1   1  /  1  页   跳转

[求助] 一个奇怪的问题

收藏
密码code
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2007-07-14
  • 来自:
发表于: 2008-09-12 23:45 | 只看楼主 短消息 资料
字号: 1楼

一个奇怪的问题

我的system32文件夹多出一个名为wuauclt1.exe的文件,而真正的wuauclt文件被病毒替换,经过手动杀毒,wuauclt恢复,电脑也感觉正常多了,没有查到有什么异常进程,但是那个wuauclt1.exe删除后依然恢复,我怀疑还有残留的守护进程,附上刚扫描的sreng扫描报告请各位再帮忙看一下,刚才aaccbbdd 帮忙看过,按她说的弄了之后那个wuauclt1.exe还是删不掉
ps  电脑还有一个异常就是关机时在正在关机这个画面停留时间很长,有时得好几十分钟。

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1

附件附件:

文件名:SREngLOG2.log
下载次数:93
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-12 23:45:15
描述:log
分享到:
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-09-12 23:49 | 短消息 资料
字号: 2楼

回复:一个奇怪的问题

SRENG-启动项目 -- 注册表之如下项删除
<{DC3D30AE-0380-4151-8934-EE98A34B0370}><C:\WINDOWS\system32\mfdesy.dll>  [File is missing]
    <{17DFD111-BF3A-4CB4-ADB0-88FCBFE69821}><>  [N/A]



SRENG-系统修复-- 浏览器加载项之如下项删除:
[]
  {32023698-6984-8541-9654-698745012523} <C:\WINDOWS\system32\skqncbib.dll, N/A>
[]
  {32596546-2036-9451-6058-658402589723} <C:\WINDOWS\system32\opshcbty.dll, N/A>
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
]
  {7A041F13-A111-12A3-B0CF-F99818AA68A7} <C:\WINDOWS\system32\zxmsdwin.dll, N/A>
[]
  {7E853D72-626A-48EC-A868-BA8D5E23E045} <, >
[]
  {7FD45A54-9875-698F-E56E-65102358FDF7} <C:\WINDOWS\system32\apsggjba.dll, N/A>
[]
  {87FD640A-158F-48AC-FD14-1597F14A9778} <C:\WINDOWS\system32\mndshsrv.dll, N/A>
[]
  {A629FF4F-ACDB-5C90-A098-FACB3456A26A} <C:\WINDOWS\system32\s2da2f323.dll, N/A>
[]
  {B490415F-65F8-B5C5-D8BA-9405FB12054B} <C:\WINDOWS\system32\yzztkmsn.dll, N/A>
[]
  {32023698-6984-8541-9654-698745012523} <C:\WINDOWS\system32\skqncbib.dll, N/A>
[]
  {32596546-2036-9451-6058-658402589723} <C:\WINDOWS\system32\opshcbty.dll, N/A>
[]
  {37AC9076-C898-B098-D098-A18319080973} <C:\WINDOWS\system32\nhmxcjkl.dll, N/A>
[]
  {7A041F13-A111-12A3-B0CF-F99818AA68A7} <C:\WINDOWS\system32\zxmsdwin.dll, N/A>
[]
  {7E853D72-626A-48EC-A868-BA8D5E23E045} <, >
[]
  {7FD45A54-9875-698F-E56E-65102358FDF7} <C:\WINDOWS\system32\apsggjba.dll, N/A>
[]
  {87FD640A-158F-48AC-FD14-1597F14A9778} <C:\WINDOWS\system32\mndshsrv.dll, N/A>
[]
  {A629FF4F-ACDB-5C90-A098-FACB3456A26A} <C:\WINDOWS\system32\s2da2f323.dll, N/A>
[]
  {B490415F-65F8-B5C5-D8BA-9405FB12054B} <C:\WINDOWS\system32\yzztkmsn.dll, N/A>
[&????????????]
  <, >
[&????????????????????]
  <, >
[&gooスティック]
  {C1724158-90ED-413D-AE2D-6360F0CAA755} <C:\PROGRA~1\goo\stick\goostk.dll, AIRFRONT, Inc.>



SRENG-启动项目 -- 服务-- 驱动程序之如下项删除:
(选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)

[ywtro / ywtro][Stopped/Disabled]
  <\??\C:\DOCUME~1\li\LOCALS~1\Temp\_tmp.bat><N/A>
[003a9792 / 003a9792][Stopped/Disabled]
  <\??\C:\WINDOWS\system32\Drivers\003a9792.sys><N/A>
[0050be49 / 0050be49][Stopped/Disabled]
  <\??\C:\WINDOWS\system32\Drivers\0050be49.sys><N/A>

上传文件
C:\WINDOWS\System32\alg.exe
和wuauclt1.exe
最后编辑aaccbbdd 最后编辑于 2008-09-12 23:53:39
gototop
 
密码code
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2007-07-14
  • 来自:
发表于: 2008-09-13 22:09 | 只看楼主 短消息 资料
字号: 3楼

回复:一个奇怪的问题

能告诉我哪个进程被插入了木马的dll文件吗?
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-09-13 22:11 | 短消息 资料
字号: 4楼

回复 3F 密码code 的帖子

看不见木马了
上传可疑文件吧
gototop
 
密码code
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2007-07-14
  • 来自:
发表于: 2008-09-14 12:50 | 只看楼主 短消息 资料
字号: 5楼

回复: 一个奇怪的问题

我看了一下,alg.exe果然有问题,另外那个好像没事

文件发上来了,帮忙看一下

附件附件:

文件名:alg.rar
下载次数:108
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-14 12:49:51
描述:rar

附件附件:

文件名:wuauclt1.rar
下载次数:110
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-14 12:49:51
描述:rar
gototop
 
密码code
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2007-07-14
  • 来自:
发表于: 2008-09-14 14:27 | 只看楼主 短消息 资料
字号: 6楼

回复:一个奇怪的问题

有人帮帮忙吗?
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT