12   1  /  2  页   跳转

[已解决] sre启动就被删除

收藏
birdfly
头像
拙长孩提狮
  • 帖子:104
  • 注册: 2005-10-21
  • 来自:
发表于: 2008-07-12 11:50 | 只看楼主 短消息 资料
字号: 1楼

sre启动就被删除

sre一启动就被删除,改为com或bat都没用。卡卡社区也上不了,应该是病毒改了hosts文件。
用听诊器扫描,扫描结果见附件。
扫描之前ssm发现调用system32目录下ozyeg\lsass.exe ,已删除,还调用了system32目录下的dvg.dll,因为在使用,无法删除。

金山词霸可执行文件也被删除。发现中毒也就是因为词霸用不了,重装也不行,后来用sre扫描,发现竟然被删除,才知道中毒了。
请教大虾,应该怎样处理?谢谢!

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0

附件附件:

文件名:log.txt
下载次数:286
文件类型:text/plain
文件大小:
上传时间:2008-7-12 11:50:08
描述:txt

最后编辑birdfly 最后编辑于 2008-07-12 19:49:01
分享到:
gototop
 
pehi
头像
飘泊而立狮
  • 帖子:593
  • 注册: 2008-07-05
  • 来自:GZ
发表于: 2008-07-12 12:58 | 短消息 资料
字号: 2楼

回复:sre启动就被删除

先用木马群专工具清除一下阻止SRENG启动的木马:http://bbs.ikaka.com/showtopic-8443439.aspx
再用windows清理助手清理一下系统。(未签名的那些不要选择删除)
windows清理助手下载页面:http://www.arswp.com/download.html
———————————————————————————————————————
然后使用System Repair Engineer扫描日志,将日志作为附件上传上来。
下载页面:http://www.kztechs.com/sreng/download.html
操作方法:
1、下载后解压缩,运行SREngPS.EXE;
2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
4、选择保存路径,文件名保持默认,直接点击【保存】;
5、打开保存的日志文件SREngLOG.log,完整复制全部内容,新建一个文本文档,将日志中的全部内容粘贴到“新建文本文档.txt”

中;
6、将“新建文本文档.txt”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。
注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。
Is everybody going crazy??
http://www.antidu.cn/upfiles/xdelbox1.7.rar-->XdelBOX下载!
在线杀毒http://www.antidu.cn/board/online/
gototop
 
开心101
头像
卡卡反病毒小组
  • 帖子:1210
  • 注册: 2008-07-05
  • 来自:梦开始的地方
发表于: 2008-07-12 15:05 | 短消息 资料
字号: 3楼

回复:sre启动就被删除

将sreng工具改名为123.exe,然后将这123.exe复制到系统盘根目录,
例如c盘根目录,

接着在“开始菜单”的“运行”里输入  c:\123.exe /escan  确定后,就会在后台无窗口的情况下扫描日志,

并默认自动保存在系统当前用户原默认的桌面中,如果你的桌面已不是在系统盘,而是被移动到非系统盘,此时你可能只有全机搜索srenglogem.log这个文件了。
这样试试呢
gototop
 
天月来了
头像
版主
  • 帖子:76900
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-07-12 15:21 | 短消息 资料
字号: 4楼

回复:sre启动就被删除

楼上两位看我签名部分的内容去。


楼主请用解压工具WinRAR依路径找这四个文件,一定要想法复制压缩发来。急需要这病毒文件加库。

    c:\windows\system32\cba.dll
    c:\windows\system32\dvg.dll
    c:\windows\system32\vny.dll
    c:\windows\system32\hzk.dll
最后编辑天月来了 最后编辑于 2008-07-12 15:28:58
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
birdfly
头像
拙长孩提狮
  • 帖子:104
  • 注册: 2005-10-21
  • 来自:
发表于: 2008-07-12 17:56 | 只看楼主 短消息 资料
字号: 5楼

回复: sre启动就被删除



引用:
原帖由 天月来了 于 2008-7-12 15:21:00 发表
楼上两位看我签名部分的内容去。

这是么意思?处理方式不对吗?
我已按照pehi的方法处理了,
用windows清理助手时也是被删除,后来下了solo才可以,但是清除过程中出现read不能读的错误(大概是,没看清),然后结束程序,重启后用solo扫描,未发现问题。
然后用sre扫描,扫描结果附上。
至于斑竹要的文件,呆会传上来。

附件附件:

下载次数:162
文件类型:text/plain
文件大小:
上传时间:2008-7-12 17:56:09
描述:txt
gototop
 
birdfly
头像
拙长孩提狮
  • 帖子:104
  • 注册: 2005-10-21
  • 来自:
发表于: 2008-07-12 18:01 | 只看楼主 短消息 资料
字号: 6楼

回复:sre启动就被删除

清除的时候是全选的,不知有没有危险。
gototop
 
天月来了
头像
版主
  • 帖子:76900
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-07-12 18:07 | 短消息 资料
字号: 7楼

回复:sre启动就被删除

病毒没了,就留这两残余的注册表启动项了,愿意就去删删吧,不删也无所谓
启动项目
注册表
    <ial><C:\WINDOWS\system32\dvg.dll>  []
    <N/A><C:\WINDOWS\system32\ozyeg\lsass.exe /t>  []


文件呢??快点发来么。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
天月来了
头像
版主
  • 帖子:76900
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-07-12 18:09 | 短消息 资料
字号: 8楼

回复: sre启动就被删除



引用:
原帖由 birdfly 于 2008-7-12 18:01:00 发表
清除的时候是全选的,不知有没有危险。


你既然选择清理助手的清理,就要信任它。

系统无异常,就没事了。

不过不知道你启动QQ软件什么的,会不会再出现呢?

不出现就没事了。

病毒文件呢?
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
birdfly
头像
拙长孩提狮
  • 帖子:104
  • 注册: 2005-10-21
  • 来自:
发表于: 2008-07-12 18:12 | 只看楼主 短消息 资料
字号: 9楼

回复: sre启动就被删除

上传斑竹要的几个文件。

附件附件:

文件名:sample.rar
下载次数:115
文件类型:"application/octet-stream
文件大小:
上传时间:2008-7-12 18:11:30
描述:rar
gototop
 
天月来了
头像
版主
  • 帖子:76900
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-07-12 18:12 | 短消息 资料
字号: 10楼

回复:sre启动就被删除

感谢感谢

去查看QQ目录内是否有wsock32.dll文件。可能需要删除。
最后编辑天月来了 最后编辑于 2008-07-12 18:15:45
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT