瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 http://www.8420.cn/?chp篡改首页运行CMD

1   1  /  1  页   跳转

http://www.8420.cn/?chp篡改首页运行CMD

收藏
本主题由 版主 天月来了 于 2009-10-1 14:55:53 执行 合并主题 操作
527qq
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2009-09-29
  • 来自:
发表于: 2009-09-29 19:42 | 只看楼主 短消息 资料
字号: 1楼

http://www.8420.cn/?chp篡改首页运行CMD

瑞星,卡卡,360,超级兔子等等等等都试过,木马也杀完了,重启后就会篡改首页,不知道是中了什么未知病毒.有次重启动提示有篡改首页注册项,运行了两个CMD.EXE,我阻止后首页未被修改,怀疑有残余开机自动启动

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )

附件附件:

文件名:SREngLOG.log
下载次数:263
文件类型:application/octet-stream
文件大小:
上传时间:2009-9-29 19:42:18
描述:log
分享到:
gototop
 
527qq
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2009-09-29
  • 来自:
发表于: 2009-09-29 19:46 | 只看楼主 短消息 资料
字号: 2楼

开机运行CMD,木马还是病毒

瑞星,卡卡,360,超级兔子等等等等都试过,木马也杀完了,重启后就会篡改首页成http://www.8420.cn/?chp,不知道是中了什么未知病毒.有次重启动提示有篡改首页注册项,运行了两个CMD.EXE,阻止后首页未被修改,怀疑有残余开机自动启动,查又查不到,网上资料也少,望大侠们指点!

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler )

附件附件:

文件名:SREngLOG.log
下载次数:190
文件类型:application/octet-stream
文件大小:
上传时间:2009-9-29 19:46:08
描述:log
gototop
 
非拉鐵非
头像
锋芒艾服狮
  • 帖子:1810
  • 注册: 2007-07-08
  • 来自:
论坛8周年活动礼物论坛9周年纪念
发表于: 2009-09-29 19:46 | 短消息 资料
字号: 3楼

回复:开机运行CMD,木马还是病毒

上传System Repair Engineer扫描日志
下载地址http://www.kztechs.com/sreng/sreng2.zip
操作方法:
1、下载后解压缩,运行“SREngLdr.EXE”
2、打开后依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】
3、选择保存路径,文件名保持默认,直接点击【保存】
4、将日志文件SREngLOG.log作为附件上传到论坛,同时务必详细描述问题现象
如果有查杀不净的病毒务必提供病毒名和路径
注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序
gototop
 
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2009-09-29 20:06 | 短消息 资料
字号: 4楼

回复: 开机运行CMD,木马还是病毒

1.建议使用XDelBox删除以下文件:(XDelBox1.6下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。
c:\windows\system32\winseclogon.dll
c:\windows\system32\pageset.dll
c:\windows\system32\pageSet.dll
2.删除重启后使用SREng修复下面各项:
    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[windows Secondary Logon / winseclogon]    <C:\WINDOWS\System32\svchost.exe -k winseclogon-->c:\windows\system32\winseclogon.dll>
[Microsoft HttpsFilter Policy Agent / HttpsFilter]    <C:\WINDOWS\System32\svchost.exe -k HttpsFilter-->c:\windows\system32\pageset.dll>
[Microsoft HTTPFilters tools / HTTPFilters]    <C:\WINDOWS\System32\svchost.exe -k HTTPFilters-->C:\WINDOWS\system32\PageSet.dll>
下载windows清理助手,http://www2.arswp.com/show-77-1.html
gototop
 
merrk_chuan
头像
飘泊而立狮
  • 帖子:845
  • 注册: 2009-06-07
  • 来自:
发表于: 2009-09-29 21:00 | 短消息 资料
字号: 5楼

回复:开机运行CMD,木马还是病毒

补充LS, 注册表里这个也删了

启动项目 -- 注册表之如下项删除:
[IFEO[Your Image File Name Here without a path]]    <ntsd -d>
gototop
 
天涯浪子1988
头像
初生襁褓狮
  • 帖子:33
  • 注册: 2009-07-31
  • 来自:
发表于: 2009-09-29 21:35 | 短消息 资料
字号: 6楼

回复:http://www.8420.cn/?chp篡改首页运行CMD

1.建议使用XDelBox删除以下文件:(XDelBox1.8下载)

使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入(右键不检查路径导入)后在要删除文件上点击右键,选择立刻重启删除(请勾上“抑制再生”的选项),电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除
c:\windows\system32\winseclogon.dll

2.删除重启后使用SREng修复下面各项:

启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[windows Secondary Logon / winseclogon][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k winseclogon-->c:\windows\system32\winseclogon.dll><>
最后编辑天涯浪子1988 最后编辑于 2009-09-29 21:37:12
gototop
 
菜菜万岁
头像
叱咤花甲狮
  • 帖子:7283
  • 注册: 2006-06-19
  • 来自:
童年风车论坛9周年纪念09欢乐圣诞10温馨圣诞
发表于: 2009-09-29 22:28 | 短消息 资料
字号: 7楼

回复: 开机运行CMD,木马还是病毒



引用:
原帖由 merrk_chuan 于 2009-9-29 21:00:00 发表
补充LS, 注册表里这个也删了

启动项目 -- 注册表之如下项删除:
[IFEO[Your Image File Name Here without a path]]    <ntsd -d>


这个xp系统原来就有的......干嘛要删掉
gototop
 
victa
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2009-10-29
  • 来自:
发表于: 2009-10-29 10:04 | 短消息 资料
字号: 8楼

回复:http://www.8420.cn/?chp篡改首页运行CMD

360顽固木马杀毒机可以杀掉此木马,但要分多次查杀,我开机就杀,连杀三-四次才清楚干净(没次都不同文件),还有csrs.exe,
msxmlfilta.dll也是和这个木马一起的,还有个必须删除所有不出名的垃圾视频播放器,这些木马就靠这些播放器开后门的!!播放器可以整个目录删除(不要用卸载)!,什么波波虎,什么XXX.有了这些播放器,你一登入特定的网页,就被开后门挂马了!!!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT