1   1  /  1  页   跳转

[求助] 救急!

收藏
chjhlyy
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2008-06-17
  • 来自:
发表于: 2008-06-17 23:50 | 只看楼主 短消息 资料
字号: 1楼

救急!

我每次开机时这个程序(c:\windows\system\lsess.exe)都要求修改注册表,并要求连接网络,在访问规则里作了禁止设置也没用。不知道是什么回事。同时我每次重启用防火墙扫描内存都发现木马,详细内容2008-06-17 23:24:59, IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE ->Backdoor.Win32.Agent.zwr,但怎么杀也杀不掉。很急,请高手教我该怎么做,最好详细些,谢谢!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MyIE2 0.3)
分享到:
gototop
 
wbxhs
头像
特邀体验者
  • 帖子:736
  • 注册: 2007-02-13
  • 来自:加勒比海
发表于: 2008-06-18 00:43 | 短消息 资料
字号: 2楼

回复:救急!

扫份SRE上来看看
不在毒群中暴发,就在毒群中灭亡  ——船长        wbxhs@21cn.com
gototop
 
chjhlyy
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2008-06-17
  • 来自:
发表于: 2008-06-18 09:21 | 只看楼主 短消息 资料
字号: 3楼

回复:救急!

不好意思,什么是sre?
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-06-18 09:29 | 短消息 资料
字号: 4楼

回复:救急!

扫SRENG日志发这论坛来
下载SRENG2.6版工具:http://bbs.ikaka.com/attachment.aspx?attachmentid=403512(点右键菜单“目标另存为”下载)
(因为过期,所以压缩包内包含授权信息了,自己输入后就可以正常使用了。)

1 下载的是压缩包,必须解压缩(建议直接解压到系统Windows文件夹里)
2 运行SREng***.EXE  ((最好将其改名为123.com运行))
3 选择主界面左边的:智能扫描=》扫描=》保存报告
4 把报告保存后,直接将日志文件以附件的形式发这论坛来。

一定以附件形式发这论坛来。
点击你自己的主题贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。

(同时注意SRENG工具的“入口点”提示和那个关于<AppInit_DLLs>项的<ieprot.dll>提示都只是常规提示,可以不管它,请不要为这问题反复询问。)

SRENG工具的一些操作,看这贴:http://bbs.ikaka.com/showtopic-8442813.aspx

还有这补丁打了么?
http://bbs.ikaka.com/showtopic-8509685.aspx
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
chjhlyy
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2008-06-17
  • 来自:
发表于: 2008-06-18 10:30 | 只看楼主 短消息 资料
字号: 5楼

回复: 救急!

报告上传,是这样吗?

附件附件:

文件名:SREngLOG.log
下载次数:107
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-18 10:30:02
描述:log
gototop
 
小日来了
头像
社区嘉宾
  • 帖子:3992
  • 注册: 2008-06-18
  • 来自:南京
发表于: 2008-06-18 10:31 | 短消息 资料
字号: 6楼

回复:救急!

删除服务
[Microsoftpvsy / Microsoftpvsy][Stopped/Auto Start]
  <C:\WINDOWS\dossss><N/A>
gototop
 
坏@小子
头像
拙长孩提狮
  • 帖子:121
  • 注册: 2007-12-02
  • 来自:海南
发表于: 2008-06-18 10:38 | 短消息 资料
字号: 7楼

回复:救急!

由于本人技术有限  做出以下结论:
XDelBox下载:http://www.dodudou.com/down/ 打开后选择【原创软件】,下载XDelBox1.7支持奥运版。
使用XDelBox删除以下文件:
使用前一定拔掉所有移动存储设备,将下面文件列表内容完整复制,然后打开XDelBox,在“待删除文件列表”下方空白框处右键,选择“剪贴板导入不检查路径”,勾选上方的“抑制再生”、“驱动安全删除模式”、“备份文件”,最后选择右键菜单的“立刻重启删除”。
C:\WINDOWS\dossss
=======================================
运行SRENG扫描工具,选择【启动项目】-【服务】-【WIN32服务】删除如下~
[Microsoftpvsy / Microsoftpvsy][Stopped/Auto Start]
  <C:\WINDOWS\dossss><N/A>
==========================================
其他貌似没什么问题
gototop
 
chjhlyy
头像
初生襁褓狮
  • 帖子:12
  • 注册: 2008-06-17
  • 来自:
发表于: 2008-06-18 19:15 | 只看楼主 短消息 资料
字号: 8楼

回复:救急!

问题已经解决,十分感谢上面的朋友!
gototop
 
大儿麻痹鱼
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-06-22
  • 来自:
发表于: 2008-06-22 00:19 | 短消息 资料
字号: 9楼

回复: 救急!

附件: SREngLOG.log (2008-6-22 0:19:01, 47.08 K)
该附件被下载次数 101

  我的也中了该款木马,每次清除重启还是有, 这个是我的报告, 麻烦各位高手帮我看看, 谢谢你们了。 我的C:\WINDOWS\里面没有DOSSSS 只有DOSEW 不知道是不是变种了, 麻烦各位告诉我一下, 谢谢了
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT