瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 C:\WINDOWS\Temp下的svchost.exe和winlogon.exe病毒如何查杀(已上传日志和报告)

1   1  /  1  页   跳转

[求助] C:\WINDOWS\Temp下的svchost.exe和winlogon.exe病毒如何查杀(已上传日志和报告)

收藏
lynn_nnyl
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-10-07
  • 来自:
发表于: 2008-10-31 23:38 | 只看楼主 短消息 资料
字号: 1楼

C:\WINDOWS\Temp下的svchost.exe和winlogon.exe病毒如何查杀(已上传日志和报告)

发现C:\WINDOWS\Temp文件夹下有svchost.exe(16k)和
winlogon.exe(2k)这两个文件

现象:在连接Internet40-60分钟内上传从0KBps迅速暴增至
560KBps以上(我是电信2M的adsl),整个带宽完全被占,无法干任
何事情。用瑞星全盘杀毒没有结果。

我已经关闭了端口: TCP135、 137、139、445、593  UDP
135、139、445 、1434 、TCP 1025、2745、3127、6129、3389

(一开始还会出现Generic Host Process for Win32 Services报错但在安装补丁:WindowsXP-KB921883-x86-CHS.exe
WindowsXP-KB894391-x86-CHS.exe后目前还没有重新出现)

不过当上传暴涨后无法断开网络连接,关闭modem电源后死机,重启后出现下图


恳请知道杀毒方法的朋友指点迷津,拜谢

temp文件夹下的svchost.exe和winlogon.exe文件已上传到可疑文件交流区

附件: SREngLOG.log (2008-11-1 17:27:54, 51.43 K)
该附件被下载次数 216


附件: 清理专家诊断报告.txt (2008-11-1 17:27:54, 34.69 K)
该附件被下载次数 198




附件: 事件属性.txt (2008-11-1 0:11:52, 795 B)
该附件被下载次数 247






用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; MAXTHON 2.0)
最后编辑lynn_nnyl 最后编辑于 2008-11-01 17:27:54
分享到:
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-10-31 23:40 | 短消息 资料
字号: 2楼

回复:C:\WINDOWS\Temp下的svchost.exe和winlogon.exe病毒如何查杀

文件发到可疑文件交流区

本区请上传日志
gototop
 
lynn_nnyl
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-10-07
  • 来自:
发表于: 2008-11-01 16:09 | 只看楼主 短消息 资料
字号: 3楼

回复:C:\WINDOWS\Temp下的svchost.exe和winlogon.exe病毒如何查杀

哪位大侠请来帮帮忙吧,现在一连上网没多久就会出现“winlogon.exe应用程序错误”提示
接下来就是
“0x????????”指令引用的“0x????????”内存。该内存不能为“read”。
“0x????????”指令引用的“0x????????”内存,该内存不能为“written”。

gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-11-01 16:14 | 短消息 资料
字号: 4楼

回复:C:\WINDOWS\Temp下的svchost.exe和winlogon.exe病毒如何查杀

2楼不是回了你么
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-11-01 16:16 | 短消息 资料
字号: 5楼

回复 3F lynn_nnyl 的帖子

解决问题需要配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
解压后运行,升级清理助手,全盘扫描,只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。

如清理无效
2.扫日志前关闭无用进程,如QQ,迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)

PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断,找出替换文件的病毒,必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断(隐藏安全项)-导出诊断报告-(全选)-导出报告


5.2份日志/报告以附件上传(点击我回的贴的右下角的“引用”,然后就应该知道怎么以附件发了),贴到反病毒/反流氓软件论坛.已发帖请跟贴,勿另开新帖。

如以上工具不能打开或正常运行,短消息call我
gototop
 
lynn_nnyl
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-10-07
  • 来自:
发表于: 2008-11-01 19:34 | 只看楼主 短消息 资料
字号: 6楼

回复:C:\WINDOWS\Temp下的svchost.exe和winlogon.exe病毒如何查杀(已上...

晕了~用清理助手倒是可以发现木马也能清理
清理结果:
[2.8.1.8.0815 - 2.8.25.8.1031]
2008-11-01 18:03
[Trojan]
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A4867E9C-DEAF-42DC-BCC1-0EAA423120C3}\RP217\A0062287.EXE

[2.8.1.8.0815 - 2.8.25.8.1031]
2008-11-01 18:03
[Trojan Files]
HKEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES\BITS\PARAMETERS\SERVICEDLL\REG_EXPAND_SZ01%SYSTEMROOT%\SYSTEM32\QMGR.DLL

[2.8.1.8.0815 - 2.8.25.8.1031]
2008-11-01 18:03
[Trojan.Svchost]
C:\WINDOWS\TEMP\SVCHOST.EXE

但是只要重启后连上Internet,temp文件夹下这两个文件又重新生成了
日志和报告我已经上传了,哪位高手帮帮忙吧,联网50分钟我的电脑突然就不停的上传(没开任何下载软件),整个带宽都被占了。
拜谢~
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-11-01 21:36 | 短消息 资料
字号: 7楼

回复:C:\WINDOWS\Temp下的svchost.exe和winlogon.exe病毒如何查杀(已上...

金山清理专家
在线系统诊断
隐藏安全项

清除该项
    [BITS] [已启用]                <C:\WINDOWS\system32\RwmftgC.dll>
        文件路径: C:\WINDOWS\system32\RwmftgC.dll [可疑的]

附件粉碎文件(解压后运行,勾选抑制再生)
C:\WINDOWS\system32\RwmftgC.dll

C:\WINDOWS\system32\svchost.exe
从正常的XP-SP2计算机拷来
替换本机同名文件!

附件附件:

下载次数:208
文件类型:application/rar
文件大小:
上传时间:2008-11-1 21:36:49
描述:rar

附件附件:

下载次数:286
文件类型:application/rar
文件大小:
上传时间:2008-11-1 21:36:49
描述:rar
gototop
 
天云一剑
头像
叱咤花甲狮
  • 帖子:2028
  • 注册: 2008-07-06
  • 来自:知识折旧派
发表于: 2008-11-01 21:58 | 短消息 资料
字号: 8楼

回复:C:\WINDOWS\Temp下的svchost.exe和winlogon.exe病毒如何查杀(已上...

[Trojan]
D:\SYSTEM VOLUME INFORMATION\_RESTORE{A4867E9C-DEAF-42DC-BCC1-0EAA423120C3}\RP217\A0062287.EXE

这个需要关闭系统还原才能清理(我的电脑右键-属性-系统还原)
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 
lynn_nnyl
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2008-10-07
  • 来自:
发表于: 2008-11-02 22:24 | 只看楼主 短消息 资料
字号: 9楼

回复:C:\WINDOWS\Temp下的svchost.exe和winlogon.exe病毒如何查杀(已上...

还有个问题
7楼的朋友给出的方法中


引用:
C:\WINDOWS\system32\svchost.exe
从正常的XP-SP2计算机拷来
替换本机同名文件

为什么我在执行时系统总是提示有程序正在使用无法替换
我在安全模式下也不能替换
用瑞星扫描后可以删除带病毒的svchost.exe文件,但是将别的机器上复制的svchost.exe粘贴在原位上时系统提示无法识别,重启电脑后svchost进程全部不能启动
到底怎么才能正确替换呢,请大家教教我
另外,很感谢aaccbbdd和天云一剑给予的帮助
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT