瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 中毒了!帮忙看下,还在不断生成病毒

1   1  /  1  页   跳转

[求助] 中毒了!帮忙看下,还在不断生成病毒

收藏
allenku
头像
拙长孩提狮
  • 帖子:96
  • 注册: 2007-02-26
  • 来自:
发表于: 2008-12-28 16:21 | 只看楼主 短消息 资料
字号: 1楼

中毒了!帮忙看下,还在不断生成病毒

请帮忙看下,这几个毒清除过几次,上两个星期也上来过,后来按照aabbccdd说的,清除了。我一直都有开着瑞星啊,360啊卡卡啊包括天网。。。。今天病毒又复发了,感觉好像都是休息的时候,是不是有时间的啊?每到星期天下午就发作

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7; 火星浏览器(Gogo Explorer) 3.x; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)

附件附件:

文件名:SREngLOG.log
下载次数:206
文件类型:application/octet-stream
文件大小:
上传时间:2008-12-28 16:21:02
描述:log
分享到:
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-12-28 16:44 | 短消息 资料
字号: 2楼

回复:中毒了!帮忙看下,还在不断生成病毒

1.建议使用XDelBox删除以下文件Xdelbox1.8下载地址
使用说明:先勾选抑制再生删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除(不论文件是否存在,继续操作重启删除
),电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。


c:\windows\system32\takxx.exe
c:\windows\system32\notepas.exe
c:\windows\system32\takgu.exe
c:\windows\system32\takfl.exe
c:\windows\system32\notwq.exe
c:\windows\system32\reminst\csrss.exe
c:\windows\system32\reminst\smss.exe
c:\windows\system32\mwpwgc.fdc

2.删除重启后使用SREng修复下面各项:

  启动项目 -- 服务 -- Win32服务应用程序之如下项删除:
  (勾选隐藏已认证的微软项目,选中有问题的驱动/服务后,点"删除服务",点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务)


[takxx / takxx]    <C:\WINDOWS\system32\takxx.exe>
[unzink / unzink]    <C:\WINDOWS\system32\svchost.exe -k unzink-->%SystemRoot%\System32\mwpwgc.fdc>
[takgu / takgu]    <C:\WINDOWS\system32\takgu.exe>
[SeagateSyncService / SeagateSyncService]    <C:\WINDOWS\system32\notepas.exe>
[SeagateSyncService / SeagateSyncService]    <C:\WINDOWS\system32\notepas.exe>
[takfl / takfl]    <C:\WINDOWS\system32\takfl.exe>
[notwq / notwq]    <C:\WINDOWS\system32\notwq.exe>
[WMI Performan Adapter / wmiApSvc]    <C:\WINDOWS\System32\RemInst\smss.exe>
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-12-28 16:51 | 短消息 资料
字号: 3楼

回复:中毒了!帮忙看下,还在不断生成病毒

c:\windows\system32\takxx.exe
c:\windows\system32\notepas.exe
c:\windows\system32\takgu.exe
c:\windows\system32\takfl.exe
c:\windows\system32\notwq.exe
c:\windows\system32\reminst\csrss.exe
c:\windows\system32\reminst\smss.exe
c:\windows\system32\mwpwgc.fdc

这些文件用解压工具WinRAR依路径打开文件夹找文件,压缩发来:

找不到的就算了


最后编辑天月来了 最后编辑于 2008-12-28 16:53:16
gototop
 
allenku
头像
拙长孩提狮
  • 帖子:96
  • 注册: 2007-02-26
  • 来自:
发表于: 2008-12-28 17:31 | 只看楼主 短消息 资料
字号: 4楼

回复:中毒了!帮忙看下,还在不断生成病毒

谢谢两位,那些我都查杀掉了,好像每次都是星期天13点到17点之间病毒会自动生成,可能是那个run.vbs造成的,每次都删掉,可是1、2星期后又会发作,有没有办法不让这种脚本文件自动运行啊?
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2008-12-28 17:32 | 短消息 资料
字号: 5楼

回复 4F allenku 的帖子

在组策略里禁止wscript.exe程序的运行
gototop
 
allenku
头像
拙长孩提狮
  • 帖子:96
  • 注册: 2007-02-26
  • 来自:
发表于: 2008-12-28 17:36 | 只看楼主 短消息 资料
字号: 6楼

回复:中毒了!帮忙看下,还在不断生成病毒

前面删了,下次如果还碰上就打包传上来,
关于takxx.exe、takgu.exe、takfl.exe,这三个每次都有,而且路径不会改变。csrss.exe、smss.exe这两个,也是每次都有,但是文件夹的名字会不一样,上次是一个已有的文件夹,这次好像是个新建文件夹。notepas.exe、notwq.exe是第一次出现,每次发作后瑞星都会发现run.vbs,然后清除~但是过后又会出现很多数字.exe文件,类似12352.exe,999.exe等等。每次还会在服务里加上takxx.exe、takgu.exe、takfl.exe这三个服务,和一个伪装成.net framework XXXX是随机的名字的服务
c:\windows\system32\takxx.exe
c:\windows\system32\notepas.exe
c:\windows\system32\takgu.exe
c:\windows\system32\takfl.exe
c:\windows\system32\notwq.exe
c:\windows\system32\reminst\csrss.exe
c:\windows\system32\reminst\smss.exe
c:\windows\system32\mwpwgc.fdc
gototop
 
allenku
头像
拙长孩提狮
  • 帖子:96
  • 注册: 2007-02-26
  • 来自:
发表于: 2008-12-28 17:40 | 只看楼主 短消息 资料
字号: 7楼

回复:中毒了!帮忙看下,还在不断生成病毒

我在软件生成策略里加好了,还把那两个改名字了,上网或者运行别的软件时不会用到吧?
gototop
 
allenku
头像
拙长孩提狮
  • 帖子:96
  • 注册: 2007-02-26
  • 来自:
发表于: 2008-12-28 17:48 | 只看楼主 短消息 资料
字号: 8楼

回复:中毒了!帮忙看下,还在不断生成病毒

Xdelbox1.8下了那地址里一个剑盟版的,然后想删除c:\windows\system32\mwpwgc.fdc,点重启后删除瑞星就跳出来说删除染毒文件成功!然后Xdelbox1.8就报寻址错误
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT