123   1  /  3  页   跳转

[求助] WIN2003中了大量的CMD。EXE病毒!

收藏
本主题由 版主 天月来了 于 2009-6-6 8:26:42 执行 合并主题 操作
muchenzhou
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2009-06-04
  • 来自:
发表于: 2009-06-04 16:40 | 只看楼主 短消息 资料
字号: 1楼

WIN2003中了大量的CMD。EXE病毒!

附件: SREngLOG.txt (2009-6-4 16:39:53, 35.04 K)
该附件被下载次数 212

WIN2003中了大量的CMD。EXE病毒!已经一个多星期了!最多的时候一个晚上生成50个
  各位帮我看看如何解决!谢谢

用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)
分享到:
gototop
 
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2009-06-04 16:47 | 短消息 资料
字号: 2楼

回复:WIN2003中了大量的CMD。EXE病毒!

1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”)或smtdel删除以下文件:(超级巡警剑盟下载 smtdel下载)
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\system32\axsvn.ref


2.删除重启后使用SREng修复下面各项:

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[axsvnfa / ias]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\axsvn.ref>
[PMS8TWJ6I / PMS8TWJ6I]    <C:\WINDOWS\V5NNUA32JS6.exe -NQI7X19E>
[PMS8TWJ6I / PMS8TWJ6I]    <C:\WINDOWS\V5NNUA32JS6.exe -NQI7X19E>
[EFXP6P1 / EFXP6P1]    <C:\WINDOWS\2TG6PPHDZ6.exe -UGTI1BK>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[SSDT HOOK / Hooking]    <>
[SSDT HOOK / Hooking]    <>

**************以上分析报告由SREngLog分析助手提供******************
分析:byxxdrls
时间:2009-6-4
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)
gototop
 
muchenzhou
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2009-06-04
  • 来自:
发表于: 2009-06-04 16:53 | 只看楼主 短消息 资料
字号: 3楼

回复: WIN2003中了大量的CMD。EXE病毒!



引用:
原帖由 byxxdrls 于 2009-6-4 16:47:00 发表
1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”)或smtdel删除以下文件:(超级巡警剑盟下载 [url=http://bbs.janmeng.c


大哥 这样就可以了嘛?
gototop
 
muchenzhou
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2009-06-04
  • 来自:
发表于: 2009-06-04 16:57 | 只看楼主 短消息 资料
字号: 4楼

回复: WIN2003中了大量的CMD。EXE病毒!



引用:
原帖由 byxxdrls 于 2009-6-4 16:47:00 发表
1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”)或smtdel删除以下文件:(超级巡警剑盟下载 [url=http://bbs.janmeng.c

大哥 他要我注册要邀请码啊
  我没这东东 注册不了就下载不到
gototop
 
whzl123
头像
卡卡反病毒小组
  • 帖子:176
  • 注册: 2007-01-26
  • 来自:
发表于: 2009-06-04 17:16 | 短消息 资料
字号: 5楼

回复:WIN2003中了大量的CMD。EXE病毒!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-06-04 17:36 | 短消息 资料
字号: 6楼

回复 1F muchenzhou 的帖子

C:\WINDOWS\2TG6PPHDZ6.exe

C:\WINDOWS\V5NNUA32JS6.exe

上述两个程序是病毒。
请将这两个文件打包,发到可疑文件交流区。
gototop
 
muchenzhou
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2009-06-04
  • 来自:
发表于: 2009-06-04 17:44 | 只看楼主 短消息 资料
字号: 7楼

回复: WIN2003中了大量的CMD。EXE病毒!



引用:
原帖由 byxxdrls 于 2009-6-4 16:47:00 发表
1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”)或smtdel删除以下文件:(超级巡警剑盟下载 [url=http://bbs.janmeng.c



大哥  你说  启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
    C:\WINDOWS\system32\axsvn.ref>  这项服务里没有啊
还有  启动项目 -- 服务-- 驱动程序之如下项禁用:
[SSDT HOOK / Hooking]    <>
[SSDT HOOK / Hooking]    <>
  这个也是没有的


还有!现在连任务管理器都无法打开了!连有哪些进程都不知道了
最后编辑muchenzhou 最后编辑于 2009-06-04 17:47:21
gototop
 
muchenzhou
头像
初生襁褓狮
  • 帖子:18
  • 注册: 2009-06-04
  • 来自:
发表于: 2009-06-04 18:07 | 只看楼主 短消息 资料
字号: 8楼

回复: WIN2003中了大量的CMD。EXE病毒!



引用:
原帖由 byxxdrls 于 2009-6-4 16:47:00 发表
1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”)或smtdel删除以下文件:(超级巡警剑盟下载 [url=http://bbs.janmeng.c


老大 按照你的方法全做了 15分钟左右又大量出现了啊!

    怎么办啊
gototop
 
夲號ヱ被ジ盜
头像
叱咤花甲狮
  • 帖子:7083
  • 注册: 2008-08-21
  • 来自:昆仑琼华派
论坛8周年活动礼物就爱不长大论坛9周年纪念冰激凌10温馨圣诞十周年国庆61周年十一周年勋章
发表于: 2009-06-04 18:12 | 短消息 资料
字号: 9楼

回复:WIN2003中了大量的CMD。EXE病毒!

你把出现的文件压缩发上来
并且提供新的SRENG日志
gototop
 
byxxdrls
头像
卡卡反病毒小组
  • 帖子:1029
  • 注册: 2008-06-19
  • 来自:
发表于: 2009-06-04 18:14 | 短消息 资料
字号: 10楼

回复:WIN2003中了大量的CMD。EXE病毒!

C:\WINDOWS\V5NNUA32JS6.exe
如果这样的文件存在的话,那有可能是中了感染型的病毒了。
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT