12   1  /  2  页   跳转

[求助] 一中毒系统日志 求分析

收藏
09kaka
头像
雄霸杖朝狮
  • 帖子:24047
  • 注册: 2009-02-27
  • 来自:
万圣之夜勋章幸运草端午辟邪香囊就爱不长大冰激凌09欢乐圣诞10温馨圣诞世界杯勋章年度风云人物国庆61周年激情亚运2010国庆勋章巫师帽苹果分享之星闪亮的光棍2011NBA至尊十一周年勋章
发表于: 2010-07-29 17:22 | 只看楼主 短消息 资料
字号: 1楼

一中毒系统日志 求分析

问问转的 "2008.exe杀掉之后重启还会有,重装系统也不行,还会自动下载别的病毒,不知道怎么就感染了!        "

那上面不能发日志

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.1.10) Gecko/20100504 Firefox/3.5.10

附件附件:

文件名:SREngLOG450.log
下载次数:178
文件类型:application/octet-stream
文件大小:
上传时间:2010-7-29 17:21:40
描述:log
分享到:
gototop
 
哥们郁闷啊
头像
强壮不惑狮
  • 帖子:1102
  • 注册: 2010-04-13
  • 来自:
发表于: 2010-07-29 17:29 | 短消息 资料
字号: 2楼

回复:一中毒系统日志 求分析

日志啊~~~~~~~~~
看不懂
gototop
 
帅哥坐车不用票
头像
横据古稀狮
  • 帖子:6712
  • 注册: 2004-12-31
  • 来自:南昌/无锡/武汉
实习生小红花
发表于: 2010-07-29 17:44 | 短消息 资料
字号: 3楼

回复:一中毒系统日志 求分析

c:\windows\system32\npkycryp.sys
c:\windows\system32\npkcrypt.sys



    启动项目 -- 服务-- 驱动程序之如下项禁用:
[npkycryp / npkycryp]    <\??\C:\WINDOWS\system32\npkycryp.sys>
[npkcrypt / npkcrypt]    <\??\C:\WINDOWS\system32\npkcrypt.sys>

这个是很老很老的qq才有的文件,或许被伪造了
日志实在头疼,看不太明白
豫章秋水音乐人页面:http://www.douban.com/artist/yuzhang
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2010-07-29 17:46 | 短消息 资料
字号: 4楼

回复:一中毒系统日志 求分析

2008.exe杀掉之后重启还会有,重装系统也不行,还会自动下载别的病毒

感染型病毒,重装系统后,必然又使用了其他盘的原保存的什么文件或程序了。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
09kaka
头像
雄霸杖朝狮
  • 帖子:24047
  • 注册: 2009-02-27
  • 来自:
万圣之夜勋章幸运草端午辟邪香囊就爱不长大冰激凌09欢乐圣诞10温馨圣诞世界杯勋章年度风云人物国庆61周年激情亚运2010国庆勋章巫师帽苹果分享之星闪亮的光棍2011NBA至尊十一周年勋章
发表于: 2010-07-29 17:47 | 只看楼主 短消息 资料
字号: 5楼

回复:一中毒系统日志 求分析

让他把C:\WINDOWS\system32\userinit.exe 用多引擎扫描
瑞星很争气 哈哈
Rising 21.52.34.00 2009.10.22 Trojan.Win32.Nodef.abn
gototop
 
09kaka
头像
雄霸杖朝狮
  • 帖子:24047
  • 注册: 2009-02-27
  • 来自:
万圣之夜勋章幸运草端午辟邪香囊就爱不长大冰激凌09欢乐圣诞10温馨圣诞世界杯勋章年度风云人物国庆61周年激情亚运2010国庆勋章巫师帽苹果分享之星闪亮的光棍2011NBA至尊十一周年勋章
发表于: 2010-07-29 17:48 | 只看楼主 短消息 资料
字号: 6楼

回复 4F 天月来了 的帖子

怎么办
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2010-07-29 17:48 | 短消息 资料
字号: 7楼

回复: 一中毒系统日志 求分析



引用:
原帖由 09kaka 于 2010-7-29 17:22:00 发表
问问转的 "2008.exe杀掉之后重启还会有,重装系统也不行,还会自动下载别的病毒,不知道怎么就感染了!        "

那上面不能发日志

用户系统信息:Mozilla/5.0 (Windows; ......



系统程序userinit.exe被替换了:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  []





360的驱动不知所踪:

[360FkAdv / 360FkAdv][Running/]
  <2 - 系统找不到指定的文件。





一对莫名其妙的浏览器加载项:


  {548BF84E-9665-47f9-B635-7380F8943E90} <, >
[hao123网址]
  {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} http://www.hao123.cn/?xf]http://www.hao123.cn/?xf[/url], N/A>
[GOOGLE搜索]
  {6816999E-B715-44B4-8DEF-A796D53C45DD} http://www.11k2.cn/google/?ie]http://www.11k2.cn/google/?ie[/url], N/A>
[小游戏]
  {998A88A0-A355-809B-831C-B83A80000991} http://www.ugege.com/]http://www.ugege.com/[/url], N/A>

[百度搜索]
  {C7374464-48C2-4ED6-9E78-2AB34A852FE1} http://www.11k2.cn/baidu/?ie]http://www.11k2.cn/baidu/?ie[/url], N/A>
[7555网址导航]
  {E77B97DC-FAFC-4A5F-A3C3-DB593B6421FD} http://www.vcd58.com/go1]http://www.vcd58.com/go1[/url], N/A>
[好玩小游戏]
  {F5845648-371E-4D70-BF42-170215FA6616} http://www.kk126.com/?ie]http://www.kk126.com/?ie[/url], N/A>

[WebActivater Control]
  {3D8F74EE-8692-4F8F-B8D2-7522E732519E} <C:\WINDOWS\system32\WEBACT~1.OCX, QQ>




不该有系统特权的程序获得系统特权:


特殊特权被允许: SeLoadDriverPrivilege [PID = 1516, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1732, C:\WINDOWS\EXPLORER.EXE]








如果是我的电脑,格式化+重装。 
最后编辑baohe 最后编辑于 2010-07-29 17:54:43
gototop
 
09kaka
头像
雄霸杖朝狮
  • 帖子:24047
  • 注册: 2009-02-27
  • 来自:
万圣之夜勋章幸运草端午辟邪香囊就爱不长大冰激凌09欢乐圣诞10温馨圣诞世界杯勋章年度风云人物国庆61周年激情亚运2010国庆勋章巫师帽苹果分享之星闪亮的光棍2011NBA至尊十一周年勋章
发表于: 2010-07-29 17:50 | 只看楼主 短消息 资料
字号: 8楼

回复 7F baohe 的帖子

恩 360放桌面上都自动被删除

看见了 不过不知道 这些浏览器加载的 要怎么删除?

他重装了还有 难道要格所有盘
最后编辑09kaka 最后编辑于 2010-07-29 17:56:12
gototop
 
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-07-29 18:01 | 短消息 资料
字号: 9楼

回复:一中毒系统日志 求分析

有样本吗??

上传看看,你的那个日志仅仅发现
  <Userinit><C:\WINDOWS\system32\userinit.exe,>  []
此文件被替换,还有就是另一点可疑,为什么进程加载了那么多的DLL文件。

还就是那些莫名其妙的浏览器加载项应该是他装得软件太多了,其中带的插件,一般windows清理助手应该可以清理掉。
要深入,要专一.......
gototop
 
帅哥坐车不用票
头像
横据古稀狮
  • 帖子:6712
  • 注册: 2004-12-31
  • 来自:南昌/无锡/武汉
实习生小红花
发表于: 2010-07-29 18:03 | 短消息 资料
字号: 10楼

回复 9F 辛达星郁 的帖子

我也想知道,每个进程都被插入大量dll,之前看到几个类似的日志,但最后解决方法并没有提到这个问题
豫章秋水音乐人页面:http://www.douban.com/artist/yuzhang
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT