瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 木马Trojan.Rootkit.m感染系统的表现及手工查杀

12   2  /  2  页   跳转

木马Trojan.Rootkit.m感染系统的表现及手工查杀

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-15 19:18 | 显示全部 短消息 资料
字号: 11楼

【回复“hacken8888”的帖子】你光给我一个.sys文件没用。关键是要找到它的同伙——一个可执行文件.exe。这个文件的查找以及rootkit木马的查杀思路可参考我的帖子——Rootkit为什么难缠。地址:http://forum.ikaka.com/topic.asp?board=28&artid=6735962
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-17 16:41 | 显示全部 短消息 资料
字号: 12楼

引用:
【simply0的贴子】也中这个病毒了,这两天一开机就重启,而且这个病毒是早上开机时发作一次,到了下午三点左右又发作一次,受不了!
昨天杀的是hpr34k8.sys 今天怎么变成orans.sys,怎么杀都不掉,明明是删除了,它又来了,连续的删了大概30几次,终于不来了,估计明天开机它又会来!怎么办啊?我用的是瑞星,怎么就杀不死它呢? 
...........................

【原贴内容】四、查杀方法:

1、先在IceSword的“设置”中勾选“禁止进程创建”,按“确定后,才能结束sounddv.exe进程。

你中的毒,那个.exe不一定是sounddv.exe,但肯定应该有一个.exe文件要先处理掉。否则,你就别想删除那个orans.sys。怎么没找到那个.exe?请仔细阅读并参考:http://forum.ikaka.com/topic.asp?board=28&artid=6787830
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-08-17 16:51 | 显示全部 短消息 资料
字号: 13楼

引用:
【simply0的贴子】先在IceSword的“设置”中勾选“禁止进程创建”,按“确定后,才能结束sounddv.exe进程。

我不知道IceSword是这个什么,在哪里啊?
...........................

http://forum.ikaka.com/topic.asp?board=28&artid=6979213

这个“超级主题”3楼的附件就是IceSword。可惜的是——这个帖子就是没人仔细看!!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-09-13 17:56 | 显示全部 短消息 资料
字号: 14楼

【回复“mllm2”的帖子】
C:\WINDOWS\wordpad.exe——“鬼”在这里。
  Sysinternals是个什么东东?怎么注册那么多系统服务?晕!
——————————————————
下面两个启动加载项——我不认识。你知道是什么吗?
O4 - 启动项HKLM\\Run: [Provan Security] psecure.exe
O4 - 启动项HKLM\\RunServices: [Provan Security] psecure.exe
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-05 19:51 | 显示全部 短消息 资料
字号: 15楼

【回复“小米子1981”的帖子】
C:\WINNT\system32\nbupd64.exe
C:\WINNT\spoollv.exe
请将这两个文件用WINRAR打包,发到:baohelin@yahoo.com.cn.
帮你解决
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-05 19:54 | 显示全部 短消息 资料
字号: 16楼

【回复“goodao”的帖子】
1/修复O1
2/O4 - 启动项HKLM\\Run: [I^Raoyocnutkxchgf] C:\WINNT\system32\bwrvkytmxpegl.exe————不知道是什么
3/O23 - NT 服务: EloTouchscreen - Elo TouchSystems, Inc. - C:\WINNT\system32\DRIVERS\Touch.exe

O23 - NT 服务: scheduler (schedul3.exe) - Unknown owner - C:\WINNT\schedul3.exe
这两项怀疑是木马
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-05 20:02 | 显示全部 短消息 资料
字号: 17楼

【回复“谈笑风云会”的帖子】
C:\WINNT\System32\wins.exe

C:\WINNT\System32\dns.exe

C:\WINNT\System32\sfmsvc.exe

C:\WINNT\System32\WINDOW~1\Server\nspm.exe

C:\WINNT\System32\mdm.exe

C:\WINNT\atigraphics.exe

这都是什么乱七八糟的呀?如果你自己也不知道这是些什么东西,请将以上文件打包,发到:baohelin@yahoo.com.cn
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-02-16 15:45 | 显示全部 短消息 资料
字号: 18楼

【回复“weier1010”的帖子】
请启动到安全模式,显示隐藏文件,找到 C:\WINDOWS\Sc32Inch.exe,打包,发到:baohelin@yahoo.com.cn
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT