瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 Rootkit.win32.mnless.asy病毒怎么去除,急!急!急!

12   1  /  2  页   跳转

[求助] Rootkit.win32.mnless.asy病毒怎么去除,急!急!急!

Rootkit.win32.mnless.asy病毒怎么去除,急!急!急!

郁闷,Rootkit.win32.mnless.asy病毒怎么去除不掉啊!!!!!还望友友们来帮帮我

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30618)
分享到:
gototop
 

回复:Rootkit.win32.mnless.asy病毒怎么去除,急!急!急!

等楼主5分钟
Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
(点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。)
gototop
 

回复: Rootkit.win32.mnless.asy病毒怎么去除,急!急!急!



引用:
原帖由 aaccbbdd 于 2009-4-6 0:21:00 发表
等楼主5分钟
Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
(点

郁闷中。。。。。。。。火!火!火!火!火!!!

附件附件:

文件名:SREngLOG.log
下载次数:206
文件类型:application/octet-stream
文件大小:
上传时间:2009-4-8 23:23:41
描述:log

gototop
 

回复 2F aaccbbdd 的帖子

日志扫描见三楼附件。现在开机杀毒就有新病毒出现,快帮我看看怎么搞!!谢谢
gototop
 

回复: Rootkit.win32.mnless.asy病毒怎么去除,急!急!急!

你的是vista的系统,由于不太懂,可能会有遗漏,你的计划任务里太多东西了,你看下都是你需要的吗?

1.vista系统的建议下载费尔木马强力清除助手删除以下文件:
使用时记住勾选"清除,并抑制文件再次生成"

c:\windows\system32\iexplorer.exe
c:\windows\test.bat
c:\windows\system32\mywcc090404.dll
c:\windows\system32\xr5nphu9.dll
c:\windows\system32\efc0c52cc1.dll
c:\windows\system32\d9c002dd.dll
c:\windows\fonts\x7s7xgtp.fon
c:\windows\fonts\gpwrf8rwxb.fon
c:\windows\fonts\f13erxr2urh.fon
c:\windows\system32\etgbjk2ycxnm.dll
c:\windows\system32\bmsg6pdmd4ht.dll
c:\windows\system32\ws0gwmz.dll
c:\windows\system32\lifpcibi.dll
c:\windows\system32\webcheck.dll
c:\program files\remote\remote.exe
c:\windows\system32\avtapit.dll
c:\windows\system32\psosvor.exe
c:\users\ceo\appdata\local\temp\~1004323.tmp
c:\windows\system32\drivers\zxkb.sysys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[Unattend0000000001{0D12E576-92EF-4E85-9A29-F4B780F67C87}]    <C:\Windows\test.bat>
[ccsnahh]    <rundll32.exe C:\Windows\system32\mywcc090404.dll bgdll>
[{C10D41C6-4D17-4808-87CE-40612862A1BB}]    <C:\Windows\system32\XR5nPhu9.dll>
[{028A997C-4262-4107-BD46-2ABBC6143E8C}]    <C:\Windows\system32\efc0c52cc1.dll>
[{D9C002DD-EA51-43A2-9009-54EAAAF031A4}]    <C:\Windows\system32\D9C002DD.dll>
[{B70A8AAD-F18A-465E-8240-184DD5845D2D}]    <C:\Windows\fonts\X7s7xgtP.fon>
[{0127FA15-17DA-4FA3-9675-49BB9CF57053}]    <C:\Windows\fonts\gPwRF8Rwxb.fon>
[{E11FB24A-F766-4D0F-ADF5-237958FFA262}]    <C:\Windows\fonts\f13ERxR2Urh.fon>
[{FEACAF74-8D58-42F4-AB39-1CDA51437347}]    <C:\Windows\system32\etGBJk2YCXnM.dll>
[{737858A9-9AEA-4838-9B49-54DA731F7F37}]    <C:\Windows\system32\BMsg6pdMD4ht.dll>
[{3A5700C3-2847-4CBE-A3E5-F0C394690C9A}]    <C:\Windows\system32\wS0GWMZ.dll>
[{52F9C2B2-BEAC-4225-B4F7-5E2B3E74C80C}]    <C:\Windows\system32\lifpcibi.dll>
[WebCheck]    <C:\Windows\system32\webcheck.dll>
[52F9C2B2]    <C:\Windows\system32\lifpcibi.dll>
[IFEO[Thunder5.exe]]    <svchost.exe>

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Remote 2008 / Remote_Server_2008]    <C:\Program Files\Remote\Remote.exe>
[WbWin / WbWin]    <C:\Windows\System32\svchost.exe -k netsvcs-->%SystemRoot%\avtapit.dll>
[portablecess Remoter / Logssallogsvb]    <C:\Windows\system32\psosvor.exe>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[zx / zx]    <\??\C:\Users\ceo\AppData\Local\Temp\~1004323.tmp>
[zxk / fmztj]    <\SystemRoot\system32\drivers\zxkb.sysys>

**************以上分析报告由SREngLog分析助手提供******************
分析:chuanshao
时间:2009-4-9




3.下载windows清理助手清理恶意软件
http://www.arswp.com/download/arswp/arswp.rar  (升级后使用)

下载临时文件清理工具
http://www.dodudou.com/down/ATF-Cleaner-cn.exe
最后编辑chuanshao 最后编辑于 2009-04-09 08:46:58
gototop
 

回复:Rootkit.win32.mnless.asy病毒怎么去除,急!急!急!

这家伙的东西里面病毒好像不止一个,迅雷怎么也被胁持了。按楼上去做应该就没问题了。
gototop
 

回复 5F chuanshao 的帖子

还是没搞定,郁闷中.............
gototop
 

回复: Rootkit.win32.mnless.asy病毒怎么去除,急!急!急!

你的反间谍软件WINDOWS DEFENDER没开?
Rootkit.win32.mnless.asy已经下载木马群
费尔木马文件删除工具删除以下文件
内附操作说明图。(Vista SP1下可以运行)
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804

C:\Windows\system32\iexplorer.exe
SRENG工具删除以下
驱动程序
[zx / zx][Stopped/Disabled]
  <\??\C:\Users\ceo\AppData\Local\Temp\~1004323.tmp><N/A>
删除以下启动项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{C10D41C6-4D17-4808-87CE-40612862A1BB}><C:\Windows\system32\XR5nPhu9.dll>  [File is missing]
    <{028A997C-4262-4107-BD46-2ABBC6143E8C}><C:\Windows\system32\efc0c52cc1.dll>  [File is missing]
    <{D9C002DD-EA51-43A2-9009-54EAAAF031A4}><C:\Windows\system32\D9C002DD.dll>  [File is missing]
    <{B70A8AAD-F18A-465E-8240-184DD5845D2D}><C:\Windows\fonts\X7s7xgtP.fon>  [File is missing]
    <{0127FA15-17DA-4FA3-9675-49BB9CF57053}><C:\Windows\fonts\gPwRF8Rwxb.fon>  [File is missing]
    <{E11FB24A-F766-4D0F-ADF5-237958FFA262}><C:\Windows\fonts\f13ERxR2Urh.fon>  [File is missing]
    <{FEACAF74-8D58-42F4-AB39-1CDA51437347}><C:\Windows\system32\etGBJk2YCXnM.dll>  [File is missing]
    <{737858A9-9AEA-4838-9B49-54DA731F7F37}><C:\Windows\system32\BMsg6pdMD4ht.dll>  [File is missing]
    <{3A5700C3-2847-4CBE-A3E5-F0C394690C9A}><C:\Windows\system32\wS0GWMZ.dll>  [File is missing]
    <{52F9C2B2-BEAC-4225-B4F7-5E2B3E74C80C}><C:\Windows\system32\lifpcibi.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<52F9C2B2><C:\Windows\system32\lifpcibi.dll>  [File is missing]
检查这2个文件的版本


    C:\Windows\explorer.exe
    C:\Windows\system32\userinit.exe
最后编辑夲號ヱ被ジ盜 最后编辑于 2009-04-11 07:49:44
gototop
 

回复:Rootkit.win32.mnless.asy病毒怎么去除,急!急!急!

不会了,还是没清除掉。。。。。
gototop
 

回复 9F 病毒危机Ⅰ 的帖子

发新日志看看
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT