瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件瑞星杀毒软件2011 求助,病毒Backdoor.Win32.RemoteABC.fkm杀了后开机又有

12   1  /  2  页   跳转

[已解决] 求助,病毒Backdoor.Win32.RemoteABC.fkm杀了后开机又有

求助,病毒Backdoor.Win32.RemoteABC.fkm杀了后开机又有

我使用的是瑞新最新版20.73.40的,杀毒杀出Backdoor.Win32.RemoteABC.fkm,每次清除成功后重启电脑后又会出现!求助怎么解决这个病毒?非常感谢!atoven110@163.com

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) )
最后编辑万事达 最后编辑于 2008-12-09 10:25:38
分享到:
gototop
 

回复:求助,病毒Backdoor.Win32.RemoteABC.fkm杀了后开机又有

瑞星升级到最新版本,之后断网杀毒。
第一次杀毒发现有病毒,需要重启动计算机再杀第二遍,如果第二遍没病毒了,说明病毒已经清除干净,如果再次感染,是从外接传播进来的,需要做好防护。
如果第二遍查杀还是有病毒, 说明该病毒是以目前版本杀毒软件无法清除的,需要到瑞星网站下载瑞星听诊器,听诊器下载地址为:http://dl.rising.com.cn/DownLoadInfo/VirusTools_More.shtml。在该计算机扫描后上报日志,日志上报地址为:http://mailcenter.rising.com.cn/index.shtml
╭∩╮(︶︿︶)╭∩╮
gototop
 

回复:求助,病毒Backdoor.Win32.RemoteABC.fkm杀了后开机又有

病毒路径和瑞星处理状态是什么
觉得我回答的好,就给我评分吧!
gototop
 

回复: 求助,病毒Backdoor.Win32.RemoteABC.fkm杀了后开机又有

查出病毒情况是这样的:



我在安全模式下又查不到!急救啊!
gototop
 

回复: 求助,病毒Backdoor.Win32.RemoteABC.fkm杀了后开机又有

高手请指点啊!
gototop
 

回复 5F 界天尺 的帖子

指点怎么也得给份日志看看
瑞星的内存杀毒首屈一指
但是
病毒免杀过了瑞星的文件杀毒

病根没去呀

请严格按照以下步骤操作

1.扫日志前建议清理助手清理系统
清理助手下载
解压后运行,升级清理助手,全盘扫描,只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注:如发现系统文件被替换,请将情况报上来,勿自己随意操作。如自己私自替换的,导致不能进系统,责任自负)
如清理无效

2.扫日志前关闭无用进程,如QQ,迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr
4.金山清理专家官方下载  | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断(隐藏安全项)-导出诊断报告-(全选)-导出报告
5.2份日志/报告以附件上传(点击我回的贴的右下角的“引用”,然后就应该知道怎么以附件发了),贴到反病毒/反流氓软件论坛.如已发帖的请跟贴,勿另开新帖。

建议2份日志同时上传,起到互补的作用(原因:金山和SRENG都能扫出另一个不能扫出的内容)!!
gototop
 

回复: 求助,病毒Backdoor.Win32.RemoteABC.fkm杀了后开机又有



引用:
原帖由 aaccbbdd 于 2008-12-5 22:34:00 发表
指点怎么也得给份日志看看
瑞星的内存杀毒首屈一指
但是
病毒免杀过了瑞星的文件杀毒

病根没去呀

请严格按照以下步骤操作

1.扫日志前建议清理助手清理系统
清理助手下载
解压后运行,升级







非常感谢您的关注,我已经按照您说的步骤做了,附件里面有报告和日志!谢谢您!

附件附件:

文件名:桌面.rar
下载次数:178
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-6 10:53:45
描述:rar

gototop
 

回复:求助,病毒Backdoor.Win32.RemoteABC.fkm杀了后开机又有

杀毒之后,多出这一个注册表值
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{1B0A105E-5FB9-4507-835D-68794062C367}

[nvidia / nvidia][Stopped/Auto Start]这个值变成<C:\WINDOWS\system32\scredir.exe><Twain Working Group>

    [C:\WINDOWS\system32\PLHAJPXU.dat]  [Microsoft Corporation, 7.00.6000.16705 (vista_gdr.080618-1506)]在杀毒软件杀掉病毒之后,这个文件就没有掉了...

946 *  入口点错误:NtQuerySystemInformation (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误:NtCreateFile (危险等级: 高,  被下面模块所HOOK: 0x003E57A5)
947 *  入口点错误:NtTerminateProcess (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误:NtCreateKey (危险等级: 高,  被下面模块所HOOK: 0x003E5945)
948 *  入口点错误:ZwTerminateProcess (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误:NtLoadDriver (危险等级: 高,  被下面模块所HOOK: 0x003E6095)
949 *  入口点错误:RegEnumKeyExA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误:NtSetValueKey (危险等级: 高,  被下面模块所HOOK: 0x003E5A15)
950 *  入口点错误:RegEnumKeyExW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误:NtWriteFile (危险等级: 高,  被下面模块所HOOK: 0x003E5875)
951 *  入口点错误:EnumServicesStatusA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误:ZwCreateFile (危险等级: 高,  被下面模块所HOOK: 0x003E57A5)
952 *  入口点错误:EnumServicesStatusW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误:ZwCreateKey (危险等级: 高,  被下面模块所HOOK: 0x003E5945)
953 *  入口点错误:FindNextFileA (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误:ZwSetValueKey (危险等级: 高,  被下面模块所HOOK: 0x003E5A15)
954 *  入口点错误:FindNextFileW (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\system32\PLHAJPXU.dat)
    *  入口点错误:ZwWriteFile (危险等级: 高,  被下面模块所HOOK: 0x003E5875)
955 *  入口点错误:CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x010C1FFD)
    *  入口点错误:CreateServiceA (危险等级: 高,  被下面模块所HOOK: 0x003E5D55)
956 *  入口点错误:CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x010C20E5)
    *  入口点错误:CreateServiceW (危险等级: 高,  被下面模块所HOOK: 0x003E5E25)
    !> 入口点错误:LoadLibraryA (危险等级: 高,  被下面模块所HOOK: 0x003E6A55)
    !> 入口点错误:LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: 0x003E563D)
    !> 入口点错误:CreateFileW (危险等级: 高,  被下面模块所HOOK: 0x003E6575)
    !> 入口点错误:CreateProcessA (危险等级: 高,  被下面模块所HOOK: 0x003E6985)
    !> 入口点错误:CreateProcessW (危险等级: 高,  被下面模块所HOOK: 0x003E67E5)




我也顺便把对比过的日志上传到论坛,希望对解决该病毒有所帮助...(对比结果只是文本文件,无毒)

附件附件:

下载次数:166
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-6 12:19:45
描述:rar

最后编辑FLogo 最后编辑于 2008-12-06 12:19:45
gototop
 

回复 7F 界天尺 的帖子

SREng-    启动项目 -- 服务-- win32服务程序之如下项删除:
(选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)


[lop / lop][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k lop-->%SystemRoot%\System32\pbmkgu.dll><N/A>

C:\WINDOWS\System32\pbmkgu.dll
发到可疑文件交流区
gototop
 

回复: 求助,病毒Backdoor.Win32.RemoteABC.fkm杀了后开机又有



引用:
原帖由 aaccbbdd 于 2008-12-6 12:10:00 发表
SREng-    启动项目 -- 服务-- win32服务程序之如下项删除:
(选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)


[lop / lop][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost




我按照您说的操作后还是会出现那个病毒啊!我把日志再发一次吧!这个是重新扫描的!

附件附件:

文件名:桌面.rar
下载次数:174
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-6 16:30:02
描述:rar

gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT