瑞星卡卡安全论坛技术交流区可疑文件交流 木马病毒无法查杀,请大家帮忙分析一下。

12   1  /  2  页   跳转

木马病毒无法查杀,请大家帮忙分析一下。

收藏
aaaaaa6a
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2006-03-19
  • 来自:
发表于: 2010-07-26 17:45 | 只看楼主 短消息 资料
字号: 1楼

木马病毒无法查杀,请大家帮忙分析一下。


 附件: 您所在的用户组无法下载或查看附件
此文件一定是木马病毒。但是瑞星杀毒软件无法查杀。请大家帮忙分析一下。
谢谢!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.2; Trident/4.0; CNCDialer; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; staticlogin:product=cboxf2010&act=login&info=ZmlsZW5hbWU9vfDJvbTKsNQyMDEwIMWjvfLG7L2isOajqLfHzNi73bDmo6kuZXhlJm1hYz1BOUI2QTFDOUM0NjU0QzlDQTFFQjI2NkE3QURBOEVEMSZwYXNzcG9ydD0mdmVyc2lvbj0yMDEwLjYuMy42LjImY3Jhc2h0eXBlPTE=&verify=86d7162b5ffb7f091dc24fb0a963b1e1; TheWorld)


附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

最后编辑aaaaaa6a 最后编辑于 2010-07-27 10:28:50
分享到:
gototop
 
哥们郁闷啊
头像
强壮不惑狮
  • 帖子:1102
  • 注册: 2010-04-13
  • 来自:
发表于: 2010-07-26 17:51 | 短消息 资料
字号: 2楼

回复:木马病毒无法查杀,请大家帮忙分析一下。

附件下载不了哦,楼主`````````````````
gototop
 
leo108
头像
反毒学员
  • 帖子:648
  • 注册: 2010-01-11
  • 来自:
实习生小红花
发表于: 2010-07-26 17:58 | 短消息 资料
字号: 3楼

回复: 木马病毒无法查杀,请大家帮忙分析一下。

我这边运行报错,你把ntwdblib.dll一并上传。

 附件: 您所在的用户组无法下载或查看附件
而且没有检测到威胁行为。
看你的报毒信息,应该是这个程序在连接你本机的1433,你这台电脑有装sql server么?
最后编辑leo108 最后编辑于 2010-07-26 18:04:22
世界上有10种人,一种懂二进制,一种不懂……
gototop
 
aaaaaa6a
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2006-03-19
  • 来自:
发表于: 2010-07-26 17:59 | 只看楼主 短消息 资料
字号: 4楼

回复:木马病毒无法查杀,请大家帮忙分析一下。

不好意思。我刚刚又重新编辑了一下,重新上传了一下,不知道上传成功没有。
自己的帖子,自己都不能浏览。是不是我没有权限呀?
gototop
 
夲號ヱ被ジ盜
头像
叱咤花甲狮
  • 帖子:7083
  • 注册: 2008-08-21
  • 来自:昆仑琼华派
论坛8周年活动礼物就爱不长大论坛9周年纪念冰激凌10温馨圣诞十周年国庆61周年十一周年勋章
发表于: 2010-07-26 18:04 | 短消息 资料
字号: 5楼

回复:木马病毒无法查杀,请大家帮忙分析一下。

127.0.0.1
这是本地计算机

访问自己计算机还拦截
gototop
 
aaaaaa6a
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2006-03-19
  • 来自:
发表于: 2010-07-26 18:13 | 只看楼主 短消息 资料
字号: 6楼

回复 3F leo108 的帖子

你说的“没有检测到威胁行为”

我简单描述一下情况:
1、该系统是2003系统。电脑上本身没有这个文件。
2、该电脑曾经被黑客远程操作过。
3、Message消息服务关闭了,屏幕上也会有“消息”。
通过与其“聊天”得知:木马是利用1433漏洞,搞的啥鬼,木马是用免杀加壳。
重新安装系统之后:
4、电脑“远程桌面” 还是 会“自动”打开,关闭了也会“自动”打开。
5、电脑 还是 会自动添加Administretor假管理员用户,删除了还会添加。

目前重装系统后的解决办法是:
用瑞星防火墙仅开1433、4000、8000这3个端口,其余一直到65536全部封闭。

重新安装系统后,一切配置妥当后,瑞星加上密码,只有这个“东西”提示要访问网络,所以断定它就是内应的木马。

请高手分析一下,一旦发现情况瑞星升级,我就有救了。
谢谢!
最后编辑aaaaaa6a 最后编辑于 2010-07-26 18:14:21
gototop
 
aaaaaa6a
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2006-03-19
  • 来自:
发表于: 2010-07-26 18:17 | 只看楼主 短消息 资料
字号: 7楼

回复 5F 夲號ヱ被ジ盜 的帖子

我估计这个应该是木马的伪装,它是利用1433端口与客户端通讯。

没重装系统之前,它能卸载加了密码的瑞星杀毒和防火墙。也可能是木马记录了键盘操作。

重装系统后,不知道哪里没有搞“干净”。

我不懂黑客技术,说的只是表面看到的现象。大家不要见笑。

谢谢!
gototop
 
leo108
头像
反毒学员
  • 帖子:648
  • 注册: 2010-01-11
  • 来自:
实习生小红花
发表于: 2010-07-26 18:18 | 短消息 资料
字号: 8楼

回复:木马病毒无法查杀,请大家帮忙分析一下。

先把ntwdblib.dll一并上传,也在system32目录下。然后按下面操作

建议楼主使用System Repair Engineer扫描日志,将日志作为附件上传上来。下载页面:http://www.kztechs.com/sreng/download.html
操作方法:
1、下载后解压缩,运行SREngPS.EXE;
2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
4、选择保存路径,文件名保持默认,直接点击【保存】;
5、将“SREngLOG.log”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序.
世界上有10种人,一种懂二进制,一种不懂……
gototop
 
aaaaaa6a
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2006-03-19
  • 来自:
发表于: 2010-07-26 18:19 | 只看楼主 短消息 资料
字号: 9楼

回复 3F leo108 的帖子

是的。谢谢!
gototop
 
aaaaaa6a
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2006-03-19
  • 来自:
发表于: 2010-07-26 18:21 | 只看楼主 短消息 资料
字号: 10楼

回复:木马病毒无法查杀,请大家帮忙分析一下。

对不起楼上各位了!我朋友下班了。
明天我让朋友把你要的文件传过来再上传。
谢谢!
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT