12   1  /  2  页   跳转

[转载] 请各位大侠帮我看看sreng日志啊

请各位大侠帮我看看sreng日志啊

好像有好多病毒 啊

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59  from: http://bsalsa.com/ )

附件附件:

文件名:SREngLOG.log
下载次数:168
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-3 15:25:27
描述:log

分享到:
gototop
 

回复:请各位大侠帮我看看sreng日志啊

日志显示系统时间严重异常2002-07-03,15:16:32


这里官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip

删除:
C:\WINDOWS\system32\wauc11.exe
C:\WINDOWS\system32\explorer.exe
C:\Autorun.inf
D:\Autorun.inf
E:\Autorun.inf
F:\Autorun.inf

不论删除结果如何继续下面操作。
————————————————————————————————————
去C:\WINDOWS\system32\dllcache文件夹里找Explorer.exe文件,复制到C:\WINDOWS\文件夹里替换。
或者这贴里找相关文件下载。

http://bbs.ikaka.com/showtopic-8417665.aspx

替换前先在任务管理器里结束Explorer.exe进程。没进程就直接替换。

操作时按“Ctrl+Alt+Del”键打开任务管理器,结束相关进程。
在任务管理器上点“文件”》“新建任务”》“浏览”  将相关文件复制到相关文件夹里替换。
————————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <IEXPLORER><C:\WINDOWS\system32\explorer.exe>  []
————————————————————————————————————
再重启电脑,看情况如何

杀毒软件升级至最新版本全盘杀。

记得打打系统漏洞补丁

这补丁很重要
http://bbs.ikaka.com/showtopic-8509685.aspx

部分工具的操作看这贴:http://bbs.ikaka.com/showtopic-8442813.aspx
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复 2F 天月来了 的帖子

重启不了  我是切断电源才关的机  一点关机就没反映了 现在正在用瑞星杀毒
gototop
 

回复:请各位大侠帮我看看sreng日志啊

我说的删文件

替换文件

你都做过了???

如果都严格做过

就不管你怎么重启。

重启后再来新日志。

或者系统无异常就行了
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:请各位大侠帮我看看sreng日志啊

没找到dllcache文件夹  所以在你提供的网页里下了一个 explore.exe                             
替换时c:/windows 里没有explore.exe                              所以我直接放进去了
gototop
 

回复:请各位大侠帮我看看sreng日志啊

你能不能将日志以附件形式发来

百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 请各位大侠帮我看看sreng日志啊



引用:
原帖由 天月来了 于 2008-7-3 17:20:00 发表
你能不能将日志以附件形式发来

 

附件附件:

文件名:SREngLOG.log
下载次数:159
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-3 17:40:16
描述:log

gototop
 

回复:请各位大侠帮我看看sreng日志啊



对不起

晕死了

早前光顾和MM灌水玩了

忘记这个了:

运行下载的删除映像劫持工具,清除检测到的所有映像劫持项。
http://bbs.ikaka.com/attachment.aspx?attachmentid=386493

清除完以后,立即重启电脑,再看怎样
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:请各位大侠帮我看看sreng日志啊

用xdelbox删除以下文件
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,勾选抑制再生
导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。
运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。


能直接删除就直接删除,xdelbox要是用不了可以用费尔、瑞星文件粉碎……

C:\WINDOWS\system32\wauc11.exe
C:\WINDOWS\System32\Drivers\bootdrv.sys


sreng->启动项目-》注册表,删除
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE]
    <IFEO[360rpt.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.EXE]
    <IFEO[360safe.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.EXE]
    <IFEO[360tray.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ANTIARP.EXE]
    <IFEO[ANTIARP.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ast.EXE]
    <IFEO[Ast.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AutoRunKiller.EXE]
    <IFEO[AutoRunKiller.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AvMonitor.EXE]
    <IFEO[AvMonitor.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE]
    <IFEO[AVP.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Frameworkservice.EXE]
    <IFEO[Frameworkservice.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GFUpd.EXE]
    <IFEO[GFUpd.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\GuardField.EXE]
    <IFEO[GuardField.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IceSword.EXE]
    <IFEO[IceSword.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.EXE]
    <IFEO[Iparmor.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KASARP.EXE]
    <IFEO[KASARP.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kavstart.EXE]
    <IFEO[kavstart.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kmailmon.EXE]
    <IFEO[kmailmon.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KRegEx.EXE]
    <IFEO[KRegEx.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonxp.kxp]
    <IFEO[KVMonxp.kxp]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.EXE]
    <IFEO[KVSrvXP.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVWSC.EXE]
    <IFEO[KVWSC.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatch.EXE]
    <IFEO[kwatch.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mmsk.EXE]
    <IFEO[Mmsk.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.EXE]
    <IFEO[Navapsvc.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Nod32kui.EXE]
    <IFEO[Nod32kui.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.EXE]
    <IFEO[PFW.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavUpdate.EXE]
    <IFEO[RavUpdate.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwproxy.EXE]
    <IFEO[rfwproxy.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPC32.EXE]
    <IFEO[VPC32.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VPTRAY.EXE]
    <IFEO[VPTRAY.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WOPTILITIES.EXE]
    <IFEO[WOPTILITIES.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Wuauclt.EXE]
    <IFEO[Wuauclt.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\~.EXE]
    <IFEO[~.EXE]><C:\WINDOWS\system32\wauc11.exe>  []
sreng-》启动项目-》服务-》驱动程序,删除
[bootdrv / bootdrv][Stopped/Disabled]
  <\SystemRoot\System32\Drivers\bootdrv.sys><N/A>

重新替换explorer.exe,你选择显示受保护的系统文件和显示所有文件和文件夹,就能看见dllcache文件夹了
gototop
 

回复 8F 天月来了 的帖子

它说找到0项
瑞星找到的是这个病毒 AdWare.Win32.Mnless.agg
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT