1   1  /  1  页   跳转

[求助] this computer is being attacked

this computer is being attacked

各位来看看,怎么解决好。我不想重装系统了

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

文件名:SREngLOG.log
下载次数:360
文件类型:application/octet-stream
文件大小:
上传时间:2008-10-24 9:48:33
描述:log

分享到:
gototop
 

回复: this computer is being attacked

个人以为日志问题项目如下,特别值得一提的是,病毒伪装屏幕保护程序文件的手法很毒辣(可以从日志红色内容比对,发现那个scrnsave.exe值项实际是运行病毒):
==============================================
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <><C:\WINDOWS\system32\dllcache\Default.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <><C:\WINDOWS\system\KEYBOARD.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
    <><C:\WINDOWS\system32\dllcache\Default.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <sys><C:\WINDOWS\Fonts\Fonts.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\auto.exe]
    <IFEO[auto.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autorun.exe]
    <IFEO[autorun.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\autoruns.exe]
    <IFEO[autoruns.exe]><C:\WINDOWS\system32\drivers\drivers.cab.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]
    <IFEO[boot.exe]><C:\WINDOWS\Fonts\fonts.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe]
    <IFEO[ctfmon.exe]><C:\WINDOWS\Fonts\Fonts.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
    <IFEO[msconfig.exe]><C:\WINDOWS\Media\rndll32.pif>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProcessManager.exe]
    <IFEO[ProcessManager.exe]><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]
    <IFEO[procexp.exe]><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>  []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rundll32.exe]
    <IFEO[rundll32.exe]><C:\WINDOWS\Fonts\Fonts.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]
    <IFEO[taskmgr.exe]><C:\WINDOWS\Fonts\tskmgr.exe>  []
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com>  []


服务
[MazeServer / MazeServer][Running/Auto Start]
  <C:\Program Files\Maze\MazeSvr.exe><N/A>

驱动程序
[Apaidi / Apaidi][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\Apaidi.sys><N/A>

问题文件
C:\WINDOWS\system32\drivers\drivers.cab.exe
C:\WINDOWS\Fonts\fonts.exe
C:\WINDOWS\Media\rndll32.pif
C:\WINDOWS\pchealth\helpctr\binaries\HelpHost.com
C:\WINDOWS\Fonts\tskmgr.exe
C:\WINDOWS\system32\dllcache\Default.exe
C:\WINDOWS\system\KEYBOARD.exe

C:\WINDOWS\system32\drivers\Apaidi.sys
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\Global.exe
C:\WINDOWS\system32\dllcache\Recycler.{645FF040-5081-101B-9F08-00AA002F954E}\system.exe
C:\Program Files\Maze\MazeSvr.exe

==================================
注:建议将蓝色文件用WINRAR分别压缩,上传压缩包。
最后编辑超级游戏迷 最后编辑于 2008-10-24 10:24:15
打酱油的……
gototop
 

回复:this computer is being attacked

上传压缩包什么用啊,怎么帮我解决问题啊
gototop
 

回复: this computer is being attacked



引用:
原帖由 熊熊球球 于 2008-10-24 11:34:00 发表
上传压缩包什么用啊,怎么帮我解决问题啊
上传压缩包的作用:
1、可供应高手在虚拟机状态下分析病毒行为,全面了解病毒对计算机进行破坏活动的全过程,以免遗漏(扫描日志是不可能完全反映出病毒对系统进行的所有更改的)

2、通过压缩包的提交,可以使得杀软增加对应的特征码病毒库,使杀软使用者通过升级杀软,预防和杀灭此病毒。这就是所谓的“人人为我,我为人人”。

3、检验目前计算机上安装的杀软对可疑文件的态度:如果不报,说明该病毒的特征码不在杀软已知的病毒库范围内,提醒杀软服务商增加特征库以预防和杀灭病毒。

4、减少误判。软件很多,所生成的各类文件就更多了,即便是版主也不可能完全认识,也存在对可疑文件判断失误或不能确定的情形,因此,上传可疑文件,可以有效地避免判断失误所造成的损失。

如果你不想上传这些可疑文件那就算了。异常注册表项和文件我已经在前一帖指出,如何清理置顶帖有工具和使用方法介绍,自己研究并操作尝试解决。不过个人认为如果你这样做,有点自私。
打酱油的……
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT