瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】某潜在病毒存在,求高手把其揪出,有日志

123   1  /  3  页   跳转

【求助】某潜在病毒存在,求高手把其揪出,有日志

收藏
ccoccocco
头像
快乐黄口狮
  • 帖子:150
  • 注册: 2006-08-01
  • 来自:
发表于: 2007-12-20 14:55 | 只看楼主 短消息 资料
字号: 1楼

【求助】某潜在病毒存在,求高手把其揪出,有日志

今天瑞星检控突然关闭,心知不妙,遂查毒,有三,如下:

病毒名称 处理结果 发现日期 查杀方式 路径 文件 病毒来源       
Worm.Win32.DownLoad.ab        删除成功    2007-12-20 13:52:17  手动查杀   
D:\Program Files\sreng25\SuspiciousFiles\P_SELOADDRIVER   
TXHMOU.EXE.V  本机 
Worm.Win32.DownLoad.ab        删除成功    2007-12-20 13:52:29  手动查杀 
D:\Program Files\sreng25\SuspiciousFiles\AUTORUNINF     
SOS.EXE.V  本机 
Worm.Win32.DownLoad.ab        删除成功    2007-12-20 13:52:29  手动查杀
D:\Program Files\sreng25\SuspiciousFiles\AUTORUNINF
SOS.EXE_3621918998.V  本机

杀完,检控仍瘫痪,求高人相助。

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

下载次数:103
文件类型:application/octet-stream
文件大小:
上传时间:2007-12-20 14:55:58
描述:

最后编辑2008-01-02 02:12:58.590000000
分享到:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-12-20 15:12 | 短消息 资料
字号: 2楼

这项感觉怪怪的,去看看系统启动必须的文件userinit.exe还是不是系统原来的。
其他没看出什么。
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><userinit.exe,>  [(Verified)Beijing Rising Science and Technology Corporation Limited]
至于瑞星软件可以选择开始菜单里找瑞星的“添加删除程序”里找“修复”瑞星软件试试

或者重装瑞星软件。

这D:\Program Files\sreng25\里原本是什么??
gototop
 
ccoccocco
头像
快乐黄口狮
  • 帖子:150
  • 注册: 2006-08-01
  • 来自:
发表于: 2007-12-20 15:35 | 只看楼主 短消息 资料
字号: 3楼

userinit.exe这个如何鉴定真伪?

“添加删除程序”里“修复”是灰的点不了。。。

D:\Program Files\sreng25\是扫日志的那个程序呀。。。2.5版的

莫非需要重下一个扫描程序。。。?
gototop
 
ccoccocco
头像
快乐黄口狮
  • 帖子:150
  • 注册: 2006-08-01
  • 来自:
发表于: 2007-12-20 15:41 | 只看楼主 短消息 资料
字号: 4楼

userinit.exe

貌似是有问题,sreng说是非正常值,尝试修复失败(修复了再点还有)
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-12-20 15:41 | 短消息 资料
字号: 5楼

随便了,一般下载这工具建议放在系统Windows文件夹里,因为几乎所有病毒都不感染这个文件夹里的可执行文件。

其他的文件夹易被感染。

原来的那个不要了吧。删除了吧。

至于userinit.exe
可以看看文件属性里是否被修改,有修改时间的。
gototop
 
ccoccocco
头像
快乐黄口狮
  • 帖子:150
  • 注册: 2006-08-01
  • 来自:
发表于: 2007-12-20 15:54 | 只看楼主 短消息 资料
字号: 6楼

修改时间:2004年8月17日, 12:00:00

重下了个扫描

顺便扫了个新日志

附件附件:

下载次数:116
文件类型:application/octet-stream
文件大小:
上传时间:2007-12-20 15:54:04
描述:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-12-20 16:01 | 短消息 资料
字号: 7楼

现在正常了,看不出什么了。

你平时可以将瑞星的主动防御的那个系统加固推到最高。

平时注意瑞星的提示,就可以了。
gototop
 
ccoccocco
头像
快乐黄口狮
  • 帖子:150
  • 注册: 2006-08-01
  • 来自:
发表于: 2007-12-20 16:13 | 只看楼主 短消息 资料
字号: 8楼

重起了下机器,监控是正常了,

userinit.exe这个sreng还在说是非正常值。。。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-12-20 16:27 | 短消息 资料
字号: 9楼

这个啊

呵呵!!

就会提示的。

没关系

不用考虑了。

实在怕,就去在扫日志的SRENG工具》启动项目》注册表》里面找下面项目修改:
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><userinit.exe,>  [(Verified)Beijing Rising Science and Technology Corporation Limited]

就是将<Userinit><userinit.exe,>  [(Verified)Beijing Rising Science and Technology Corporation Limited]  修改为为:
<AppInit_DLLs><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Beijing Rising Science and Technology Corporation Limited]

也就是将userinit.exe,换成C:\Windows\system32\userinit.exe,
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-12-20 16:29 | 短消息 资料
字号: 10楼

注意那个C:\Windows\system32\userinit.exe,

后面那个“,”号不要少了,同时这“,”号还必须是英文状态输入法下的。
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT