瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 怀疑电脑有木马,请流星斑竹过目

1   1  /  1  页   跳转

怀疑电脑有木马,请流星斑竹过目

收藏
共享
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2007-08-23
  • 来自:
发表于: 2007-08-24 19:57 | 只看楼主 短消息 资料
字号: 1楼

怀疑电脑有木马,请流星斑竹过目

电脑中过毒,但杀了,双系统瑞星与咔吧都杀过,现在查不出病毒,日志附上了,请流星斑竹过目

==================================
API HOOK
RVA  错误: LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
这5条是红的。
我机器现在超慢。
急切期盼中!!!!!!!!

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)

附件附件:

下载次数:90
文件类型:application/octet-stream
文件大小:
上传时间:2007-8-24 19:57:29
描述:

最后编辑2007-08-26 13:21:47
分享到:
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2007-08-24 20:58 | 短消息 资料
字号: 2楼

==================================
API HOOK
RVA  错误: LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

装了卡巴就这样,不要管他,也不要修复,正常的。

关于你机的问题,发现:
1、安装了三个杀软,瑞星+卡巴+趋势。选择两个彻底卸载。这应该是你机慢的重要原因之一;
2、发现一些可疑文件,可能是病毒,但不确定。
等高手帮你看看吧。
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2007-08-24 21:29 | 短消息 资料
字号: 3楼

建议:
1、卸载多余的杀毒软件,而且要彻底清理掉残留的多余杀软安装目录的残留文件;
2、到我的网盘(地址见我的签名)下载WINDOWS清理助手、恶意软件清理助手、360安全卫士,依次运行清理,搞掉你机中的流氓软件;
3、上面工作完成后还有什么问题,再发个日志上来。
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2007-08-24 21:32 | 短消息 资料
字号: 4楼

[xxsjkq2 / xxsjkq20][Stopped/Boot Start]
  <\SystemRoot\System32\DRIVERS\xxsjkq20.sys><N/A>
把上面这个病毒驱动程序用SRENG系统修复工具灭掉,然后删除c:\windows\\System32\DRIVERS\xxsjkq20.sys这个病毒文件。
gototop
 
共享
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2007-08-23
  • 来自:
发表于: 2007-08-24 23:03 | 只看楼主 短消息 资料
字号: 5楼

十分感谢!!!
gototop
 
共享
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2007-08-23
  • 来自:
发表于: 2007-08-25 01:21 | 只看楼主 短消息 资料
字号: 6楼

清理完后的日志,
但是,[xxsjkq2 / xxsjkq20][Stopped/Boot Start]
<\SystemRoot\System32\DRIVERS\xxsjkq20.sys><N/A>
不知道怎么清,帮帮我!!!!!

附件附件:

下载次数:135
文件类型:application/octet-stream
文件大小:
上传时间:2007-8-25 1:21:11
描述:
gototop
 
matongtoto
头像
自信弱冠狮
  • 帖子:376
  • 注册: 2007-08-22
  • 来自:
发表于: 2007-08-25 01:28 | 短消息 资料
字号: 7楼

1.建议使用XDelBox删除以下文件:(XDelBox1.3下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

;
c:\windows\system32\drivers\xxsjkq20.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[yok.exe]    <; >

    启动项目 -- 服务-- 驱动程序之如下项删除:
[xxsjkq2 / xxsjkq20]    <\SystemRoot\System32\DRIVERS\xxsjkq20.sys>
gototop
 
matongtoto
头像
自信弱冠狮
  • 帖子:376
  • 注册: 2007-08-22
  • 来自:
发表于: 2007-08-25 01:28 | 短消息 资料
字号: 8楼

下载windows清理助手清理恶意软件
http://www.arswp.com/download/arswp/arswp.rar
gototop
 
流星陨落
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-04-17
  • 来自:
发表于: 2007-08-25 13:14 | 短消息 资料
字号: 9楼

c:\windows\system32\drivers\xxsjkq20.sys
c:\windows\system32\new.sys

以上文件压缩发送到http://up.rising.com.cn/webmail/uploadnew.htm
等待可疑文件回复,如果邮件回复不是病毒,请不要随意删除文件,如果邮件回复是病毒,使用卡卡助手清理系统,并且进入安全模式,使用系统自带搜索功能,勾选搜索隐藏文件,对病毒文件进行全盘搜索,找到后删除,升级瑞星到最新版本全盘杀毒,如果本次回复未能解决您的问题,请点击论坛上面灰色的“已解决”
gototop
 
共享
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2007-08-23
  • 来自:
发表于: 2007-08-26 13:32 | 只看楼主 短消息 资料
字号: 10楼

【回复“流星陨落”的帖子】

这两个文件已经找不到了,用清理软件清过了,现在系统好很多了.
特别感谢"超级游戏迷"!!!!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT