12   1  /  2  页   跳转

高手帮忙看看!谢!

收藏
骑着乌龟玩飘移
头像
快乐黄口狮
  • 帖子:266
  • 注册: 2006-06-25
  • 来自:
发表于: 2007-12-30 18:07 | 只看楼主 短消息 资料
字号: 1楼

高手帮忙看看!谢!

导出了这几个可疑文件,烦帮再看看!谢谢,是否需要删除!

附件附件:

下载次数:217
文件类型:application/octet-stream
文件大小:
上传时间:2007-12-30 18:07:55
描述:

最后编辑2007-12-31 18:46:06
分享到:
gototop
 
骑着乌龟玩飘移
头像
快乐黄口狮
  • 帖子:266
  • 注册: 2006-06-25
  • 来自:
发表于: 2007-12-30 18:10 | 只看楼主 短消息 资料
字号: 2楼

日至!

附件附件:

下载次数:135
文件类型:application/octet-stream
文件大小:
上传时间:2007-12-30 18:10:48
描述:
gototop
 
CAPTjoe
头像
强壮不惑狮
  • 帖子:1045
  • 注册: 2006-09-29
  • 来自:
发表于: 2007-12-30 18:15 | 短消息 资料
字号: 3楼

不习惯卡卡日志,但至少下列驱动相当可疑:
c:\windows\system32\drivers\comint32.sys
c:\windows\system32\fat32.sys
c:\windows\system32a2.sys

建议发SREng日志。
gototop
 
骑着乌龟玩飘移
头像
快乐黄口狮
  • 帖子:266
  • 注册: 2006-06-25
  • 来自:
发表于: 2007-12-30 18:25 | 只看楼主 短消息 资料
字号: 4楼

换了!

附件附件:

下载次数:128
文件类型:application/octet-stream
文件大小:
上传时间:2007-12-30 18:25:52
描述:
gototop
 
CAPTjoe
头像
强壮不惑狮
  • 帖子:1045
  • 注册: 2006-09-29
  • 来自:
发表于: 2007-12-30 18:34 | 短消息 资料
字号: 5楼

压缩包的样本卡巴和瑞星均报毒,另建议lz最好安装杀软。

附件附件:

下载次数:414
文件类型:image/pjpeg
文件大小:
上传时间:2007-12-30 18:34:15
描述:
gototop
 
shjarthur
头像
自信弱冠狮
  • 帖子:376
  • 注册: 2007-07-03
  • 来自:
发表于: 2007-12-30 18:36 | 短消息 资料
字号: 6楼

在网上查了一下,这三个文件确定是病毒。

LotusHlp.exe
Win32.LwyMum.h.147456
资料来源:http://baike.baidu.com/view/1284515.html

病毒行为:

这是一个感染型病毒。该病毒运行后会自删除病毒源文件,下载海量病毒文件,在各盘生成AUTO病毒,当用户左键双击AUTO病毒的盘则立即触发病毒。该病毒还会主动感染其他的可执行文件,被感染的文件只要用户打开,立即再次激活该病毒,可见该病毒的出发是灵活多样。下载的病毒还具有盗号的功能,而且盗取的网络游戏范围很广,网游帐户持有者需特别注意。而且该病毒还有映像劫持的功能,众多著名的反病毒软件和安全软件都会被劫持。该病毒其严重性立杆见影,望广大网民注意防范。

1.病毒运行后,分别在系统盘目录下、%Temporary Internet Files%\Content.IE5(IE缓存)、%Program Files%\Internet

Explorer\PLUGINS、%WINDOWS%\Font、%WINDOWS%\system、%WINDOWS%\system32等等目录下生成非常多的病毒文件。

2.病毒运行成功后会自删除病毒源文件,使用户无法找到病毒源。

3.在各盘中都生成AUTO病毒,分别是:XP.EXE和autorun.inf病毒辅助文件。双击进入有AUTO病毒的盘符,立即触发病毒

,并且会发现病毒会通过另外一种方式进入该盘(正常情况是一双击就进入,而中了该病毒是双击后跳转进入)。

4.病毒运行后,马上会去感染可执行文件。被病毒感染的可执行文件在打开时,其实已经再次激活病毒。

5.下载的病毒具有盗号的功能,分别会盗取多种多样的网络游戏,例如:魔兽世界、梦幻西游、魔域、QQ......

6.查看任务管理器,病毒进程logogogo.exe正在运行,占用系统资源非常严重,系统处于半瘫痪状态。

7.在关闭计算机的时候,会发现关闭的速度非常缓慢,而且一直停留在关闭的截面上"正在保存设置......"

8.当强制重启以后,运行刚才被修改感染的可执行文件时,会立即生成ani.ani文件在执行文件的当前目录下。被感染的

文件有许多许多,例如反病毒、安全软件的可执行文件、WINRAR压缩包、MSN等。

9.浏览器也被感染,任何网站无法打开。

10。该病毒还会在注册表中添加映像劫持的项,著名的反病毒以及安全辅助工具都会被劫持,如金山毒霸、瑞星、360安全卫士、卡巴斯基等。

11.在启动项中可以看到,病毒把自身添加到启动项中,随着系统的启动而启动,相应的信息如下:
启动项名:logogogo 对应路径:%system32%\logogogo.exe
启动项名:LotusHlp 对应路径:%systemRoot%\LotusHlp.exe

解决办法:立即断网,重启,安全模式,然后用杀毒工具或360查杀。
gototop
 
CAPTjoe
头像
强壮不惑狮
  • 帖子:1045
  • 注册: 2006-09-29
  • 来自:
发表于: 2007-12-30 18:49 | 短消息 资料
字号: 7楼

请下载xdelbox删除以下文件(下载地址http://www.dodudou.com/down/index.php?dirpath=./01.原创软件&order=0)(XdelBox的使用说明请参阅此帖

http://forum.ikaka.com/topic.asp?board=28&artid=8381032)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里(下面的大框)点击右键选择从“剪贴板导入”,导入后在下面的大框点击右键,选择“立刻重启删除”,电脑会重

启自动进入DOS界面进行删除操作。
特别提醒:1.运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。2.下载的xdelbox需解压缩以后再运行。3.确认已经勾选xdelbox界面上的“备份文件”

选项。
c:\windows\system32\taskmonitor.exe
c:\windows\system32\avwghmn.dll
c:\program files\internet explorer\plugins\nvsys_55.sys
c:\windows\399952wl.dll
c:\windows\system32\dbghlp32.dll
c:\windows\system32\lotushlp.dll
c:\windows\system32\msprint32d.dll
c:\windows\system32\ptsshell.dll
c:\windows\system32\ssldyn.dll
c:\windows\ptsshell.exe
c:\windows\lotushlp.exe
c:\windows\399952l.exe
c:\windows\dbghlp32.exe
c:\windows\ssldyn.exe
c:\windows\wccxyy.exe
c:\windows\system32\26a1.com
c:\windows\system32a2.sys
c:\windows\system32\fat32.sys
c:\windows\\systemroot\system32\drivers\kimascph.sys
c:\windows\system32\drivers\comint32.sys
c:\windows\system32\drivers\npf.sys

重起后打开SREng-在"启动项目->注册表->删除以下启动项目
[{8A1247C1-53DA-FF43-ABD3-345F323A48D8}]    <C:\WINDOWS\system32\avwghmn.dll>
[PTSShell]    <C:\WINDOWS\PTSShell.exe>
[LotusHlp]    <C:\WINDOWS\LotusHlp.exe>
[WinSysW]    <C:\WINDOWS\399952L.exe>
[DbgHlp32]    <C:\WINDOWS\DbgHlp32.exe>
[SSLDyn]    <C:\WINDOWS\SSLDyn.exE>
[MsPrint32D]    <C:\WINDOWS\wccxyy.exe>
[racer]    <>

编辑下面的注册表项目(双击该项目,在出现的对话框中清空‘值’这一栏)。提醒:请暂时关闭杀毒软件的实时监控以便操作成功。
双击<AppInit_DLLs>(红色的)在出现的对话框中‘值’的一栏删除avwghmn.dll


打开SREng-在"启动项目->服务->"Win32服务应用程序"选中"隐藏已认证的微软服务" 然后将下面名称的服务删除(选中有问题的服务后,点“删除服务”,点“设置”按钮即可。 注

意弹出的窗口中要点 “NO 否”才是确认删除服务)(不能删除的就禁用:启动类型改为disabled,点中修改启动类型,点设置):
服务
[TSECleanUpAssist / TSECleanUpAssist]    <C:\WINDOWS\system32\26a1.com>

打开SREng-在"启动项目->服务->驱动程序"选中"隐藏已认证的微软服务" 然后将下面名称的服务删除(选中有问题的服务后,点“删除服务”,点“设置”按钮即可。 注意弹出的窗

口中要点 “NO 否”才是确认删除服务)(不能删除的就禁用:启动类型改为disabled,点中修改启动类型,点设置):
[R2A / R2A]    <\??\C:\WINDOWS\system32a2.sys>
[PciHardDisk / PciHardDisk]    <\??\C:\WINDOWS\system32\fat32.sys>
[kimascph / kimascph]    <\SystemRoot\\SystemRoot\System32\drivers\kimascph.sys>
[comint32 / comint32]    <\??\C:\WINDOWS\system32\DRIVERS\comint32.sys>
[Netgroup Packet Filter / NPF]    <system32\drivers\npf.sys>

系统修复--浏览器加载项--删除如下项目
[]    <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys>
[]    <C:\Program Files\Internet Explorer\PLUGINS\NvSys_55.Sys>
gototop
 
骑着乌龟玩飘移
头像
快乐黄口狮
  • 帖子:266
  • 注册: 2006-06-25
  • 来自:
发表于: 2007-12-31 17:09 | 只看楼主 短消息 资料
字号: 8楼

照你说的做了,看一下还有问题没!谢谢!

附件附件:

下载次数:139
文件类型:application/octet-stream
文件大小:
上传时间:2007-12-31 17:09:17
描述:
gototop
 
流星陨落
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-04-17
  • 来自:
发表于: 2007-12-31 18:55 | 短消息 资料
字号: 9楼

c:\windows\downlo~1\cnsio.dll
c:\windows\downlo~1\cnsmin.dll
c:\windows\downlo~1\cnsminex.dll
c:\windows\downlo~1\cnsminio.dll
c:\windows\downlo~1\cnshook.dll
c:\windows\downlo~1\cnshint.dll
c:\windows\downlo~1\cnsplus.dll



楼上的日志,用瑞星粉碎器粉碎雅虎助手的东西
gototop
 
CAPTjoe
头像
强壮不惑狮
  • 帖子:1045
  • 注册: 2006-09-29
  • 来自:
发表于: 2007-12-31 18:56 | 短消息 资料
字号: 10楼

引用:
【骑着乌龟玩飘移的贴子】照你说的做了,看一下还有问题没!谢谢!
………………

日志没看出还有什么明显异常。电脑还有什么问题?
另再次建议楼主安装杀毒软件。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT