瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 中毒了!帮忙看一下。。。。。。。。。。。。

12   1  /  2  页   跳转

[求助] 中毒了!帮忙看一下。。。。。。。。。。。。

收藏
zxy5666
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2008-12-12
  • 来自:
发表于: 2008-12-12 14:52 | 只看楼主 短消息 资料
字号: 1楼

中毒了!帮忙看一下。。。。。。。。。。。。

怀疑中了病毒,症状如下:
开始--所有程序--启动 出现名为“FD63EB”“DBC9F6”等文件,只要启动一次就增加一个,可以删除,但启动会再次添加。
看了属性,是位于"C:\WINDOWS\system32\C58804\55579D.EXE"等。
看了system32文件夹下多出好多隐藏文件夹。
用的是小红伞的FREE版,更新到最新,查不出来。
其他都没影响。

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.4) Gecko/2008102920 Firefox/3.0.4

附件附件:

文件名:5.jpg
下载次数:326
文件类型:image/jpeg
文件大小:
上传时间:2008-12-12 14:52:01
描述:jpg
预览信息:EXIF信息



附件附件:

文件名:8.jpg
下载次数:305
文件类型:image/jpeg
文件大小:
上传时间:2008-12-12 14:52:01
描述:jpg
预览信息:EXIF信息
分享到:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2008-12-12 15:00 | 短消息 资料
字号: 2楼

回复:中毒了!帮忙看一下。。。。。。。。。。。。

C:\WINDOWS\system32\C58804\55579D.EXE打包发送到可疑文件交流区鉴定。
gototop
 
zxy5666
头像
初生襁褓狮
  • 帖子:2
  • 注册: 2008-12-12
  • 来自:
发表于: 2008-12-12 15:01 | 只看楼主 短消息 资料
字号: 3楼

回复:中毒了!帮忙看一下。。。。。。。。。。。。

有什么好的解决办法?
万分感谢!!!
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2008-12-12 15:01 | 短消息 资料
字号: 4楼

回复:中毒了!帮忙看一下。。。。。。。。。。。。

文件发送上来。

使用System Repair Engineer扫描日志,将日志作为附件上传上来。
下载页面:http://www.kztechs.com/sreng/download.html
操作方法:
1、下载后解压缩,运行SREngPS.EXE;
2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
4、选择保存路径,文件名保持默认,直接点击【保存】;
5、打开保存的日志文件SREngLOG.log,完整复制全部内容,新建一个文本文档,将日志中的全部内容粘贴到“新建文本文档.txt”中;
6、将“新建文本文档.txt”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。
注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序
gototop
 
雨君009
头像
飘泊而立狮
  • 帖子:683
  • 注册: 2008-08-05
  • 来自:"动物家园"论坛
论坛8周年活动礼物
发表于: 2008-12-12 15:04 | 短消息 资料
字号: 5楼

回复:中毒了!帮忙看一下。。。。。。。。。。。。

扫描一个日志上来,
另外弄两个病毒文件打包也发上来。
呵呵,我来玩玩。
gototop
 
zxy5666kk
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2008-12-12
  • 来自:
发表于: 2008-12-12 15:16 | 短消息 资料
字号: 6楼

回复: 中毒了!帮忙看一下。。。。。。。。。。。。

文件和日志。。。

附件附件:

文件名:C58804.rar
下载次数:112
文件类型:application/zip
文件大小:
上传时间:2008-12-12 15:15:54
描述:rar

附件附件:

文件名:SREngLOG.log
下载次数:105
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-12 15:15:54
描述:log
gototop
 
zxy5666kk
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2008-12-12
  • 来自:
发表于: 2008-12-12 15:18 | 短消息 资料
字号: 7楼

回复:中毒了!帮忙看一下。。。。。。。。。。。。

晕,刚注册的密码就忘了。。。
麻烦楼上两位了,这个病毒就是开机会在启动项加载,在system32文件夹下加文件夹,其他都不影响,比较恶心
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2008-12-12 15:36 | 短消息 资料
字号: 8楼

回复 7F zxy5666kk 的帖子

lz装瑞星吧升级到最新版可以查杀你上传的样本。
1.建议使用XDelBox删除以下文件:(XDelBox1.8下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\pnkbstrb.exe
c:\windows\system32\c58804\55579d.exe
c:\program files\common files\grass valley\procoder 3\kernel\pnxservr.exe
c:\windows\system32\c58804\com.run
c:\windows\system32\c58804\dp1.fne
c:\windows\system32\c58804\eapi.fne
c:\windows\system32\c58804\internet.fne
c:\windows\system32\c58804\krnln.fnr
c:\windows\system32\c58804\regex.fnr
c:\windows\system32\c58804\shell.fne
c:\windows\system32\c58804\spec.fne
"d:\cucn secret\cucn secret.exe" 1 /local
c:\documents and settings\zxy5666\「开始」菜单\程序\启动\95b414.lnk

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[NexusServer]    <"C:\Program Files\Common Files\Grass Valley\ProCoder 3\Kernel\PNXSERVR.exe" -SelfLaunch>
[NSCT]    <"D:\CUCN Secret\cucn secret.exe" 1 /local>

    启动项目 -- 启动文件夹之如下项删除:
[95B414]    <C:\Documents and Settings\zxy5666\「开始」菜单\程序\启动\95B414.lnk>

    启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
[PnkBstrB / PnkBstrB]    <C:\WINDOWS\system32\PnkBstrB.exe>

**************以上分析报告由SREngLog分析助手提供******************
分析:草莽书生
时间:2008-12-12
SREngLog分析助手 1.3 (20070808 更新 BY 草莽书生)
gototop
 
zxy5666kk
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2008-12-12
  • 来自:
发表于: 2008-12-12 15:44 | 短消息 资料
字号: 9楼

回复:中毒了!帮忙看一下。。。。。。。。。。。。

多谢。。。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-12-12 15:50 | 短消息 资料
字号: 10楼

回复:中毒了!帮忙看一下。。。。。。。。。。。。

此毒瑞星已可以杀了
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT