1   1  /  1  页   跳转

[求助] 快来看看这2个是什么木马

收藏
sorkm
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-07-10
  • 来自:
发表于: 2008-07-28 21:49 | 只看楼主 短消息 资料
字号: 1楼

快来看看这2个是什么木马

今天下午16时用360扫出来的,trojan.yoyo1012      trojan.RNDDSVC

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; .NET CLR 3.0.04506.648)
最后编辑sorkm 最后编辑于 2008-07-28 21:50:10
分享到:
gototop
 
rainyblue
头像
强壮不惑狮
  • 帖子:1251
  • 注册: 2008-07-05
  • 来自:Grand line
论坛8周年活动礼物论坛9周年纪念
发表于: 2008-07-28 21:54 | 短消息 资料
字号: 2楼

回复:快来看看这2个是什么木马

请楼主使用sreng扫描一下系统,日志以附件形式上传,以便进一步分析你的问题
下载地址:http://bbs.ikaka.com/attachment.aspx?attachmentid=397587
(1)、下载后解压缩,运行“srengldr.exe”;
(2)、如果无法打开请尝试运行“安全启动.bat”;
(3)、打开后依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
(4)、选择保存路径,文件名保持默认,直接点击【保存】;
(5)、将日志文件srenglog.log作为附件上传到论坛,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。
注意:扫描前请尽量关闭qq、游戏、下载工具、媒体播放器等应用程序。
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-07-28 21:55 | 短消息 资料
字号: 3楼

回复:快来看看这2个是什么木马

能不能上传病毒的样本?
gototop
 
sorkm
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-07-10
  • 来自:
发表于: 2008-07-28 22:00 | 只看楼主 短消息 资料
字号: 4楼

回复: 快来看看这2个是什么木马

日志在这

附件附件:

文件名:SREngLOG.log
下载次数:120
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-28 22:00:01
描述:log
gototop
 
sorkm
头像
初生襁褓狮
  • 帖子:6
  • 注册: 2008-07-10
  • 来自:
发表于: 2008-07-28 22:02 | 只看楼主 短消息 资料
字号: 5楼

回复:快来看看这2个是什么木马

高手帮帮忙,360论坛里很多人今天中了
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-07-28 22:17 | 短消息 资料
字号: 6楼

回复:快来看看这2个是什么木马

删除启动项
    <msobjstl.dll><C:\WINDOWS\system32\msobjstl.dll>  [File is missing]
    <adsntzt.dll><C:\WINDOWS\system32\adsntzt.dll>  [File is missing]
    <kbdswjr.dll><C:\WINDOWS\system32\kbdswjr.dll>  [File is missing]
删除服务
[ArData / ArData][Stopped/Auto Start]
  <><(File is missing)>
[ArNat / ArNat][Stopped/Auto Start]
  <><(File is missing)>
[ArServer / ArServer][Stopped/Auto Start]
  <><(File is missing)>
删除驱动及对应文件
[fcdayw / fcdayw][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\fcdayw><N/A>
[presafe / presafe][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\presafe.sys><N/A>
[Hdv32 / Hdv32][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\Hdv32_c.sys><N/A>
[hidedrv / hidedrv][Stopped/Auto Start]
  <\??\C:\WINDOWS\system32\fccpk.sys><N/A>
[idnaux / idnaux][Stopped/Auto Start]
  <C:\windos\drivers\idnaux.sys><N/A>

删除浏览器加载项
[]
  {046167AA-53C2-4576-B362-291D9E852269} <C:\WINDOWS\system32\BBDown.dll, N/A>
下面的东东自己测下
C:\WINDOWS\system32\Flurry.scr
http://www.virscan.org/

PS:用Windos清理助手,完美卸载清理中文上网
最后编辑aaccbbdd 最后编辑于 2008-07-28 23:29:51
gototop
 
开心101
头像
卡卡反病毒小组
  • 帖子:1210
  • 注册: 2008-07-05
  • 来自:梦开始的地方
发表于: 2008-07-28 22:19 | 短消息 资料
字号: 7楼

回复:快来看看这2个是什么木马

将如下文件挑几个打包上传后
删除方法见http://bbs.ikaka.com/showtopic-8442813.aspx
那个fccpk.sys貌似卡卡诊所显示安全 建议楼主还是去测一下
c:\windows\system32\msobjstl.dll
c:\windows\system32\adsntzt.dll
c:\windows\system32\kbdswjr.dll
c:\windows\system32\drivers\presafe.sys
c:\windows\system32\drivers\idnaux.sys
c:\windows\system32\drivers\hdv32_c.sys
c:\windows\system32\fcdayw

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[msobjstl.dll]    <C:\WINDOWS\system32\msobjstl.dll>
[adsntzt.dll]    <C:\WINDOWS\system32\adsntzt.dll>
[kbdswjr.dll]    <C:\WINDOWS\system32\kbdswjr.dll>

    启动项目 -- 服务-- 驱动程序之如下项删除:
[presafe / presafe]    <\??\C:\WINDOWS\system32\drivers\presafe.sys>
[idnaux / idnaux]    <system32\drivers\idnaux.sys>
[Hdv32 / Hdv32]    <\??\C:\WINDOWS\system32\drivers\Hdv32_c.sys>
[fcdayw / fcdayw]    <\??\C:\WINDOWS\system32\fcdayw>
最后编辑开心101 最后编辑于 2008-07-28 22:24:34
好久没来了
嘻嘻
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT