 21:44    6.52 KB    Hidden from Windows API.
C:\Documents and Settings\**\My Documents\My Pictures\UQZBERSH.JPG    2006-1-10 18:18    45.83 KB    Hidden from Windows API.
C:\Documents and Settings\**\Recent\uqzbersh.JPG.lnk    2006-1-10 18:20    600 bytes    Hidden from Windows API.
C:\Documents and Settings\**\Recent\uqzbersh.rar.lnk    2006-1-10 18:17    275 bytes    Hidden from Windows API.
C:\WINDOWS\SYSTEM32\DRIVERS\UQZBERSH.SYS    2006-1-9 13:26    11.50 KB    Hidden from Windows API.
C:\WINDOWS\SYSTEM32\UQZBERSH.D1L    2006-1-9 13:26    38.18 KB    Hidden from Windows API.
C:\WINDOWS\SYSTEM32\UQZBERSH.DLL    2006-1-9 13:26    24.00 KB    Hidden from Windows API.

...........................

我给出的建议可能比较冗长,请楼主务必保持耐心……
请按照以下的步骤操作:
1、清空IE临时文件夹;
2、请楼主以图片的形式把RootkitRevealer的报告贴全,因为键位对下面的清除工作很重要;
3、使用IceSword删除以下文件:
C:\Documents and Settings\**\Recent\uqzbersh.JPG.lnk
C:\Documents and Settings\**\Recent\uqzbersh.rar.lnk
C:\WINDOWS\SYSTEM32\DRIVERS\UQZBERSH.SYS
C:\WINDOWS\SYSTEM32\UQZBERSH.D1L
C:\WINDOWS\SYSTEM32\UQZBERSH.DLL
C:\Documents and Settings\用户名\Local Settings\Temp\UQZBERSH.DL1
C:\Documents and Settings\用户名\Local Settings\Temp\UQZBERSH.LOG;
4、打开注册表编辑器,以UQZBERSH.DLL为关键词搜索(去掉“全字匹配”前的对勾),报出其在注册表中所在的位置;
5、重新启动计算机,可能会发现病毒进程依然存在,这个问题需要清理相关注册表项才能彻底解决(第2步和第4步)。
麻烦楼主了。
gototop
 
天使之剑
头像
社区嘉宾
  • 帖子:2961
  • 注册: 2005-09-15
  • 来自:
发表于: 2006-01-10 22:36 | 短消息 资料
字号: 45楼

附件标出了它可能在的位置以供参考。

附件附件:

下载次数:133
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-10 22:36:22
描述:
预览信息:EXIF信息
gototop
 
天使之剑
头像
社区嘉宾
  • 帖子:2961
  • 注册: 2005-09-15
  • 来自:
发表于: 2006-01-10 23:21 | 短消息 资料
字号: 46楼




请下载并使用CleanUp!:
【整理】系统清理工具图文介绍

http://forum.ikaka.com/topic.asp?board=67&artid=7241088
该帖中有下载页面地址和使用方法。
gototop
 
天使之剑
头像
社区嘉宾
  • 帖子:2961
  • 注册: 2005-09-15
  • 来自:
发表于: 2006-01-10 23:33 | 短消息 资料
字号: 47楼

虽然盗链不道德,但是偶尔为之应该不要紧吧……
CleanUp!下载链接:

http://www.stevengould.org/downloads/cleanup/CleanUp40.zip
请参考教程使用。
gototop
 
艾玛
头像
大版主
  • 帖子:18894
  • 注册: 2004-01-01
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2006-01-11 09:08 | 短消息 资料
字号: 48楼

天使之剑,弄到那么晚?昨日有饭局未能捧场啊:-)
gototop
 
又被黑了
头像
初生襁褓狮
  • 帖子:1773
  • 注册: 2005-03-07
  • 来自:
发表于: 2006-01-11 09:11 | 只看楼主 短消息 资料
字号: 49楼

...........................

我给出的建议可能比较冗长,请楼主务必保持耐心……
请按照以下的步骤操作:
1、清空IE临时文件夹;
2、请楼主以图片的形式把RootkitRevealer的报告贴全,因为键位对下面的清除工作很重要;
3、使用IceSword删除以下文件:
C:\Documents and Settings\**\Recent\uqzbersh.JPG.lnk
C:\Documents and Settings\**\Recent\uqzbersh.rar.lnk
C:\WINDOWS\SYSTEM32\DRIVERS\UQZBERSH.SYS
C:\WINDOWS\SYSTEM32\UQZBERSH.D1L
C:\WINDOWS\SYSTEM32\UQZBERSH.DLL
C:\Documents and Settings\用户名\Local Settings\Temp\UQZBERSH.DL1
C:\Documents and Settings\用户名\Local Settings\Temp\UQZBERSH.LOG;
4、打开注册表编辑器,以UQZBERSH.DLL为关键词搜索(去掉“全字匹配”前的对勾),报出其在注册表中所在的位置;
5、重新启动计算机,可能会发现病毒进程依然存在,这个问题需要清理相关注册表项才能彻底解决(第2步和第4步)。
麻烦楼主了。
...........................
谢谢朋友指点~我会耐心的
1.RootkitRevealer扫日志cleaning up是完成了?~还用从新扫吗
2.第三项里的文件用IS能找到

gototop
 
又被黑了
头像
初生襁褓狮
  • 帖子:1773
  • 注册: 2005-03-07
  • 来自:
发表于: 2006-01-11 09:12 | 只看楼主 短消息 资料
字号: 50楼

引用:
【天使之剑的贴子】附件标出了它可能在的位置以供参考。
...........................

附件附件:

下载次数:152
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-11 9:12:39
描述:
gototop
 
<<上一主题|下一主题>>
«23456789   5  /  9  页   跳转
页面顶部
Powered by Discuz!NT