瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 求助,怎样去不掉的流氓软件-盗号木马病毒

12   1  /  2  页   跳转

求助,怎样去不掉的流氓软件-盗号木马病毒

收藏
本主题由 在线技术支持工程师 瑞星工程师19 于 2009-8-28 8:42:06 执行 移动主题 操作
创意斋
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2009-08-28
  • 来自:
发表于: 2009-08-28 08:14 | 只看楼主 短消息 资料
字号: 1楼

求助,怎样去不掉的流氓软件-盗号木马病毒

我的电脑装了正版瑞星杀毒软件和卡卡,电脑每次重起后,我去卡卡那扫描流氓软件,
都会有盗号木马病毒,
当前状态存在,
表现行为:盗取游戏帐号密码,
HKEY_CLASSES_ROOT\TACONLYONE(存在)

怎么清除都清除不了,当时清了,重起或重开机又有了,这个现象怎么删啊?那位高手帮帮忙?

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler 4.0; Alexa Toolbar; .NET CLR 1.1.4322)
分享到:
gototop
 
lrxyhrm
头像
叱咤花甲狮
  • 帖子:3782
  • 注册: 2008-08-14
  • 来自:吉利
论坛8周年活动礼物
发表于: 2009-08-28 08:38 | 短消息 资料
字号: 2楼

回复:求助,怎样去不掉的流氓软件-盗号木马病毒

扫SRENG日志发这论坛来

下载最新版本的SRENG工具:http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包,必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的:智能扫描=》扫描=》保存报告
4 把报告保存后,将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
最后编辑lrxyhrm 最后编辑于 2009-08-28 08:41:14
gototop
 
创意斋
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2009-08-28
  • 来自:
发表于: 2009-08-28 18:00 | 只看楼主 短消息 资料
字号: 3楼

回复: 求助,怎样去不掉的流氓软件-盗号木马病毒



引用:
原帖由 lrxyhrm 于 2009-8-28 8:38:00 发表
扫SRENG日志发这论坛来

下载最新版本的SRENG工具:http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼:[url=http://bbs.ikaka.com/showtopic-8442813.aspx]http://bb



我已扫描在附件里,请帮忙分析一下,谢谢

附件附件:

文件名:SREngLOG.log
下载次数:179
文件类型:application/octet-stream
文件大小:
上传时间:2009-8-28 18:00:09
描述:log
gototop
 
夲號ヱ被ジ盜
头像
叱咤花甲狮
  • 帖子:7083
  • 注册: 2008-08-21
  • 来自:昆仑琼华派
论坛8周年活动礼物就爱不长大论坛9周年纪念冰激凌10温馨圣诞十周年国庆61周年十一周年勋章
发表于: 2009-08-28 18:49 | 短消息 资料
字号: 4楼

回复: 求助,怎样去不掉的流氓软件-盗号木马病毒

C:\WINDOWS\system32\msvdm.dll

我的电脑点右键-资源管理器
按路径找到能删掉就删除
不能删除的话重命名【乱打就行】
试试能不能删除
不能删的话任务管理器结束EXPLORER.EXE
删除后再文件-新建(运行)EXPLORER.EXE
路径在C:\Windows\EXPLORER.EXE


删掉还生成的话
费尔木马文件删除工具
附件: 费 尔.rar

隐藏进程
C:\WINDOWS\system32\wuauclt.exe
这个找到后压缩发上来
需要确定以下



加:
C:\WINDOWS\system32\WINWB86.IME
这个注入QQ进程
这个也需要压缩发上来确定
最后编辑夲號ヱ被ジ盜 最后编辑于 2009-08-28 18:56:49
gototop
 
创意斋
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2009-08-28
  • 来自:
发表于: 2009-08-29 08:59 | 只看楼主 短消息 资料
字号: 5楼

回复: 求助,怎样去不掉的流氓软件-盗号木马病毒



引用:
原帖由 夲號ヱ被ジ盜 于 2009-8-28 18:49:00 发表
C:\WINDOWS\system32\msvdm.dll

我的电脑点右键-资源管理器
按路径找到能删掉就删除
不能删除的话重命名【乱打就行】
试试能不能删除
不能删的话任务管理器结束EXPLORER.EXE
删除后再文件-新建(运行)EXPLORER.EXE
路径在C:\Windows\EXPLORER.EXE


删掉还生成的话
费尔木马




msvdm.dll 这个只能用费尔木马删除,已删除,重起后没这个文件了,但卡卡还是提示有那个木马。

附件附件:

下载次数:186
文件类型:application/octet-stream
文件大小:
上传时间:2009-8-29 8:59:02
描述:rar
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-08-29 09:31 | 短消息 资料
字号: 6楼

回复:求助,怎样去不掉的流氓软件-盗号木马病毒

卡卡提示的时候,鼠标移过去,看提示的详细文件名和路径

没有详细的信息,只是那个提示,没法知道是什么
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
创意斋
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2009-08-28
  • 来自:
发表于: 2009-08-29 14:34 | 只看楼主 短消息 资料
字号: 7楼

回复: 求助,怎样去不掉的流氓软件-盗号木马病毒



引用:
原帖由 天月来了 于 2009-8-29 9:31:00 发表
卡卡提示的时候,鼠标移过去,看提示的详细文件名和路径

没有详细的信息,只是那个提示,没法知道是什么





打开卡卡,进行扫描流氓软件,瑞星主动防卸立即提示:

应用程序信息
文件名C:\PROGRAM FILES\RISING\ANTISPYWARE\RAS.EXE
版本:6.00
厂商:Beijing Rising Information Technology Co., Ltd.
PID: 2756
修改 HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELLEXECUTEHOOKS\
规则信息:
本地电脑系统壳程序执行钩子(ShellExecuteHooks)
      Explorer.exe 运行时,会自动加载该键下所有的 CLSID 对应的组件。恶意程序可以利用此键达到自动运行的目的。
对应注册表项:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
什么意思?
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-08-29 15:16 | 短消息 资料
字号: 8楼

回复:求助,怎样去不掉的流氓软件-盗号木马病毒

那你难道还不允许瑞星软件做同样的修改行为吗??

现在的病毒和正常软件的行为都一样了

那提示一看就知道是瑞星自己要做事,那就同意呗
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
创意斋
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2009-08-28
  • 来自:
发表于: 2009-08-31 08:39 | 只看楼主 短消息 资料
字号: 9楼

回复: 求助,怎样去不掉的流氓软件-盗号木马病毒

卡卡也够牛的了,只提示有盗号木马,却没有具体提示路径和文件名,瑞星也杀不了,那就干脆点,没法杀的就别提示了,让它隐藏着,心里还好受一点。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-08-31 10:13 | 短消息 资料
字号: 10楼

回复:求助,怎样去不掉的流氓软件-盗号木马病毒

修复文件关联

并用冰刃查看此进程,它为什么是隐藏的呢??
==================================
隐藏进程
    [1924] C:\WINDOWS\system32\wuauclt.exe

至于卡卡助手,报的可能只是个注册表项目而已

至于为什么清除不了,我也不知道,你试试安全模式下清理怎样。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT