1   1  /  1  页   跳转

[求助] 很邪乎的毒

收藏
hkd20051
头像
自信弱冠狮
  • 帖子:378
  • 注册: 2005-07-17
  • 来自:
发表于: 2011-02-15 23:19 | 只看楼主 短消息 资料
字号: 1楼

很邪乎的毒

上日志,msctfime.iem。。。杀不掉,求解!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; TencentTraveler 4.0)

附件附件:

文件名:SREngLOG.log
下载次数:169
文件类型:application/octet-stream
文件大小:
上传时间:2011-2-15 23:19:01
描述:log
分享到:
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2011-02-16 00:01 | 短消息 资料
字号: 2楼

回复: 很邪乎的毒

先留个脚印。

日志中的问题项目已标注(见附件),红色的肯定是有问题的项目,蓝色的项目不是很清楚,有待验证:

附件附件:

文件名:文档.rar
下载次数:292
文件类型:application/octet-stream
文件大小:
上传时间:2011-2-16 0:01:30
描述:rar

打酱油的……
gototop
 
kingw3
头像
快乐黄口狮
  • 帖子:221
  • 注册: 2010-12-07
  • 来自:
发表于: 2011-02-16 00:50 | 短消息 资料
字号: 3楼

回复:很邪乎的毒

建议删除
c:\documents and settings\administrator\application data\dk.sys
c:\windows\system32\msctfime.iem
c:\windows\system32\dbr06020.ocx
c:\program files\common files\system\kb037637.dmp
c:\program files\common files\system\kb088751.cpu
c:\program files\common files\system\kb212268.mak
c:\program files\common files\system\kb349523.uce
c:\program files\common files\system\kb614833.dla
c:\program files\common files\system\kb766286.tad
c:\program files\common files\system\kb947527.nvu
c:\program files\common files\system\kb975074.dma
c:\windows\system32\bhoexe.dll -----                    <<查询这是鬼影病毒释放的文件 建议楼主下载XueTr查看mbr是否被修改 必要时下载鬼影专杀试试>>
c:\documents and settings\all users\「开始」菜单\程序\启动\desktop
c:\documents and settings\all users\「开始」菜单\程序\启动\desktop.file
[RunShadowTip]    <C:\WINDOWS\system32\shadow\ShadowTip.exe>  c:\windows\system32\shadow\shadowtip.exe ----“”影子系统的相关文件吗“”


禁用启动项目
[des]    <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\desktop>
[desktop.]    <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\desktop.file>

驱动
[360FkAdv / 360FkAdv]    <>---不存在还运行? 用XT删除之
附xt下载地址:http://www.xuetr.com/
鬼影专杀:http://down.tech.sina.com.cn/content/47368.html
                    http://sd.keniu.com/zt/ztguiying.html
本帖被评分 2 次
最后编辑kingw3 最后编辑于 2011-02-16 00:52:11
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-02-16 08:56 | 短消息 资料
字号: 4楼

回复: 很邪乎的毒



引用:
原帖由 超级游戏迷 于 2011-2-16 0:01:00 发表
先留个脚印。

日志中的问题项目已标注(见附件),红色的肯定是有问题的项目,蓝色的项目不是很清楚,有待验证:



补充一点:


[PID:2268][C:\WINDOWS\services.exe]
[Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]


这个进程是有问题的。
本帖被评分 1 次
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2011-02-16 09:10 | 短消息 资料
字号: 5楼

回复 4F baohe 的帖子

晕,漏看了啊 ……

这病毒破影子系统,猫叔有兴趣的话向楼主讨那个%temp%\904496那个临时文件玩玩,这毒邪乎,中了后任务管理器中除了system idle process这个系统空闲资源进程用户名显示为“system”外,其它进程都不显示用户名。

最后编辑超级游戏迷 最后编辑于 2011-02-16 10:35:34
打酱油的……
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2011-02-16 09:37 | 短消息 资料
字号: 6楼

回复:很邪乎的毒

C:\Program Files\Java\gtapi.dll 这个也有问题哟
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2011-02-16 10:27 | 短消息 资料
字号: 7楼

回复:很邪乎的毒

我倒:

引用:
还会在“C:\Program Files”目录下新建一个“Java”文件夹,并再改文件夹目录下创建一个名称为“gtapi.dll”的动态链接库文件,然后在注册表中分别注册分支“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{86B5296C-F5D5-497e-A896-0D1549A9F5A5}”和“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad”,注意右侧窗口键值项“GTApi”对应路径“C:\Program Files\Java\gtapi.dll”。
极虎病毒的变种?
打酱油的……
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-02-16 11:32 | 短消息 资料
字号: 8楼

回复: 很邪乎的毒



引用:
原帖由 超级游戏迷 于 2011-2-16 9:10:00 发表
晕,漏看了啊 ……

这病毒破影子系统,猫叔有兴趣的话向楼主讨那个%temp%\904496那个临时文件玩玩,这毒邪乎,中了后任务管理器中除了system idle process这个系统空闲资源进程用户名显示为“system”外,其它进程都不显示用户名。




你手里有?发到样本区啊
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2011-02-16 11:37 | 短消息 资料
字号: 9楼

回复:很邪乎的毒

没有,昨天晚上12点左右楼主才通过QQ求助,我实在太困了……

我通过QQ联系下楼主吧……
最后编辑超级游戏迷 最后编辑于 2011-02-16 11:42:31
打酱油的……
gototop
 
hkd20051
头像
自信弱冠狮
  • 帖子:378
  • 注册: 2005-07-17
  • 来自:
发表于: 2011-02-16 17:48 | 只看楼主 短消息 资料
字号: 10楼

回复:很邪乎的毒
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT