瑞星卡卡安全论坛
首页
»
技术交流区
»
反病毒/反流氓软件论坛
»
帮我看看,这个废物杀毒软件搞不定的东西!
dzf210 - 2008-8-18 13:11:00
风险: Infostealer.Gampass
文件: C:\WINDOWS\system32\winntbbu.dll
位置: C:\WINDOWS\system32
用的企业版诺顿,公司让装的。不能不用。
家里用瑞星
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
烟柳 - 2008-8-18 13:13:00
可以使用XDelBox删除以下文件:(XDelBox1.7下载
http://bbs.ikaka.com/showtopic-8446160.aspx
)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。
也可以使用冰刃删除。
aaccbbdd - 2008-8-18 13:16:00
1.扫日志前关闭无用进程,如QQ,迅雷及播放器程序
2.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
3.
为了最大程度减少对病毒的误判,最好同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断(隐藏安全项)-导出诊断报告-(全选)-导出报告
(4.
如都以上软件无法正常运行
尝试该版本SRENG
http://bbs.ikaka.com/showtopic-8517758.aspx
)
5.
日志/报告以附件上传,贴到反病毒区
dzf210 - 2008-8-18 13:18:00
你说的这个办法行不通,这个病毒很奇怪。
当我打开它所在的文件夹,想看它庐山真面目的时候,
我的鼠标刚点上一下,它就自动消失了。 再也找不到了。
下次开机还有。
所以你说的这个办法,必定不治本!
aaccbbdd - 2008-8-18 13:19:00
日志
大哥:default3:
dzf210 - 2008-8-18 13:22:00
看看日志吧。谢谢
附件:
SREngLOG.log
叶·幽思 - 2008-8-18 13:22:00
norton的相关报告呢?扫的时候有没有关闭所有窗口?病毒库升级到最新没?安全模式还是正常模式?。。。
aaccbbdd - 2008-8-18 13:29:00
看起来正常
dzf210 - 2008-8-18 13:30:00
正常模式,最新的病毒库。
诺顿报告不知道怎么搞,不过提示 风险:Infostealer.Gampass;操作:部分;计数:2;
状态:受感染, 清除 失败 隔离失败
aaccbbdd - 2008-8-18 13:38:00
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
试试
注意识别杀毒结果
误杀较多
dzf210 - 2008-8-18 13:38:00
再次运行杀毒软件。 病毒没了。
这样吧,我重启一次,然后扫描日志。不去system32 去“看望"它。
发完日志我再扫描病毒一次。
不知道为什么稍微去碰它,它就自动删除。
叶·幽思 - 2008-8-18 13:49:00
norton误报了吧?
我的中文系统和英文系统下都有这个文件
所以不要杀软一报就以为真的是文件有问题。。。
C盘是中文系统盘
112.JPG
(17.95 K)
2008-8-18 13:48:42
D盘是E文系统盘
113.JPG
(30.35 K)
2008-8-18 13:48:42
文件属性。。。
中文的
114.JPG
(28.24 K)
2008-8-18 14:01:40
E文的
115.JPG
(28.22 K)
2008-8-18 14:01:40
。。。
dzf210 - 2008-8-18 14:09:00
RTRTRTRT
附件:
SREngLOG.log
dzf210 - 2008-8-18 14:11:00
但是我的这个文件,为什么鼠标一点它,就消失?
:default1:
aaccbbdd - 2008-8-18 14:12:00
日志看不出
天月来了 - 2008-8-18 14:14:00
如果你的杀毒软件没被病毒删除
请去下载最新2.6版的SRENG工具扫描日志
还有你可能需要彻底关闭你的杀毒软件以及监控
才能去看那文件
否则你一点
杀毒软件就杀了它
等杀毒软件关闭不杀后
将那文件压缩发来看看
aaccbbdd - 2008-8-18 14:17:00
DLL点下能运行么?
监控能报?:default3:
dzf210 - 2008-8-18 14:22:00
有道理! 估计就是一点它,然后杀毒软件认为是病毒,实时监控起作用杀掉了。
就这样凑合用吧。 要是杀毒软件自己发觉被发现就自动删除用来保护母体文件,那么病毒就太强大了。
dzf210 - 2008-8-18 14:24:00
没有运行那个文件。
只是左键单击一下,就消失。
就这样吧。 凑合用。
叶·幽思 - 2008-8-18 14:27:00
引用:
原帖由
dzf210
于 2008-8-18 14:11:00 发表
但是我的这个文件,为什么鼠标一点它,就消失?
:default1:
不怎么用norton,你开着杀软监控,检测到norton认为危险的文件不删除吗?
还用得着等你反应吗?我不清楚norton报这个文件为什么性质,建议到它们论坛去问下。。。
你运行“eventvwr.msc”--系统--来源那一列双击有没有显示“试图在被保护的系统文件 C:\WINDOWS\system32\winntbbu.dll上进行文件替换。 为了维护系统稳定,这个文件被还原成原始版本。 系统文件的文件版本是 5.1.2600.2180。”字样?
@天月:想问题灵活点。。。不要动不动就扫日志,,,靠天不如靠自己,,,你系统里没这个文件?验证下MD5值倒是可以。。。
天月来了 - 2008-8-18 14:37:00
我不是已经要楼主提供实际文件了么???
你以为我要什么呢??
扫日志不是你想的动不动就扫
左右无事,扫一下怎么了?
你才绝呢
光顾说验证MD5了
有多少求助的知道实际原系统文件的那个MD5是什么???
我系统里有呀
难道系统里有的文件,就不可能是病毒吗?
那么替换系统文件的病毒,替换的是什么?
叶·幽思 - 2008-8-18 14:44:00
引用:
原帖由
天月来了
于 2008-8-18 14:37:00 发表
我不是已经要楼主提供实际文件了么???
你以为我要什么呢??
扫日志不是你想的动不动就扫
左右无事,扫一下怎么了?
你才绝呢
光顾说验证MD5了
……
嗯~!都快2年没玩毒了,,,确实忘了,忘了系统文件被替换的可能,这几天来卡卡动不动就看见扫日志,一堆堆的,跟我当年在剑盟遇到的情形一样,后来还专门在群里讨论要不要动不动就发log。我说验证MD5当然是我们验证了。。。谁说让求助者验证?
P.S.生气咯?:default5:
天云一剑 - 2008-8-18 14:47:00
诺顿的厉害不是在防毒
而是厉害在中毒之后
1
查看完整版本:
帮我看看,这个废物杀毒软件搞不定的东西!
© 2000 - 2026 Rising Corp. Ltd.
