瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 SYSTEM32\COM\SERVICES.EXE病毒变种了(附Sreng日志)

1   1  /  1  页   跳转

SYSTEM32\COM\SERVICES.EXE病毒变种了(附Sreng日志)

收藏
haixinshi
头像
快乐黄口狮
  • 帖子:198
  • 注册: 2006-08-28
  • 来自:
发表于: 2008-01-17 20:40 | 只看楼主 短消息 资料
字号: 1楼

SYSTEM32\COM\SERVICES.EXE病毒变种了(附Sreng日志)

SYSTEM32\COM\SERVICES.EXE病毒删除之后出现了
C:\WINDOWS\SYSTEM32\COM\SERVICES.EXE]
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VGX\SMSS.EXE]
C:\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\VGX\SMSS.EXE]
在用XDelBox1.6和SRENG清除变成了C:\WINDOWS\Temp\5024.exe,
清除了5024.exe之后 隐藏进程[412] C:\WINDOWS\VM_STI.EXE变成了
特殊特权被允许: SeDebugPrivilege [PID = 2256, C:\WINDOWS\VM_STI.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 2256, C:\WINDOWS\VM_STI.EXE]
附件是新扫描的日志,情各位大大帮忙看看,多谢了!


原帖:http://forum.ikaka.com/topic.asp?board=40&artid=8417846
[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

附件附件:

下载次数:115
文件类型:application/octet-stream
文件大小:
上传时间:2008-1-17 20:40:00
描述:

最后编辑2008-01-17 22:19:12
分享到:
gototop
 
agee
头像
飘泊而立狮
  • 帖子:543
  • 注册: 2007-01-26
  • 来自:
发表于: 2008-01-17 21:51 | 短消息 资料
字号: 2楼

删除以下服务
[NetWork Service / nkserv][Stopped/Auto Start]
  <c:\program files\common files\system\serv.exe -system><Microsoft Corporation>
删除以下驱动
[npkcrypt / npkcrypt][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkcrypt.sys><N/A>
[npkycryp / npkycryp][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\npkycryp.sys><N/A>
并删除以下文件
c:\program files\common files\system\serv.exe
C:\WINDOWS\system32\npkcrypt.sys
C:\WINDOWS\system32\npkycryp.sys
gototop
 
haixinshi
头像
快乐黄口狮
  • 帖子:198
  • 注册: 2006-08-28
  • 来自:
发表于: 2008-01-17 22:30 | 只看楼主 短消息 资料
字号: 3楼

【回复“agee”的帖子】
agee:多谢了!我按你说的步骤操作了,不过输入时这两项找不到C:\WINDOWS\system32\npkcrypt.sys
C:\WINDOWS\system32\npkycryp.sys
提示时是无此文件

我重新扫描日志,帮我再看看,谢谢!!

附件附件:

下载次数:107
文件类型:application/octet-stream
文件大小:
上传时间:2008-1-17 22:30:43
描述:
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT