瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 求助!!惨遭病毒木马伏击 详情见内帖

123   1  /  3  页   跳转

求助!!惨遭病毒木马伏击 详情见内帖

求助!!惨遭病毒木马伏击 详情见内帖

现将失守阵地及敌方名单公布如下:

C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\G1AV4TEJ\real[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GDM7KDMN\rl[1].htm
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\W1ON838R\lz[1].htm
[Hack.Exploit.Script.JS.MultiExp.a]
C:\Documents and Settings\lindama\Local Settings\Temporary Internet Files\Content.IE5\E5ANADC7\real[1].htm
[Suspicious.Trojan.Script.JS.Obcode.c]
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\.exe>>upx_c
[Trojan.DL.Win32.Undef.az]
C:\WINDOWS\system32\sens.dll
[Trojan.Win32.Patch.d]
请求增援!!
不是灌水帖!!
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.13) Gecko/20080311 Firefox/2.0.0.13
最后编辑lindama 最后编辑于 2008-05-12 23:06:33
分享到:
gototop
 

回复:求助!!惨遭病毒木马伏击 详情见内帖

清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

先用上面的软件清理一次系统 
如果还有问题  请看版规 提供日志
不认识我没关系,因为我也不认识你。
gototop
 

回复 1F lindama 的帖子

sorry 没有找到相关版规 应该用什么工具扫描 360卫士查了之后拷下来吗?
gototop
 

回复:求助!!惨遭病毒木马伏击 详情见内帖

下载清理系统临时文件和IE临时文件夹工具,全选所有项目,点击“立即清理”清理系统
http://www.atribune.org/public-beta/ATF-Cleaner.exe

这 里 下 载 W i n d o w s 清 理 助 手 ,清理你那系统。
http://www.arswp.com/

———————————————————————————————————————————————
扫SRENG日志发这论坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 下载的是压缩包,必须解压缩(建议解压到系统Windows文件夹里)
2 运行SREng***.EXE  ((将SREng***.EXE改名为123.com运行))
3 选择主界面左边的:智能扫描=》扫描=》保存报告
4 把报告保存后,直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击你自己的主题贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:求助!!惨遭病毒木马伏击 详情见内帖

点击下载System Repair Engineer系统扫描工具软件
建议直接下载保存到系统文件夹内
扫描和上传日志的方法:
1、解压缩所下载的"sreng980.rar"压缩包;
2、打开已经解压缩的"SREng980"文件夹,双击运行其中的"我爱新郎.com";
3、依次按“智能扫描”、选中“检查进程模块的数字签名”、“扫描”、“保存报告”,将日志保存到桌面上;
4、把保存在桌面上的日志文件以附件形式传上来,请不要更改日志内容.
友情提示:
1、扫描日志前请先关闭所有打开的软件(如QQ、迅雷等程序和IE窗口,注意,是关闭而不是最小化窗口)
2、注意在没有进一步提示前,请勿用SRENG工具胡乱修复,否则系统可能变的情况更糟。
不认识我没关系,因为我也不认识你。
gototop
 

回复: 求助!!惨遭病毒木马伏击 详情见内帖

下方为日志↓

附件: SREngLOG.log (2008-5-14 17:48:59, 43.64 K)
该附件被下载次数 184

gototop
 

回复 4F 天月来了 的帖子

用windows清理助手清理系统时有一个木马始终无法清理,位置是C:\Documents and Settings\All Users\「开始」菜单\程序\启动
gototop
 

回复:求助!!惨遭病毒木马伏击 详情见内帖

下面这两项不认识,自己去判断了。
==================================
驱动程序
[FBAPI / FBAPI][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\FBAPI.sys><N/A>

[Machnm32 Driver / Machnm32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\Machnm32.sys><N/A>
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,
==================================
驱动程序
[CQ / CQ][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp58.tmp><N/A>

[CQSJ / CQSJ][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp63.tmp><N/A>

[QJ / QJ][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp5C.tmp><N/A>

[RXJH / RXJH][Stopped/Manual Start]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tmp4A.tmp><N/A>
————————————————————————————————————
再重启电脑,反复检查,操作相关,

————————————————————————————————————
再重启电脑,

用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://www.atribune.org/public-beta/ATF-Cleaner.exe

用W i n d o w s 清理助手 ,清理你那系统。
W i n d o w s 清理助手 下载:http://www.arswp.com/

升级杀毒软件至最新版本全盘杀毒。
下载卡卡助手,清理你那系统。
记得打打系统漏洞补丁
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 求助!!惨遭病毒木马伏击 详情见内帖



引用:
原帖由 lindama 于 2008-5-14 17:52:00 发表
用windows清理助手清理系统时有一个木马始终无法清理,位置是C:\Documents and Settings\All Users\「开始」菜单\程序\启动


难道是它们?

==================================
启动文件夹
[Utility Tray]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Utility Tray.lnk --> C:\WINDOWS\system32\sistray.exe [Silicon Integrated Systems Corporation]><N>
[Adobe Gamma]
  <C:\Documents and Settings\lindama\「开始」菜单\程序\启动\Adobe Gamma.lnk --> C:\PROGRA~1\COMMON~1\Adobe\CALIBR~1\ADOBEG~1.EXE [Adobe Systems, Inc.]><N>

是些什么呢?自己判断一下,是你必须要用的宝贝东西么???

不是必须的,就删除:

C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Utility Tray.lnk
C:\Documents and Settings\lindama\「开始」菜单\程序\启动\Adobe Gamma.lnk
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复 8F 天月来了 的帖子

天月:
sreng相关项无法删除, utility tray 与 adobe gamma 两个快捷方式找到并删除了,具体情况如何,正在进一步的了解中。
另:xp启动时会出现一个启动/exe的程序
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT