le2007 - 2008-6-26 4:25:00
访问不知名网站时中了木马,全盘查杀之后,木马都被清除了。可是,重启电脑后在C:\WINDOWS里有一个4个英文字母的exe文件,要求连接local 1103=> 127.0.0.1:1025。拒绝之后,关闭系统进程,然后删除该文件。重启电脑之后,在C:\WINDOWS里又生成了一个和刚才不同名字的exe文件,依然要求连接。重复操作还是没法解决,每次开机之后都会生成一个新的exe文件在C:\WINDOWS里。有人知道如何解决该问题么?
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
le2007 - 2008-6-26 8:30:00
有朋友能帮助指点一下,这是怎么个情况,该怎么解决呢?谢谢
天月来了 - 2008-6-26 8:33:00
扫SRENG日志发这论坛来
下载新SRENG2.6版工具:
http://bbs.ikaka.com/attachment.aspx?attachmentid=405754(点右键菜单“目标另存为”下载)
1 下载的是压缩包,必须解压缩(建议直接解压到系统Windows文件夹里)
2 运行SREng***.EXE
3 选择主界面左边的:智能扫描=》扫描=》保存报告(必须保存)
然后直接将日志文件以附件的形式发这论坛来。
点击:我回的贴的右下角的“引用”,然后就应该知道怎么以附件发了。
(注意:SRENG工具的“入口点错误”提示和那个关于<AppInit_DLLs>项的<ieprot.dll>提示都只是常规提示,可以不管它,请不要为这问题反复询问。)
SRENG工具的一些操作,看这贴:
http://bbs.ikaka.com/showtopic-8442813.aspx还有这补丁打了么?
http://bbs.ikaka.com/showtopic-8509685.aspx
le2007 - 2008-6-26 10:09:00
小日来了 - 2008-6-26 10:35:00
找到F盘里的文件
Install.exe
压缩发送到:可疑文件区
le2007 - 2008-6-26 19:46:00
原帖由 小日来了 于 2008-6-26 10:35:00 发表
找到f盘里的文件
install.exe
压缩发送到:可疑文件区
f盘的install.exe是一个网游的安装程序。刚才我发现,我打开瑞星的时候好像才会出现那个莫名程序要求打开1025端口,但我运行sre扫描日志的时候sre也要求打开1025端口.我把flash的补丁都装了,又下了木马群的专杀但是问题没解决。我又扫了一遍日志,我把那个生成的exe文件发给你们,请帮忙分析一下,感谢。
附件:
le2007SRE.log 附件:
srsi.rar 附件:
install.rar
le2007 - 2008-6-27 1:01:00
而且那个exe文件,瑞星没有报毒,但是qq医生检测为木马...:default8:
le2007 - 2008-6-27 6:27:00
我又发现了,开exe文件好像是每次网络成功连接之后,才会重新生成一个。因为我在重启路由器,而没有重启电脑的情况下,生成了一个新的文件
le2007 - 2008-6-27 10:47:00
版主在么,我上穿了生成的文件和日志,还有你要求的一个文件,帮我看看
流星陨落 - 2008-6-27 11:21:00
c:\windows\srsi.exe
c:\windows\system32\jfdses.dll
c:\windows\system32\tdggrz.dll
mmhadpqg1097.dll
还有这些,也粉碎了
流星陨落 - 2008-6-27 11:28:00
srsi.rar——瑞星已能杀
© 2000 - 2024 Rising Corp. Ltd.