瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 木马总也杀不完,还劫持杀毒软件

1   1  /  1  页   跳转

木马总也杀不完,还劫持杀毒软件

收藏
9566
头像
初生襁褓狮
  • 帖子:60
  • 注册: 2005-11-15
  • 来自:
发表于: 2008-05-07 23:35 | 只看楼主 短消息 资料
字号: 1楼

木马总也杀不完,还劫持杀毒软件

木马总也杀不完,还劫持杀毒软件,重起还有。

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CNCDialer; Maxthon; KuGooSoft; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59  from: http://bsalsa.com/ )
分享到:
gototop
 
9566
头像
初生襁褓狮
  • 帖子:60
  • 注册: 2005-11-15
  • 来自:
发表于: 2008-05-07 23:36 | 只看楼主 短消息 资料
字号: 2楼

回复: 木马总也杀不完,还劫持杀毒软件

大家帮帮忙

附件附件:

文件名:SREngLOG.log
下载次数:99
文件类型:application/octet-stream
文件大小:
上传时间:2008-5-7 23:35:56
描述:log
gototop
 
sako
头像
社区嘉宾
  • 帖子:7496
  • 注册: 2007-10-16
  • 来自:遥远的地方
发表于: 2008-05-08 07:13 | 短消息 资料
字号: 3楼

回复:木马总也杀不完,还劫持杀毒软件

[Ati HotKey Poller / Ati HotKey Poller][Running/Auto Start]
  <C:\WINDOWS\system32\Ati2evxx.exe><>
[ATI Smart / ATI Smart][Stopped/Auto Start]
  <C:\WINDOWS\system32\ati2sgag.exe><>
这两个,[Ati HotKey Poller / Ati HotKey Poller][Running/Auto Start]
  <C:\WINDOWS\system32\Ati2evxx.exe><>应该有签名俄,但是却没有,可是又是正常的路径

~~~~~~~

官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip
C:\WINDOWS\system32\drivers\msosmsp2p32.sys

然后用sreng删除下列驱动

[msp2p32 / msp2p32][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\msosmsp2p32.sys><N/A>

那两个服务我觉得可疑些,俄路径又是对的~很郁闷

让高手看看吧
还有这个也很郁闷~C:\WINDOWS\system32\Ati2evxx.dll这个文件也应该有签名~
ATI Technologies Inc.,,但是偶在进程里也么看到它的签名~

呵呵,其他没事情了,这三个让高手再看看
gototop
 
sako
头像
社区嘉宾
  • 帖子:7496
  • 注册: 2007-10-16
  • 来自:遥远的地方
发表于: 2008-05-08 07:24 | 短消息 资料
字号: 4楼

回复:木马总也杀不完,还劫持杀毒软件

在看另外一个日志时发现了跟lz日志服务路径完全相同的服务

如下
[Ati HotKey Poller / Ati HotKey Poller][Running/Auto Start]
  <C:\WINDOWS\system32\Ati2evxx.exe><ATI Technologies Inc.>
[ATI Smart / ATI Smart][Stopped/Auto Start]
  <C:\WINDOWS\system32\ati2sgag.exe><>

第一个ati的DD有正确的签名,现在就是不知道为什么lz的没有

难道说是被替换了???
gototop
 
sako
头像
社区嘉宾
  • 帖子:7496
  • 注册: 2007-10-16
  • 来自:遥远的地方
发表于: 2008-05-08 09:31 | 短消息 资料
字号: 5楼

回复:木马总也杀不完,还劫持杀毒软件

建议你!

禁用如下服务  !!!!是禁用!别删除!

[Ati HotKey Poller / Ati HotKey Poller][Running/Auto Start]
  <C:\WINDOWS\system32\Ati2evxx.exe><>


将以下文件上报瑞星
C:\WINDOWS\system32\Ati2evxx.exe

把杀软无法杀毒,被劫的情况

说清楚,最好附截图

还有杀毒历史记录导出压缩后发来啊
最后编辑sako 最后编辑于 2008-05-08 09:33:22
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT