瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】请baohe版主进来下帮杀一个奇怪的木马

1   1  /  1  页   跳转

【求助】请baohe版主进来下帮杀一个奇怪的木马

收藏
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-26 10:24 | 显示全部 短消息 资料
字号: 1楼

【求助】请baohe版主进来下帮杀一个奇怪的木马

今天看了看一个同学家的机子,据他说是开机十分缓慢。于是利用QQ的远程协助,登录到他的电脑,扫描HijackThis时只发现3721和其它的恶意软件.但是扫Autoruns时发现了一个异常驱动项
"1445453"="%system%\drivers\1445453.sys"和
一个启动项:file not found C:\Docume~1\Admin\locals~1\temp\ie.exe
通过瑞星的日志可以看到,这个名为trojan.DL.ADLOAD.ei正是这个ie.exe
修复了这个病毒启动项以后.目光锁定在这个sys文件上.
为了先解决问题.我下载了这个1445453.sys,并在同学的电脑上删除了这个SYS文件.
最后编辑2006-07-26 13:10:26
分享到:
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-26 10:25 | 显示全部 短消息 资料
字号: 2楼

可是:

附件附件:

下载次数:218
文件类型:image/pjpeg
文件大小:
上传时间:2006-7-26 10:25:59
描述:
预览信息:EXIF信息
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-26 10:26 | 显示全部 短消息 资料
字号: 3楼

我们都知道可执行的文件的开头都是MZ,这个一看就不像SYS文件.倒是像个EXE
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-26 10:32 | 显示全部 短消息 资料
字号: 4楼

gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-26 10:38 | 显示全部 短消息 资料
字号: 5楼

上面有一句英文:This file can not run in DOS mode.
这个文件不能在DOS下运行??什么意思
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-26 10:54 | 显示全部 短消息 资料
字号: 6楼

引用:
【mopery的贴子】没兴趣...上次送我一堆流氓软件汗....

闪电有彩信助手不...现在需要..
...........................

我没有单个的,只有一群啊.
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-26 10:55 | 显示全部 短消息 资料
字号: 7楼

我保证,这个.sys不是恶意软件.至于是不是木马,还是自己看看吧
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-26 10:55 | 显示全部 短消息 资料
字号: 8楼

群里已经上传
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-07-26 13:18 | 显示全部 短消息 资料
字号: 9楼

顶下
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT