瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 我电脑里的木马很强,请高手帮忙!(附日志)
唯美JK - 2008-8-31 19:51:00
今天电脑不知怎么的,有病毒。每次重启瑞星都会弹出有病毒:C:\WINDOWS\system32\drivers\HBKernel.sys,但无论我删除或者清除它都不行,用卡卡扫出流氓软件2个盗号木马,但也是删除不掉。现附上日志,请高手帮帮忙,感谢!

附件: SREngLOG0831.log (2008-8-31 20:42:23, 65.63 K)
该附件被下载次数 127

玩家国度 - 2008-8-31 20:24:00
LZ的日志不全,请把完整的日志作为附件上传:default9:
mini8mimi - 2008-8-31 20:44:00
可疑驱动
[XDva079 / XDva079][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\XDva079.sys><N/A>
[XDva089 / XDva089][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\XDva089.sys><N/A>
[XDva090 / XDva090][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\XDva090.sys><N/A>
[xFileMgr / xFileMgr][Stopped/System Start]
  <\??\C:\WINDOWS\system32\Drivers\xFileMgr.sys><N/A>

另外,系统文件被映像劫持,建议下载清理工具
具体方法建议参看http://hi.baidu.com/litiejun/blog/item/60e6a10aa654763fb1351d91.html
唯美JK - 2008-8-31 20:46:00
:default8: 我是菜鸟,可以告诉我怎样删除或者下载什么工具删除病毒吗?
fairsentence - 2008-8-31 22:09:00
建议楼主先下载windows清理助手清理系统,并使用附件中的解压的工具修复印象劫持(注册表文件,双击导入即可)
如果你的电脑装过卡巴威尔,那么xFileMgr.sys是卡巴威尔的驱动文件,即正常文件。

卡巴威尔是由终截者实验室出品的流氓软件查杀工具
2)如果你的电脑没有装过卡巴威尔,那么你要提高警惕了。之前有个病毒释放的文件和这个文件是同名的!你可以到多引擎扫描网站http://virscan.org/提交这个文件然后扫描,看一下结果。 同时,观察一下这个文件的行为,如果是乱插进程,那么基本上可以判定是染毒文件了。
1.建议使用XDelBox删除以下文件
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\system32\xdva090.sys
c:\windows\system32\xdva089.sys
c:\windows\system32\xdva079.sys
c:\docume~1\admini~1\locals~1\temp\rar$ex11.391\mpren\multi password recovery\mpr_freader.sys
c:\windows\system32\drivers\hbkernel.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[XDva090 / XDva090]    <\??\C:\WINDOWS\system32\XDva090.sys>
[XDva089 / XDva089]    <\??\C:\WINDOWS\system32\XDva089.sys>
[XDva079 / XDva079]    <\??\C:\WINDOWS\system32\XDva079.sys>
[MPR FileReader Driver / mpr_freader]    <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX11.391\MPRen\Multi Password Recovery\mpr_freader.sys>
[HBKernel Driver / HBKernel]    <\SystemRoot\system32\DRIVERS\HBKernel.sys>

http://bbs.ikaka.com/showtopic-8442813.aspx这里有xdelbox的使用方法。xdelbox不能使用的话,34楼有超级巡警。。(超级巡警的待删除文件路径复制后,ctrl+v导入)

附件: IFEO.rar
fairsentence - 2008-8-31 22:14:00
按楼上操作后再扫描新日志上传
shideleiwfe - 2008-8-31 22:21:00
logonui-3.1.exe
唯美JK - 2008-8-31 23:02:00
已按以上几位高手的操作,最新扫描日志如下,请高手再看看,感谢!

附件: SREngLOG0831b.log (2008-8-31 23:02:19, 65.89 K)
该附件被下载次数 126

rainyblue - 2008-8-31 23:08:00
使用Xdelbox删除
C:\WINDOWS\system32\explore.exe
使用Sreng在注册表启动项目删除
  <HBService><explore.exe>  [N/A]
<IFEO[taskmgr.exe]><C:\123.exe>  [File is missing]
唯美JK - 2008-8-31 23:38:00
已按留上的删除了,附日志。不过我有个问题,我每次打开sreng2启动项目的注册表时,它都会打出警告说我的注册表值被修改为非正常值,叫我检查电脑可能存在病毒,晕~~~


附件: SREngLOG0831c.log (2008-8-31 23:38:19, 65.18 K)
该附件被下载次数 116

rainyblue - 2008-9-1 0:02:00
好了,那个是正常的,提示你<AppInit_DLLs>未非正常值?那是卡卡助手6修改的,正常的
唯美JK - 2008-9-1 0:10:00
是正常,那就太好了!我搞了一整天,哈哈~~~太感谢多位高手们的相助啊!
无奈的可乐 - 2008-9-1 0:20:00
求救!我的电脑也中了木马!也清不掉!给怎么办啊?
rootkit::win32:Agent,bkh这是木马的名称,这对电脑危害大吗?
无奈的可乐 - 2008-9-1 0:21:00
求救!我的电脑也中了木马!也清不掉!给怎么办啊?
rootkit::win32:Agent,bkh这是木马的名称,这对电脑危害大吗?
rainyblue - 2008-9-1 0:27:00


引用:
原帖由 无奈的可乐 于 2008-9-1 0:21:00 发表
求救!我的电脑也中了木马!也清不掉!给怎么办啊?
rootkit::win32:Agent,bkh这是木马的名称,这对电脑危害大吗?

请你另发一帖求助
fairsentence - 2008-9-1 12:11:00
c:\windows\system32\drivers\npf.sys是正常文件吗?怎么日志里还有?
fairsentence - 2008-9-1 12:13:00
http://www.fortinet.com.cn/FortiGuardCenter/antivirus/index.php?menu=virus_query&id=100150    建议lz删除该npf.sys文件
1
查看完整版本: 我电脑里的木马很强,请高手帮忙!(附日志)
© 2000 - 2026 Rising Corp. Ltd.