12   1  /  2  页   跳转

[求助] 5位数字映像劫持病毒?

收藏
本主题由 版主 天月来了 于 2009-9-18 7:12:23 执行 合并主题 操作
k88net
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2009-09-16
  • 来自:
发表于: 2009-09-17 09:43 | 只看楼主 短消息 资料
字号: 1楼

5位数字映像劫持病毒?

1、附件是我RENG扫描日志。
2、此毒会不会破坏我硬盘所有的EXE文件?
3、如何彻底清除?

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

文件名:SREngLOG.log
下载次数:169
文件类型:application/octet-stream
文件大小:
上传时间:2009-9-17 9:43:28
描述:log
分享到:
gototop
 
帅哥阿福
头像
雄霸杖朝狮
  • 帖子:21071
  • 注册: 2006-03-29
  • 来自:米兰
论坛8周年活动礼物祖国六十华诞09欢乐圣诞
发表于: 2009-09-17 10:14 | 短消息 资料
字号: 2楼

回复:5位数字映像劫持病毒?

C:\WINDOWS\system32\COMRes.dll被修改,建议从其他同版本操作系统中复制此文件,将其覆盖到本机。
下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
C:\WINDOWS\system32\drivers\Knlrun.sys
C:\WINDOWS\system32\COMRes.dll
[C:\WINDOWS\Tasks\K6xzVUK4MRGJBPE76F.inf]  [N/A, ]
    [C:\WINDOWS\system32\SrNRKs5F7Rkv9hp.inf]  [N/A, ]
    [C:\WINDOWS\Tasks\ybmux4Mu6FUnQJEHWu.inf]  [N/A, ]
    [C:\WINDOWS\system32\3a5XTcKYzK7KZcrfRE.inf]  [N/A, ]
  [C:\WINDOWS\Downloaded Program Files\WUstNjhyfQfpv8PQbC.cur]  [N/A, ]
    [C:\WINDOWS\Tasks\CgbYR44s5jCmgAd6ar.inf]  [N/A, ]
    [C:\WINDOWS\system32\2exJW3dsaTgWrf5uAPadmHN.dll]  [N/A, ]
    [C:\WINDOWS\Downloaded Program Files\6YYnDBbzHzrrmenHmv.cur]  [N/A, ]
    [C:\WINDOWS\system32\122B901E.dll]  [N/A, ]
    [C:\WINDOWS\system32\SCEVFJRCmaB7.dll]  [N/A, ]
    [C:\WINDOWS\Tasks\K6xzVUK4MRGJBPE76F.inf]

上传病毒样本到可疑文件交流区,地址为:http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心【病毒样本】地址为:http://mailcenter.rising.com.cn/uploadnew.aspx
╭∩╮(︶︿︶)╭∩╮
gototop
 
k88net
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2009-09-16
  • 来自:
发表于: 2009-09-17 10:26 | 只看楼主 短消息 资料
字号: 3楼

回复:5位数字映像劫持病毒?

那些贴我都看了,并且下载了那工具包,木马群工具包的工具不管用,删除了还有,卸载进程了还出现,请2楼高手帮帮我如何清理,难道没人遇到过吗?
瑞星无效,自动退出。
还有,我整盘的EXE是不是都作废了????


上传样本估计我做不了了,太多了。。。。。不知道找哪个好。电脑速度很慢,上网慢,打开窗口等很久。
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-09-17 10:30 | 短消息 资料
字号: 4楼

回复: 5位数字映像劫持病毒?

下载附件解压后,运行logaction,点击开始处理,处理完毕后根据提示重启电脑。

使用windows清理助手:http://download.arswp.com/arswp3/x86/arswp3_x86.exe清理

附件附件:

文件名:LogAction.rar
下载次数:197
文件类型:application/octet-stream
文件大小:
上传时间:2009-9-17 10:29:50
描述:rar
gototop
 
k88net
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2009-09-16
  • 来自:
发表于: 2009-09-17 10:32 | 只看楼主 短消息 资料
字号: 5楼

回复:5位数字映像劫持病毒?

可能我描述的不够详细,我再说说:
1、进程不断出现23451.exe 类似的病毒,五位数字,随机出现。用工具包的工具看过了,地址的都是再TEMP文件夹内。
2、调用的DLL, INF文件,都是再SYSTEM32下和Tasks\ 下。
3、我安装的有杀毒软件和shadow defender 影子防护,但是似乎都被穿透了。
4、拔掉网线,什么事情都没有,插上就出现数字进程。
5、通过工具包的工具查看一下运行的其它进程,里面都加载了异常的DLL和INF文件了。‘
6、盘内盘下没有UPS.DLL之类的文件,也没有AUTORUN.INF之类的隐藏文件,一切看上去都很正常。只是系统文件夹内多了很多异常文件DLL,INF。
最后编辑k88net 最后编辑于 2009-09-17 10:35:13
gototop
 
k88net
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2009-09-16
  • 来自:
发表于: 2009-09-17 10:33 | 只看楼主 短消息 资料
字号: 6楼

回复:5位数字映像劫持病毒?

谢谢斑竹,等下班了我试试,再给你们汇报结果!
gototop
 
k88net
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2009-09-16
  • 来自:
发表于: 2009-09-17 10:46 | 只看楼主 短消息 资料
字号: 7楼

回复:5位数字映像劫持病毒?

文件名:LogAction.rar
下载次数:1
文件类型:application/octet-stream
文件大小: 192.09 K
上传时间:2009-9-17 10:29:50
描述:rar


版主,你这个文件有问题!
我刚才XP下运行就重启!连续两次都这样,正常无毒的也重启
电脑忽然就重启了。这文件是不是有病毒?
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2009-09-17 10:52 | 短消息 资料
字号: 8楼

回复 7F k88net 的帖子

解压后,运行logaction,点击开始处理, 处理完毕后会有提示是否重启,点击是会立即重启电脑的。
gototop
 
k88net
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2009-09-16
  • 来自:
发表于: 2009-09-17 10:58 | 只看楼主 短消息 资料
字号: 9楼

回复:5位数字映像劫持病毒?

没有,根本没界面,点击后马上黑屏,重启。
gototop
 
k88net
头像
初生襁褓狮
  • 帖子:13
  • 注册: 2009-09-16
  • 来自:
发表于: 2009-09-17 10:59 | 只看楼主 短消息 资料
字号: 10楼

回复: 5位数字映像劫持病毒?



引用:
原帖由 networkedition 于 2009-9-17 10:52:00 发表
解压后,运行logaction,点击开始处理, 处理完毕后会有提示是否重启,点击是会立即重启电脑的。


点击根本没有出现任何界面,马上就黑屏了。然后电脑“滴。。。”重启声音了。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT