瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 无法彻底清除down(0).exe以及相关木马【原创】

1   1  /  1  页   跳转

无法彻底清除down(0).exe以及相关木马【原创】

收藏
CableTron
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2008-03-06
  • 来自:
发表于: 2008-03-06 22:33 | 只看楼主 短消息 资料
字号: 1楼

无法彻底清除down(0).exe以及相关木马【原创】

症状:
  xp频繁自动关闭防护墙。
  本机安装的杀毒软件频繁提示 浏览器自动连接某地址(地址随机)下的文件。
  杀毒软件开始检测到系统运行 down(0).exe down(1).exe ,并且隔离,由此down程序产生错误。
  每隔几个小时出现 某文件自解压失败,请重新下载 的提示,并且显示winRAR程序自解压进度。点击取消终止,出现程序错误提示。此时在系统目录的tmp下面出现
    1.bat
  1.exe
  1.vbs
  knlps.exe
  knlps.sys
5个文件,由于杀毒软件实时监控,1.vbs文件出现运行错误。点击终止后5个文件自动被删除。

此时通过cmd 查看网络连接,发现大量连接到同一个IP地址的tcp连接,此时系统进程出现iexplorer.exe(此时并没有正常启动IE浏览器),内存占用极大,结合网络连接信息得知,是病毒调用ie进程大量连接某个ip地址。通过对比PID号查到启动ie进程的是svchost,但是由于系统进程,无法结束。

接下来是网络中断,连局域网都无法访问,只能禁用网卡,再启用,稍等片刻后恢复正常。

安装多个杀毒软件在安全模式下均查不出木马病毒在那里。根据网上搜索得知应该是中了“艳照门”后门,被植入了木马。但是由于本机安装有多个杀毒软件和反木马监控,应该木马程序没有完全侵占本机。根据网上手动查杀说明,均在本机没有发现原始文件。
 

求教如何彻底清除?

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; InfoPath.1; .NET CLR 1.1.4322)
最后编辑2008-03-07 13:47:15
分享到:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-03-06 22:37 | 短消息 资料
字号: 2楼

扫SRENG日志发论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 解压缩sreng2.zip
2 运行SREng.exe((最好改个名运行,可以改为123.com))
3 智能扫描=》扫描=》保存报告
4 把报告保存后,将日志内容不遗漏任何一个字母复制到另一个新建的空记事本里保存,再以附件形式发论坛来。
一定要以附件形式发论坛来
可以点我这贴的右下角的“引用”就知道怎么以附件形式发来了
gototop
 
CableTron
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2008-03-06
  • 来自:
发表于: 2008-03-07 13:15 | 只看楼主 短消息 资料
字号: 3楼

引用:
【天月来了的贴子】扫SRENG日志发论坛来

下载System Repair Engineer
1 解压缩sreng2.zip
2 运行SREng.exe((最好改个名运行,可以改为123.com))
3 智能扫描=》扫描=》保存报告
4 把报告保存后,将日志内容不遗漏任何一个字母复制到另一个新建的空记事本里保存,再以附件形式发论坛来。
一定要以附件形式发论坛来
可以点我这贴的右下角的“引用”就知道怎么以附件形式发来了
………………

附件附件:

下载次数:141
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-7 13:15:01
描述:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-03-07 13:59 | 短消息 资料
字号: 4楼

下面这个不认识,自己去看看去
==================================
启动文件夹
[router]
  <C:\Documents and Settings\XiaoTian\「开始」菜单\程序\启动\router.bat -->  [N/A]><N>
——————————————————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除,或将启动类型改为“Disabled”
==================================
服务
[Windows system32/helps / Connection Sharing (ICEs)][Stopped/Auto Start]
  <C:\Documents and Settings\All Users\svchost.exe><Remote ABC>

[Remote Procedure / Remote Procedure][Running/Auto Start]
  <C:\WINDOWS\system32\lass.exe><Microsoft Corporation>

[Remote Administrator Service / r_server][Running/Auto Start]
  <"C:\WINDOWS\system32\r_server.exe" /service><N/A>
—————————————————————————————
在扫日志的SRENG工具》系统修复》浏览器加载项》里面找下面删除
==================================
浏览器加载项
[PopBlocker Class]
  {7648AC4A-76F6-4D95-B2C4-F0DBD88E5DD5} <C:\WINDOWS\svrhost.dll, N/A>
——————————————————————————————
下面这个文件,肯定得删了。
==================================
正在运行的进程
    [C:\WINDOWS\system32\lass.dll]  [N/A, ]
————————————————————————————————————
再重启电脑,升级杀毒软件至最新版本全盘杀毒。

这里 下 载 W i n d o w s 清理助手,清理你那系统。
http://www.arswp.com/

记得用QQ医生和瑞星漏洞扫描打打系统补丁,检测到的都打全

清空IE缓存,清空临时文件夹。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT