瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 求助关于windows目录下开机随机生成××××.exe文件!

12   1  /  2  页   跳转

[求助] 求助关于windows目录下开机随机生成××××.exe文件!

收藏
撒旦小子
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-07-26
  • 来自:
发表于: 2008-07-26 13:04 | 只看楼主 短消息 资料
字号: 1楼

求助关于windows目录下开机随机生成××××.exe文件!

貌似是前晚上天梭的香港网站,www.tissot.com.hk,当时就觉得不对劲,有很多进程开始访问网络,赶紧断网,开始查病毒,倒是杀掉了不少,但重启了几次发现,每次重启之后任务管理器里都会有一个××××.exe(××××为随机4个字母)的进程,然后windows目录下有一个同名的文件,杀毒软件倒是能杀掉,但重启之后还有,如果先结束掉该进程,再在windows目录删除该文件,则杀毒软件就查不到了,重启之后照旧。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Maxthon; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; WWTClient2)

附件附件:

文件名:SREngLOG.log
下载次数:150
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-26 13:03:59
描述:log

最后编辑超级游戏迷 最后编辑于 2008-07-26 13:30:03
分享到:
gototop
 
撒旦小子
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-07-26
  • 来自:
发表于: 2008-07-26 13:05 | 只看楼主 短消息 资料
字号: 2楼

回复:求助关于windows目录下开机随机生成××××.exe文件...

麻烦各位大大,版主,帮帮忙啦,谢谢
gototop
 
撒旦小子
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-07-26
  • 来自:
发表于: 2008-07-26 13:10 | 只看楼主 短消息 资料
字号: 3楼

回复:求助关于windows目录下开机随机生成××××.exe文件...

用windows清理助手扫描了一下,检查结果是explorer.exe被替换了,是把O替换成0了?
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-07-26 13:12 | 短消息 资料
字号: 4楼

回复:求助关于windows目录下开机随机生成××××.exe文件...

建议删除启动项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9b547c6f-13dc-6821-6821-24ed05f80840}]
    <N/A>下注册表项目及对应文件
<C:\WINDOWS\system32\muovi\lsass.exe /t>  []


可疑驱动
[CMB8100 / CMB8100][Running/Auto Start]
  <\??\C:\WINDOWS\system32\Drivers\CertClient.dat><N/A>
[CMBProtector / CMBProtector][Running/Auto Start]
  <\??\C:\WINDOWS\system32\Drivers\CMBProtector.dat><N/A>

[Mtlmnt5 / Mtlmnt5][Running/Manual Start]
  <C:\windos\DRIVERS\Mtlmnt5.sys><>
[Mtlstrm / Mtlstrm][Stopped/Manual Start]
  <C:\windos\DRIVERS\Mtlstrm.sys><>
其对应文件自己测下
http://www.virscan.org/
http://www.virustotal.com/zh-cn/
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-07-26 13:13 | 短消息 资料
字号: 5楼

回复: 求助关于windows目录下开机随机生成××××.exe文件...

请把以下文件压缩,把压缩包上传上来:
C:\WINDOWS\system32\muovi\lsass.exe
C:\WINDOWS\system32\contmenu.dll
打酱油的……
gototop
 
撒旦小子
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-07-26
  • 来自:
发表于: 2008-07-26 13:24 | 只看楼主 短消息 资料
字号: 6楼

回复: 求助关于windows目录下开机随机生成××××.exe文件...



引用:

另外我在我电脑上搜了一下,有两个explorer,一个在windows目录下,一个在windows/system32目录下,不对吧,正常的应该就在windows目录下?
正常的资源管理器文件已经被病毒移动到c:\windows\system32目录下,c:\windows下如果有explorer.exe,可能已被病毒替换。
等两个可疑文件鉴定后,再研究杀毒步骤。

附件附件:

文件名:桌面.rar
下载次数:215
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-26 13:23:46
描述:rar

最后编辑超级游戏迷 最后编辑于 2008-07-26 13:44:34
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-07-26 13:36 | 短消息 资料
字号: 7楼

回复: 求助关于windows目录下开机随机生成××××.exe文件...

扫描结果 :  31%的杀软(11/36)报告发现病毒
时间 :  2008/07/26 13:33:42 (CST)
软件名称引擎版本
病毒库版本
病毒库时间
扫描结果
时间
a-squared3.5.0.222008.07.252008-07-25-
2.698
AntiVir7.8.1.127.0.5.1752008-07-25TR/Downloader.Gen
2.105
Arcavir1.0.52008072512502008-07-25-
1.211
AVAST!3.0.1080725-12008-07-25-
0.016
AVG7.5.51.442270.5.6/15742008-07-25Downloader.Tiny.K
1.525
BitDefender7.60825.13901077.202072008-07-26BehavesLike:Win32.Malware (suspected)
6.799
CA (VET)9.0.0.14331.6.59832008-07-26-
0.693
ClamAV0.93.378292008-07-26-
0.038
Comodo2.112.0.0.5972008-07-26-
0.441
CP Secure1.1.0.7152008.07.262008-07-26-
5.527
Dr.Web4.44.0.91702008.07.252008-07-25-
3.025
ewido4.0.0.22008.07.252008-07-25-
3.082
F-Prot4.4.4.56200807252008-07-25-
1.065
F-Secure5.51.61002008.07.25.062008-07-25-
2.817
IkarusT3.1.01.342008.07.26.711632008-07-26Trojan-Downloader
3.522
Microsoft1.37042008.07.262008-07-26TrojanDownloader:Win32/Sagnusnagta.A
7.483
mks_vir2.012008.07.252008-07-25-
2.517
Norman5.93.015.93.002008-07-25-
4.614
nProtect2008-07-25.0017026732008-07-25BehavesLike:Win32.Malware
4.538
Quick Heal9.502008.07.252008-07-25TrojanDownloader.Small.ysf
1.625
Sophos2.75.44.312008-07-26-
1.981
Sunbelt3.1.1536.121662008-07-25-
3.443
The Hacker6.2.96v003892008-07-24-
0.423
VBA323.12.8.120080725.08542008-07-25-
1.667
ViRobot200807252008.07.252008-07-25-
0.411
VirusBuster4.5.11.1010.82.22/5967922008-07-25-
0.946
卡巴斯基5.5.102008.07.262008-07-26-
0.059
安博士V32008.07.26.002008.07.262008-07-26-
0.862
江民杀毒11.0.7062008.07.262008-07-26-
1.138
熊猫卫士9.05.012008.07.242008-07-24Suspicious file
2.036
瑞星20.020.54.50.002008-07-26-
1.226
赛门铁克1.3.0.2420080725.0032008-07-25-
0.060
趋势科技8.700-10045.436.012008-07-25-
0.034
迈克菲5.2.0053472008-07-25Downloader-BDH
2.178
金山毒霸2008.1.14.152008.7.25.182008-07-25Win32.Troj.AgentT.fd.12288
0.644
飞塔2.81-3.119.3562008-07-26Suspicious
1.679

以上是检测结果。可疑文件请分别打包,否则不知道哪个有问题。
打酱油的……
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-07-26 13:38 | 短消息 资料
字号: 8楼

回复: 求助关于windows目录下开机随机生成××××.exe文件...

另外请把你说的随机数字名文件也找个打包传上来。
打酱油的……
gototop
 
撒旦小子
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2008-07-26
  • 来自:
发表于: 2008-07-26 13:46 | 只看楼主 短消息 资料
字号: 9楼

回复:求助关于windows目录下开机随机生成××××.exe文件...

版主好,那个检测结果是什么意思看不懂啊!?呵呵
另外那个随机四个字母的exe文件已经被我删除了啊!
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2008-07-26 14:06 | 短消息 资料
字号: 10楼

回复: 求助关于windows目录下开机随机生成××××.exe文件...

十分抱歉,在引用你6楼的回复帖时误用了“编辑”指令,十分抱歉……

还好主要内容还在
打酱油的……
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT