瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 遇到一个比较凶悍的病毒!大家帮忙看看!

12   1  /  2  页   跳转

遇到一个比较凶悍的病毒!大家帮忙看看!

收藏
交流电
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-04-09
  • 来自:
发表于: 2008-04-09 14:07 | 只看楼主 短消息 资料
字号: 1楼

遇到一个比较凶悍的病毒!大家帮忙看看!

昨天本来要下一个英语听力软件…搜索到一个地址…下下来结果是个setup.exe的文件…感觉名字不正常…但一想有杀毒软件就没怕…没想到双击之后…它自动安装PPlive…系统显示系统文件被替换…我用的KAV 7.0安全套装也杀不掉它…系统时间被改…总之一片狼藉……卡巴完全失效……附件里是迅雷下载那个文件的文件信息……里面有病毒下载地址……请高手看看……

[用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)

附件附件:

下载次数:99
文件类型:application/octet-stream
文件大小:
上传时间:2008-4-9 14:07:56
描述:

最后编辑2008-04-09 19:21:13
分享到:
gototop
 
秋叶濛濛
头像
飘泊而立狮
  • 帖子:638
  • 注册: 2007-03-08
  • 来自:
发表于: 2008-04-09 14:24 | 短消息 资料
字号: 2楼

建议:
先用工具清理下系统 然后扫描完整SRE日志报告

清理系统临时文件和IE临时文件夹     
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

下载Sreng,解压缩运行

1.先把不相关的软件关闭(比如QQ 浏览器 播放软件之类...)
2.智能扫描(记得勾上数字签名选项)=》扫描=》保存报告
3.把日志SREngLOG.log中的报告完整复制粘贴上来,[全选(Ctrl+a) >>复制(Ctrl+c) >>粘贴(Ctrl+v)] 上来或者粘贴到记事本中以附件形式上传上来

SRE下载地址
http://www.kztechs.com/sreng/sreng928.zip
友情提示:如果下载后不能运行请删除已下载的,然后重新下载.下载后首先不要运行先将下载的SREng.exe重命名为SREng.com(SREng.scr\SREng.bat\SREng.pif)或者abc.exe运行
gototop
 
交流电
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-04-09
  • 来自:
发表于: 2008-04-09 14:50 | 只看楼主 短消息 资料
字号: 3楼

补上扫描报告:

附件附件:

下载次数:121
文件类型:application/octet-stream
文件大小:
上传时间:2008-4-9 14:50:04
描述:
gototop
 
交流电
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-04-09
  • 来自:
发表于: 2008-04-09 14:54 | 只看楼主 短消息 资料
字号: 4楼

【回复“秋叶濛濛”的帖子】

报告放上面附件里了!谢谢……
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-04-09 15:07 | 短消息 资料
字号: 5楼

日志没看出什么

你现在还是有异常吗???
gototop
 
两个铁球
头像
叱咤花甲狮
  • 帖子:3107
  • 注册: 2006-01-19
  • 来自:新疆叶城
发表于: 2008-04-09 15:11 | 短消息 资料
字号: 6楼

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path]
    <IFEO[Your Image File Name Here without a path]><ntsd -d>  [N/A]

[40157 / 40157][Running/]
  <2 - 系统找不到指定的文件。
><N/A>
CHM  Error. ["hh.exe" %1]
INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
[XUploadFiles Control]
  {18B9E4BF-F21F-46B9-AD50-5CA62145426A} <C:\WINDOWS\DOWNLO~1\XUPLOA~1.OCX, www.blue999.com>



另外,1:平时要把卡巴自我保护的3个项勾上,设妥当的卡巴密码。
      2:清除所有的coogies及上网临时文件,有些一般情况下清不掉的,要用安全模式加冰刀及重启计算机,即使是些临时文件。
      3,SREng报告并非万能,它看不到的冬冬多了去。故还要加以别的工具。
gototop
 
交流电
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-04-09
  • 来自:
发表于: 2008-04-09 15:21 | 只看楼主 短消息 资料
字号: 7楼

【回复“天月来了”的帖子】

桌面图标的文字背景成了蓝色……自己感觉C盘的system32文件夹里有不正常的.exe 文件(比如66.exe  setup.exe) ^里面还有两个文件名为蓝色的文件夹:“DRVSTORE” 和 “dllcache”我菜鸟不懂为什么……
gototop
 
交流电
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-04-09
  • 来自:
发表于: 2008-04-09 15:22 | 只看楼主 短消息 资料
字号: 8楼

附上卡巴的报告:

附件附件:

下载次数:146
文件类型:application/octet-stream
文件大小:
上传时间:2008-4-9 15:22:25
描述:
gototop
 
两个铁球
头像
叱咤花甲狮
  • 帖子:3107
  • 注册: 2006-01-19
  • 来自:新疆叶城
发表于: 2008-04-09 15:28 | 短消息 资料
字号: 9楼

引用:
【交流电的贴子】附上卡巴的报告:
………………

卡巴说得过去这么清楚,还不会?
重启计算机,按f8键进入安全模式,按其所指,删除那些文件,重启计算机,再扫描---------再如此操作,直到干净为止。
gototop
 
交流电
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-04-09
  • 来自:
发表于: 2008-04-09 15:30 | 只看楼主 短消息 资料
字号: 10楼

【回复“两个铁球”的帖子】

谢谢!!你引用那一段报告的意思是……?
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT