瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 我的病毒据说很深,请高手来看看

1   1  /  1  页   跳转

[求助] 我的病毒据说很深,请高手来看看

我的病毒据说很深,请高手来看看

首先是输入法的问题。目前只剩下微软拼音输入法,还不完全好用。在word、记事本中好用,在excel中不能使用。在ie地址栏、搜索栏可用,页面对话框有的可用,有的不可用。
其次是任务管理器、注册表等包括注册表管理工具中的大部分程序都没有运行效果,只是图标一闪,就没有了结果,CRTL+ALT+DEL和注册表运行regedit,根本如石沉大海,一点反映也没有。
第三是杀毒软件。单位同意使用的Symantec AntiVirus (10.0.1.1000版本)好像无法升级,显示版本一直为2008-07-05,以前还发现自动防护被禁用。不过杀毒软件有自动恢复“自动防护”的选项,也不知道好不好用。这一阵电脑没有防火墙,原来用天网的,现在也装不上了,说是没有管理权限。在安全模式用administrator用户也不行。
第四,曾经在C:\windows\system32下发现若干疑似病毒文件,删除后没有再发现。扫描也未发现病毒。
[用户系统信息]Mozilla/4.0 (IE/7.0;Windows XP)
                                                           
删除的问题文件:wuauclt.exe;conmine.exe;wwuroo.exe;daywwt.exe;update.exe确认的问题文件名由abc、opqr、xyz中的字母随即组成,最少6个字母,最多见到9个字母,后缀为.exe。最开始发生问题的时候也是系统提示这些文件出错,一会一个。举例如下:abopxy.exe;pxyzqa.exe;opxyzq.exe;cxyqra.exeopxyzqa.exe这些文件大小为4k或其倍数,但没有太大的文件。最大的好像24k。用该软件检查提示入口点错误:CreateServiceA详细:被下面模块所HOOK位置模块。目的地址是:0x00134EAC修复后启动还是同样的提示。曾经出过一大堆的入口点错误。无法上传附件。启动项目提示:警告!注册表值 AppInit_DLLs被修改为非正常值(默认值是空)。请检查你的系统中可能存在的计算机病毒。

解决回答:
使用System Repair Engineer扫描日志,将日志作为附件上传上来。下载页面:http://www.kztechs.com/sreng/download.html操作方法:1、下载后解压缩,运行SREngPS.EXE;2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;4、选择保存路径,文件名保持默认,直接点击【保存】;5、打开保存的日志文件SREngLOG.log,完整复制全部内容,新建一个文本文档,将日志中的全部内容粘贴到“新建文本文档.txt”中;6、将“新建文本文档.txt”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

具体解决的方法见附件aaa.txt,SREngPS.EXE报告见report.log

处理结果:
在方法处理中,
第一步完成了,不过报告说有些文件没找到。
第二步第一项删除做完了,可是第二项修改不能执行(现内容为kmon.dll,似乎是卡卡或者瑞星的程序):
把<C:\WINDOWS\system32\cscript.dll,kmon.dll>修改为<>即清空
这下又麻爪了,不知该怎么处理好。后面禁用服务也没敢进行,另外第三项后面那些看不懂,不知道应该怎么操作:
[IFEO[KPFW32X.exe]]    <ntsd -d>
[IFEO[KPfwSvc.exe]]    <ntsd -d>

第二步没完成,第三步就没敢执行:
启动项目 -- 服务-- 驱动程序之如下项禁用:
……

昨天装的瑞星杀毒,今天重起电脑就被禁用了。执行完第一步,瑞星的小绿伞又亮了,可是赛门铁客还是被禁用了。

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.1) Gecko/2008070208 Firefox/3.0.1

附件附件:

文件名:aaa.txt
下载次数:172
文件类型:text/plain
文件大小:
上传时间:2008-8-11 13:33:11
描述:txt

附件附件:

文件名:report.log
下载次数:107
文件类型:application/octet-stream
文件大小:
上传时间:2008-8-11 13:33:11
描述:log

分享到:
gototop
 

回复:我的病毒据说很深,请高手来看看

2楼的执行了,是一个自动执行的,我是不是就可以去禁用服务去了?
3楼的机器狗没找到问题(先运行3楼的程序)
gototop
 

回复: 我的病毒据说很深,请高手来看看

不好意思
下午的时候执行过一个“修复应用程序劫持项.bat”程序,生成两个注册表文件:defeo.reg和RunOnce.reg。不知道怎么用,是不是这个程序已经将劫持项恢复了?不过在执行二楼的程序时,瑞星报告说修改了注册表。
gototop
 

回复: 我的病毒据说很深,请高手来看看

诺顿已经好用了,病毒库已经升级上来了。今天重起动,找到了下面几个病毒。
Drondog,
Infostealer.Gampass,
Downloader,
Torjan.Farfli;
Torjan.Ushedix1.inf;
Backdoor.Graybird;
Backdoor.Trojan,
Downloader.Swif.C
另外有些文件错误,运行chkdsk.exe修复,重启动修复的。
在用SREngLdr.EXE扫描的时候有这样的提示:

SYMANTEC 防篡改警报

目标:  C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
事件信息:  打开 进程
采取的操作:  已禁止
操作过程:  C:\Documents and Settings\Ycb\桌面\sreng2\SREe0ad82be.EXE (PID 2140)
时间:  2008年8月12日  12:47:53

附件为扫描报告。
问题1:是否需要关闭诺顿扫描?
问题2:输入法还不灵光,应该怎样处理?

附件附件:

文件名:SREngLOG1.log
下载次数:137
文件类型:application/octet-stream
文件大小:
上传时间:2008-8-12 12:46:12
描述:log

gototop
 

回复:我的病毒据说很深,请高手来看看

另外:
瑞星我昨天下午已经卸载了,任务管理起、注册表都回来了。
gototop
 

回复:我的病毒据说很深,请高手来看看

谢谢,去试试先
gototop
 

回复:我的病毒据说很深,请高手来看看

晕……
找不到删除程序,控制面板的删除程序里面一片空白,诺顿文件夹里也没有。瑞星前天已经删掉了。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT