帮帮忙啊【求助】 bbs.ikaka.com

老菜拉 - 2005-7-16 20:58:00

版主帮帮忙，我的系统被修改了
以下是修改的内容：
修改 C:\Documents and Settings\Bluewater\ntuser.dat.LOG
修改 C:\Documents and Settings\Bluewater\ntuser.dat.LOG?l
修改 C:\Documents and Settings\Bluewater\ntuser.dat.LOG?d
修改 C:\Documents and Settings\Bluewater\NTUSER.DAT?T
修改 C:\WINDOWS\System32\CONFIG\SOFTWARE.LOGT
修改 C:\WINDOWS\System32\CONFIG\SOFTWARE.LOGT
修改 C:\WINDOWS\System32\CONFIG\SOFTWARE.LOGP
修改 C:\WINDOWS\System32\CONFIG\SYSTEM.LOGP
修改 C:\WINDOWS\System32\CONFIG\SYSTEM.LOG
修改 C:\WINDOWS\System32\CONFIG\SYSTEM.LOG
修改 C:\Documents and Settings\Bluewater\ntuser.dat.LOG
修改 C:\Documents and Settings\Bluewater\ntuser.dat.LOG
修改 C:\Documents and Settings\Bluewater\ntuser.dat.LOG
修改 C:\WINDOWS\System32\CONFIG\SOFTWARE.LOGT
修改 C:\WINDOWS\System32\CONFIG\SOFTWARE.LOG
修改 C:\WINDOWS\System32\CONFIG\SOFTWARE.LOG
修改 C:\Documents and Settings\Bluewater\ntuser.dat.LOG
修改 C:\Documents and Settings\Bluewater\ntuser.dat.LOG
修改 C:\Documents and Settings\Bluewater\ntuser.dat.LOG
修改 C:\WINDOWS\System32\CONFIG\SOFTWARE.LOGT
修改 C:\WINDOWS\System32\CONFIG\SOFTWARE.LOG
修改 C:\WINDOWS\System32\CONFIG\SOFTWARE.LOG
然后就出现以下错误：
services

我没有办法上传那个软件啊

老菜拉 - 2005-7-16 21:02:00

这是那个软件了

附件: 3973182005716210200.rar

9527* - 2005-7-16 21:07:00

AVP不报。不过看样子，这个软件加了好多LOG文件，系统有什么异常吗？

老菜拉 - 2005-7-16 21:11:00

有啊，就是多了个services.ese进程还有老是报services+大红X（应该是错误吧）

9527* - 2005-7-16 21:14:00

services.exe?
是系统进程，是提供系统服务的一个进程。因为出现了太多的日志文件，所以感觉像是木马。

老菜拉 - 2005-7-16 21:24:00

哦谢谢啊他说是个Win32.Kullan 蠕虫病毒我已经在你们那里下传杀了，非常感激你的帮忙，谢谢。

9527* - 2005-7-16 21:26:00

客气。

老菜拉 - 2005-7-16 21:40:00

不好意思啊，我又来了，services.ese这个程序是被替换了的那个，原来的WD XP的那个已经不在了，请问我删除了这个services.ese程序，WD XP会自动生成个正常的吗？（我的注册表没有被改）

9527* - 2005-7-16 21:44:00

不会。如果这个程序文件的路径已经改变，那么说明这个是病毒程序文件

老菜拉 - 2005-7-16 21:51:00

那要怎么恢复这个程序呢？可以到被的机器下载吗？如果可以，你发个给我吧。，谢谢。

baohe - 2005-7-16 22:20:00

【回复“老菜拉”的帖子】
这个木马每次感染系统生成的木马文件名都不同。第一次感染系统在C:\windows\system\下创建services.exe。第二次感染系统木马文件名变成了csmss.exe。
查杀方法：

一、结束那个指向C:\windows\system\services.exe的进程services.exe。
二、删除C:\windows\system\services.exe
三、删除注册表中的启动加载项：

定位到：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除："internet"="\"C:\\windows\\system\\services.exe\""
四、注册表篡改还涉及防火墙的防护规则（我的TPF被加入了两个注册表键值）。你用什么防火墙，可以自己看看。我是这样改的：
定位到：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

删除："C:\\WINDOWS\\system\\services.exe"="C:\\WINDOWS\\system\\services.exe:*:Enabled:POCO"
定位到：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

删除："C:\\WINDOWS\\system\\services.exe"="C:\\WINDOWS\\system\\services.exe:*:Enabled:POCO"

四、其它注册表项的改变是TXT文件关联等。请用注册表修复工具修复注册表。

瑞星卡卡安全论坛