12   1  /  2  页   跳转

[求助] 关于TrojanSpy/Win32.Agent.gmq,请教

关于TrojanSpy/Win32.Agent.gmq,请教

机器中招了,任务管理器和注册表被锁,每次重启QQ,飞信软件必须重新下载才能正常安装。试了很多常用查杀软件进行修复也未能解决。
    经过多次还原系统,发现不执行EXE程序没事,一旦点击运行马上出现上述现象---任务管理器和注册表被锁(任务管理器已被系统管理员停用)。

    用360安全卫士查杀结果如下:

木马名称:TrojanSpy/Win32.Agent.gmq
路径:C:\Documents and Settings\Administrator\Local
Settings\Temp\winjwqwp.exe
命令行:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winjwqwp.exe
一旦删除,过不一会又会生成一新名字的木马。

木马名称:TrojanSpy/Win32.Agent.gmq
路径:C:\Documents and Settings\Administrator\Local
Settings\Temp\wintimp.exe
命令行:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\wintimp.exe
如此反复的进行。

    请问如何解决?这是什么类型的木马,是不是所有盘的文件都被感染了?
        难道只有全格才能解决问题。。。不忍心,很多攒了很久的资料。
    尽管发言,知道一点也行。先谢谢了。

    下附SREng日志。



========================================================================

        我找到源病毒了。刚才从U盘里发现的。找了台机器运行了下,马上出现上述症状。晕死。
不过无法上传,是一个指向行的MS-DOS程序。
属性如下:
        名字:wsomv
文件类型:指向 MS-DOS 程序的快捷方式
        描述:记事本

上传个病毒的截图,麻烦在帮看看。谢谢。


用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CNCDialer)

附件附件:

文件名:SREngLog.txt
下载次数:260
文件类型:text/plain
文件大小:
上传时间:2009-9-28 0:19:33
描述:txt

最后编辑Bluek 最后编辑于 2009-09-30 08:17:50
分享到:
gototop
 

回复:关于TrojanSpy/Win32.Agent.gmq,请教高人

请试试把系统的temp的文件夹下的内容删除
最后编辑雪山铁骑 最后编辑于 2009-09-28 07:02:05
gototop
 

回复:关于TrojanSpy/Win32.Agent.gmq,请教高人

不行啊。还是老样子
gototop
 

回复:关于TrojanSpy/Win32.Agent.gmq,请教高人

这些是什么??

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <pagefile><C:\WINDOWS\newrun.exe /d>  [小兵作品]

==================================
启动文件夹
[10]
  <C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\10.exe -->  [File is missing]><N>

==================================
驱动程序
[abp470n5 / abp470n5][Running/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\lqrmrn.sys><N/A>

将C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\10.exe文件压缩发来看
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 关于TrojanSpy/Win32.Agent.gmq,请教高人

那个10.EXE是镜像盘自带的,应该没问题的。
gototop
 

回复:关于TrojanSpy/Win32.Agent.gmq,请教高人

C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\10.exe
C:\WINDOWS\newrun.exe
复制到一块儿,用WinRAR压缩后附件上传
gototop
 

回复: 关于TrojanSpy/Win32.Agent.gmq,请教高人

重新还原了下,就有个10.exe.    c:\windows\newrun.exe 没有了。
10.exe压缩在附件里了。

附件附件:

文件名:10.rar
下载次数:155
文件类型:application/octet-stream
文件大小:
上传时间:2009-9-30 8:14:01
描述:开机启动里的一个EXE程序

gototop
 

回复 6F 夲號ヱ被ジ盜 的帖子

要的东西压缩了你看一下

附件附件:

文件名:pss.rar
下载次数:221
文件类型:application/octet-stream
文件大小:
上传时间:2009-10-11 16:32:22
描述:貌似有好几个木马

最后编辑Bluek 最后编辑于 2009-10-11 16:32:22
gototop
 

回复:关于TrojanSpy/Win32.Agent.gmq,请教

10.EXE是镜像盘自带的

从来没见过有自带那文件的
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复 9F 天月来了 的帖子

如何解决啊。还在被痛苦折磨中。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT