瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 开机后,系统自动打开c:\windows\system32目录;

1234   2  /  4  页   跳转

开机后,系统自动打开c:\windows\system32目录;

收藏
鸟儿天上飞
头像
叱咤花甲狮
  • 帖子:2332
  • 注册: 2006-11-30
  • 来自:
发表于: 2007-01-14 01:25 | 短消息 资料
字号: 11楼

IceSword冰刃-斩断木马黑手的利刃
下载地址1:
中文:http://202.38.64.10/~jfpan/download/IceSword120_cn.zip
MD5 : cfb8514add1fbfb510b0084e837e561c


使用IceSword杀毒的一些基本操作
http://forum.ikaka.com/topic.asp?board=28&artid=7168178



注册表定位到[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Internet><C:\WINDOWS\system32\> [N/A]

注册表定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2D49692C-A5FD-4E29-A3CD-37E9B182FCC6}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys> [N/A]

注册表定位到HKEY_LOCAL_MACHINE\ SYSTEM\ CURRENT CONTROLSET\ SERVICES
[Server Advance / ServerAC][Stopped/Auto Start]
<C:\WINDOWS\system32\Security.exe><N/A>
[ngSlotDaemon / ngSlotD][Running/Auto Start]
<C:\Program Files\ngsrv\ngslotd.exe><^_^>
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
<C:\WINDOWS\system32\ntsokele.exe><N/A>
1、下载、运行IceSword。
2、用IceSword禁止进程创建。
3、找到并右击IceSword自身的进程名,点击“模块信息”。仔细查看模块中是否有C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys。如果有,用IceSword强制卸除之(千万不要省略这一步)。
4、用IceSword结束除下列进程以外的进程:
[PID: 692][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 796][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 820][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 864][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 876][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1028][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1092][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1236][C:\Program Files\Rising\Rav\CCenter.exe] [Beijing Rising Technology Co., Ltd., 18, 0, 0, 3]
[PID: 1252][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1292][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
5、用IceSword删除上述加载项(红字内容)。
6、用IceSword删除以下文件。
C:\WINDOWS\system32\ntsokele.exe
C:\WINDOWS\system32\Security.exe
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys
强制删除下C:\Program Files\ngsrv所有东西。。

C:\WINDOWS\system32\LgSyzr.dll
C:\WINDOWS\system32\3721.11.dll
C:\WINDOWS\iexp1ore.exe
C:\WINDOWS\system32\LgSyzr.dll

删除E,F盘下的:
Autorun.inf  sxs.exe
7、点击IceSword工具栏上的“文件”、“设置”,取消“禁止进程创建”。
8、点击IceSword工具栏上的“文件”、“重启并监视”。此时,系统重启。

下载360清理流氓,,360安全卫士-清除流氓软件!
下载地址:http://www.360safe.com

以上可能只解决部分问题。。请重新扫描日志传上来。。
gototop
 
UFO不幸外人
头像
特邀体验者
  • 帖子:2592
  • 注册: 2006-11-26
  • 来自:火星
发表于: 2007-01-14 01:31 | 短消息 资料
字号: 12楼

我写的方法失误大了 希望搂主原谅

回复楼上的  你的有一点我提出质疑
找到并右击IceSword自身的进程名,点击“模块信息”。仔细查看模块中是否有C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys。如果有,用IceSword强制卸除之(千万不要省略这一步)。
这一点,SYS怎么可能在模块信息中,要在也在内核里面,况且如果在模块信息这里面,日志中可以看得出来
gototop
 
UFO不幸外人
头像
特邀体验者
  • 帖子:2592
  • 注册: 2006-11-26
  • 来自:火星
发表于: 2007-01-14 01:32 | 短消息 资料
字号: 13楼

我对我的方法做进一步的补充,C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys非常顽固,为了他我狠心重新安装系统,没有去研究,当然系统中有至少4钟病毒存在残余,很累人
gototop
 
xuemeig
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-01-12
  • 来自:
发表于: 2007-01-14 01:34 | 只看楼主 短消息 资料
字号: 14楼

对不起,刚才贴得问题不全,还有就是计算机屏幕经常蹦出如下等9个画面,相关涉及文件

依次是:
L_hy20.scr
L_hy21.exe(以下文件画面雷同,只是文件名不同)
L_hy22.com
L_hy23.pif
L_hy24.exe
L_hy25.scr
L_hy26.exe
L_hy27.pif
L_hy28.scr

以上前两个画面是不同的,分别如下:

附件附件:

下载次数:3118
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-14 1:34:48
描述:
预览信息:EXIF信息
gototop
 
xuemeig
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-01-12
  • 来自:
发表于: 2007-01-14 01:35 | 只看楼主 短消息 资料
字号: 15楼

图片继续

附件附件:

下载次数:3193
文件类型:image/pjpeg
文件大小:
上传时间:2007-1-14 1:35:41
描述:
预览信息:EXIF信息
gototop
 
鸟儿天上飞
头像
叱咤花甲狮
  • 帖子:2332
  • 注册: 2006-11-30
  • 来自:
发表于: 2007-01-14 01:39 | 短消息 资料
字号: 16楼

都用冰刃强制删除..先解决上面的问题..你机器里中了木马下载器下载病毒很正常
gototop
 
UFO不幸外人
头像
特邀体验者
  • 帖子:2592
  • 注册: 2006-11-26
  • 来自:火星
发表于: 2007-01-14 01:47 | 短消息 资料
字号: 17楼

用冰刃  文件  强制删除  并且可以用我说的具体方法 处理现有病毒

首先 打开冰刃 结束下列进程:
[PID: 2012][C:\WINDOWS\System32\SCardSvr.exe]
[PID: 468][C:\Program Files\ngsrv\citic_certd.exe]
[PID: 1740][C:\WINDOWS\Explorer.EXE]
[PID: 424][C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe]
PID: 432][C:\WINDOWS\VM_STI.EXE]
[PID: 532][C:\WINDOWS\SOUNDMAN.EXE]
[PID: 544][C:\Program Files\Rising\Rfw\rfwmain.exe]
[PID: 636][C:\WINDOWS\system32\ctfmon.exe]
[PID: 600][C:\Program Files\Rising\AntiSpyware\runiep.exe]
[PID: 444][C:\Program Files\Internet Explorer\IEXPLORE.EXE]
[PID: 596][C:\Program Files\ngsrv\ngslotd.exe]
[PID: 3156][C:\Program Files\淘宝网\淘宝旺旺\WangWang.exe]
PID: 3344][C:\WINDOWS\iexp1ore.exe]
PID: 2304][C:\Program Files\Internet Explorer\iexplore.exe]
[PID: 3036][F:\Downloads\sreng2\SREng.EXE]

用冰刃注册表打开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks删除下面键值
<{2D49692C-A5FD-4E29-A3CD-37E9B182FCC6}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys> [N/A]

还有服务的问题 用冰刃 切换到服务 把下列服务改为禁用
[Cryptographic Service / Cryptographic Service][Stopped/Auto Start]
<C:\WINDOWS\sp2.exe><N/A>
[host Service For Windows / mshostsr][Stopped/Auto Start]
<C:\WINDOWS\mshostsr.exe><N/A>
[ngSlotDaemon / ngSlotD][Running/Auto Start]
<C:\Program Files\ngsrv\ngslotd.exe><^_^>
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
<C:\WINDOWS\system32\ntsokele.exe><N/A>
[Server Advance / ServerAC][Stopped/Auto Start]
<C:\WINDOWS\system32\Security.exe><N/A>
[Windows User Mode Driver Framework / UMWdf][Running/Auto Start]
<C:\WINDOWS\system32\wdfmgr.exe><Microsoft Corporation>

在冰刃中强制删除
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\mshostsr.exe
C:\WINDOWS\sp2.exe
C:\Program Files\ngsrv\ngslotd.exe
C:\WINDOWS\system32\Security.exe
C:\WINDOWS\system32\userspi.dll
C:\WINDOWS\system32\wsvbs.dll
C:\WINDOWS\system32\LgSyzr.dll
C:\WINDOWS\system32\3721.11.dll
C:\WINDOWS\iexp1ore.exe
C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys

晴空C:\Program Files\ngsrv\(直接强制删除文件夹就可以了)
C:\Documents and Settings\用户名\Local Settings\Temp 强制删除所有文件文件夹

创建C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys\文件夹

autorun.inf的处理方法
用冰刃 直接删除所有autorun.inf 和 sxs.exe 并且 重新启动计算机 打开记事本 输入

md c:\autorun.inf\
attrib c:\autorun.inf\ +s +r +a +h /d
md d:\autorun.inf\
attrib d:\autorun.inf\ +s +r +a +h /d
md e:\autorun.inf\
attrib e:\autorun.inf\ +s +r +a +h /d
md f:\autorun.inf\
attrib f:\autorun.inf\ +s +r +a +h /d

然后改为a.bat

这个是个防止autorun.inf的方法
gototop
 
xuemeig
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-01-12
  • 来自:
发表于: 2007-01-14 03:44 | 只看楼主 短消息 资料
字号: 18楼

太感谢了,开机不进入那个目录了,不过很多东西都不好用了......
比如:打字的时候要选择微软拼音就不行;网上银行也不好用了...
不过没有病毒就好,那些东西应该能重新安装的吧 .
注册表定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{2D49692C-A5FD-4E29-A3CD-37E9B182FCC6}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys> [N/A]

的时候,发现还有一个systemkb.bak,没关系吧,我还是把报告发上来吧,麻烦再看一下,今天真应该向公司申请值夜班:)
gototop
 
xuemeig
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-01-12
  • 来自:
发表于: 2007-01-14 04:04 | 只看楼主 短消息 资料
字号: 19楼

========Content========
有些没有照做:)
C:\WINDOWS\iexp1ore.exe这个结束后ie最下面的条没有了;

晴空C:\Program Files\ngsrv\(直接强制删除文件夹就可以了),这个是有用的

创建C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys\文件夹是不行的,系统提示已经有此文件夹了

用冰刃 直接删除所有autorun.inf 和 sxs.exe 并且 重新启动计算机 打开记事本 输入

md c:\autorun.inf\
attrib c:\autorun.inf\ +s +r +a +h /d
md d:\autorun.inf\
attrib d:\autorun.inf\ +s +r +a +h /d
md e:\autorun.inf\
attrib e:\autorun.inf\ +s +r +a +h /d
md f:\autorun.inf\
attrib f:\autorun.inf\ +s +r +a +h /d

然后改为a.bat

这个是用冰刃 直接删除所有硬盘的autorun.inf 和 sxs.exe 吗?
另外,这个a.bat要执行吗?
gototop
 
xuemeig
头像
初生襁褓狮
  • 帖子:46
  • 注册: 2007-01-12
  • 来自:
发表于: 2007-01-14 04:06 | 只看楼主 短消息 资料
字号: 20楼

[CODE]

2007-01-14,03:18:37

System Repair Engineer 2.3.13.690
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <NeroFilterCheck><C:\WINDOWS\system32\NeroCheck.exe>  [Ahead Software Gmbh]
    <RemoteControl><"C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe">  [Cyberlink Corp.]
    <BigDogPath><C:\WINDOWS\VM_STI.EXE Vimicro USB PC Camera (ZC0301PL)>  [N/A]
    <Alitalk><C:\PROGRA~1\阿里巴巴\贸易通\AliTalk.EXE -hideframe>  [Alibaba]
    <Install Alitalk><C:\WINDOWS\temp\alitalk\alitalk.exe -hideframe>  [N/A]
    <citic_certd><C:\Program Files\ngsrv\citic_certd.exe -r>  [China CITIC bank]
    <CFCA/Direct6.0优化版 Recovery><"C:\Program Files\CFCA\etdirrcv.exe">  [Entrust(R)]
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Corporation]
    <MSPY2002><C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC>  [(Verified)N/A]
    <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Corporation]
    <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Corporation]
    <SoundMan><SOUNDMAN.EXE>  [(Verified)Realtek Semiconductor Corp.]
    <CFCA/Direct6.0优化版 Recov><>  [N/A]
    <KernelFaultCheck><%systemroot%\system32\dumprep 0 -k>  [N/A]
    <RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup>  [Beijing Rising Technology Co., Ltd.]
    <runeip><C:\Program Files\Rising\AntiSpyware\runiep.exe>  [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <RavStub><"C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE>  [Beijing Rising Technology Co., Ltd.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\Userinit.exe,>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll>  [Beijing Rising Technology Co., Ltd.]
    <{2D49692C-A5FD-4E29-A3CD-37E9B182FCC6}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>  [N/A]
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><C:\WINDOWS\system32\BLISS.SCR>  [Microsoft]

==================================
启动文件夹
[壁纸自动换]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\壁纸自动换.lnk --> C:\WINDOWS\system32\bgswitch.exe [N/A]><N>

==================================
服务
[Cryptographic Service / Cryptographic Service][Stopped/Auto Start]
  <C:\WINDOWS\sp2.exe><N/A>
[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[InstallDriver Table Manager / IDriverT][Stopped/Manual Start]
  <"C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe"><Macrovision Corporation>
[host Service For Windows / mshostsr][Running/Auto Start]
  <C:\WINDOWS\mshostsr.exe><N/A>
[ngSlotDaemon / ngSlotD][Stopped/Auto Start]
  <><N/A>
[Remote Help Session Manager / Rasautol][Stopped/Auto Start]
  <><N/A>
[Rising Proxy  Service / RfwProxySrv][Stopped/Manual Start]
  <c:\program files\rising\rfw\rfwproxy.exe><Beijing Rising Technology Co., Ltd.>
[Rising Personal Firewall Service / RfwService][Running/Auto Start]
  <c:\program files\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.>
[Rising Process Communication Center / RsCCenter][Running/Auto Start]
  <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[RsRavMon Service / RsRavMon][Running/Auto Start]
  <"C:\Program Files\Rising\Rav\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>
[Server Advance / ServerAC][Stopped/Auto Start]
  <><N/A>
[SQLServerAgent / SQLServerAgent][Stopped/Manual Start]
  <d:\MSSQL7\binn\sqlagent.exe><Microsoft Corporation>
[Windows User Mode Driver Framework / UMWdf][Running/Auto Start]
  <C:\WINDOWS\system32\wdfmgr.exe><Microsoft Corporation>

==================================
gototop
 
<<上一主题|下一主题>>
1234   2  /  4  页   跳转
页面顶部
Powered by Discuz!NT