system.exe这个病毒是什么传感方式？？？？ bbs.ikaka.com

麻烦猪 - 2008-12-20 21:41:00

system.exe这个老病毒好利害，不管我重装系统还是GHOST恢复，老老实实上网，但还是经常中了N次。你们的瑞星是干什么吃的？？监控有什么屁用啊？也不杀杀也不报警？？？？　system.exe这病毒算是老了，你们到现在还不杀这个病毒吗？？system,exe还会干掉了其它杀毒软件。

我打开进程一看有system.exe和a.exe还有数字名进程，在system32目录下产生了好多.dll文件，我都打开了显示所有文件包括隐藏系统文件，盘里根本不存在autorun.inf 这种文件。

我都重装系统，但这病毒还会再出现，难道这病毒也会像威金和熊猫一样感染了所有exe文件吗？？？？

第一次中毒：

附件: 第一次中SREngLOG.log (2008-12-20 22:52:19, 65.06 K)
该附件被下载次数 223

装了清理重启后：

附件: 重启后SREngLOG.log (2008-12-20 22:52:19, 74.18 K)
该附件被下载次数 183

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TheWorld)

昨天的兵 - 2008-12-20 21:49:00

建议：安全模式下杀毒，应该可以或者扫个日志(SRENG)上来，自有高手来帮你。
至于system。exe的传感方式你可以搜索一下。

aaccbbdd - 2008-12-20 21:51:00

应该可能是注入qq安装目录了
psapi.dll

你运行QQ
病毒自己运行了

1.扫日志前建议清理助手清理系统
清理助手下载
升级清理助手，全盘扫描，只清理报为病毒的高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作。如自己私自替换的，导致不能进系统，责任自负)
如清理无效

2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat

麻烦猪 - 2008-12-20 21:53:00

我还用安全模式下杀毒？都重装系统了。这个病毒还是经常出现，他吗的是不是感染了exe文件还是dll？？？？
重装系统后不会出现病毒，但我打其它盘里的程序后，这个病毒又出现了。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

aaccbbdd - 2008-12-20 21:55:00

上传日志看看

可能不仅仅是这个
而是HB+
这个
http://bbs.ikaka.com/showtopic-8570012.aspx

重装系统不要急着双击其他盘符:default3:

麻烦猪 - 2008-12-20 21:59:00

我都不上QQ，只是看了电影，难道是播放器程序？我打开过了暴风和　KMP这二个程序，说不定还会感染了其它程序。。。。。。
是不是逼我全格了硬盘啊。。。。。。。。:default11: :default11: :default11:

aaccbbdd - 2008-12-20 22:00:00

木马群不可能是感染型病毒

日志呢
懒得上传？
上传日志总好过全格吧:default3:

麻烦猪 - 2008-12-20 22:02:00

引用:

原帖由 aaccbbdd 于 2008-12-20 21:55:00 发表
上传日志看看

重装系统不要急着双击其他盘符:default3:

我都说了盘里根本不存在autorun.inf 这种文件，已经显示隐藏包括系统文件，还怕双击其他盘？
说明这病毒要么是感染了exe或是dll........................

昨天的兵 - 2008-12-20 22:03:00

别着急，按3楼的办法做。

aaccbbdd - 2008-12-20 22:03:00

没听说木马群带感染性的:default3:

先上传日志！

请严格按照以下步骤操作

1.扫日志前建议清理助手清理系统
清理助手下载
升级清理助手，全盘扫描，只清理报为病毒的高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作。如自己私自替换的，导致不能进系统，责任自负)
如清理无效

2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr
4.金山清理专家官方下载 | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告
5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.如已发帖的请跟贴，勿另开新帖。

建议2份日志同时上传，起到互补的作用（原因：金山和SRENG都能扫出另一个不能扫出的内容）！！

麻烦猪 - 2008-12-20 22:07:00

上传日记有什么用？论坛里不是有好多报system.exe吗？他们不是上传了日记吗？
到现在你们还没几个人能解决这个病毒。
system.exe这个毒太强大了，已经出现几个月了，杀软的天天更新也不敢杀这个病毒吗？

aaccbbdd - 2008-12-20 22:10:00

基本都成功处理了（求助者严格按照要求做的都OK了），自己瞎鼓捣的和放弃处理的人相当多，所以就。。。。。。。。。。。。。。完了

什么叫瑞星杀不了
早能杀了
只是瑞星不能正常启动么:default3:

麻烦猪 - 2008-12-20 22:14:00

开机瑞星第一个先启动，而system.exe这个病毒才最后出现，为什么瑞星监控不报警也不杀？等这个病毒干掉瑞星？
真好笑！！！！还说瑞星不能正常启动，笑死我了。。。。。。。。。

aaccbbdd - 2008-12-20 22:18:00

汗死
这个东东带了恶意驱动
还原ssdt
笨死了:default3:
主动防御早废了

这个东东进系统
杀毒软件就废了

你就笑吧
你就别上传日志
你全格去吧

aaccbbdd - 2008-12-20 22:18:00

a.exe
根本就不是木马群！

aaccbbdd - 2008-12-20 22:19:00

木马群部分伴随映像劫持
杀毒软件打不开

即使杀毒软件可打开

瑞星监控的是不能正确加载的！

麻烦猪 - 2008-12-20 22:26:00

引用:

原帖由 aaccbbdd 于 2008-12-20 22:18:00 发表
汗死
这个东东带了恶意驱动
还原ssdt
笨死了:default3:
主动防御早废了

这个东东进系统
杀毒软件就废了

你就笑吧
你就别上传日志
你全格去吧

重装系统＋再装杀软也不能主动防御和监控病毒对吗？这么说瑞星根本是个垃圾没用，我花钱白养你们这骗子杀软商，我还不如装裸奔，中毒再ghost.....................

aaccbbdd - 2008-12-20 22:33:00

不是没用

不会用
什么杀毒软件都一样
剑盟里见安装了各种杀毒软件打不开的例子比比皆是

杀毒软件
就是要求软件与人的配合

瑞星不垃圾
我安装瑞星N久了
没中毒
包括没事干去挂马的网站遛弯

不中毒
必须有好的习惯

Ghost
中了熊猫烧香
中华吸血鬼
在线修复
新版磁碟机
怎么Ghost:default3:

麻烦猪 - 2008-12-20 22:54:00

好啦看你说话这么温柔，我只好上传日记，看一楼上传日记吧，我看你怎样干掉这可恶的病毒。

aaccbbdd - 2008-12-20 23:05:00

参见
http://bbs.ikaka.com/showtopic-8561436.aspx
4楼
替换本机
userinit.EXE和rpcss.dll
正常文件下载：
http://bbs.ikaka.com/showtopic-8417665.aspx

c:\windows\system\wbx3245.dll
c:\windows\system\wmsys32.dll
c:\windows\system\wmw3245.dll
c:\windows\system32\08223b03.dll
c:\windows\system32\198ff3d8.dll
c:\windows\system32\9ca963ca.dll
c:\windows\system32\aac70e2b.dll
c:\windows\system32\e0d39066.dll
c:\windows\system32\e783c505.dll
c:\windows\system32\f65bdec7.dll
c:\windows\system32\a.exe
c:\windows\system32\c6424110.sys
c:\windows\system32\b770ca2.sys

2.删除重启后使用SREng修复下面各项：

启动项目－－注册表之如下项删除：
[{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}] <08223B03.dll>
[{9CA963CA-107C-4089-B0AB-31380F90D7E3}] <9CA963CA.dll>
[{E0D39066-96D7-4891-8527-488ADAFCD60F}] <E0D39066.dll>
[{F65BDEC7-4BF3-4512-840F-68B166B6D7AC}] <F65BDEC7.dll>
[{AAC70E2B-C79A-4717-A2E1-3563EAB93ECC}] <AAC70E2B.dll>
[{198FF3D8-56F1-466B-A36F-F9C28B43E440}] <198FF3D8.dll>
[{E783C505-FA27-48BD-9B35-C84E5CEA523F}] <E783C505.dll>
[Alcmtr] <aliv64.exe>

启动项目－－服务－－驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[c6424110 / c6424110] <\??\C:\WINDOWS\system32\c6424110.sys>
[b770ca2 / b770ca2] <\??\C:\WINDOWS\system32\b770ca2.sys>
[System event loader / wmpobj] <>

附件删除映像劫持

Pubwin EP服务控制器]
<C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\Pubwin EP服务控制器.lnk --> C:\PROGRA~1\Hintsoft\PUBWIN~1\version\bin\SERVIC~1.EXE [TODO: <公司名>]><N>
c:\program files\hintsoft\pubwinserver\version\bin\servicemanager.exe
什么东东
看签名TODO

附件: 映像劫持修复工具.rar

麻烦猪 - 2008-12-20 23:11:00

其它盘里的程序有没感染？exe或dll的？有没恢复方法？

麻烦猪 - 2008-12-20 23:19:00

恢复系统文件太麻烦了，我直接ghost了，问题是其它盘里的程序会不会中毒了？？exe或dll的，请说下。

aaccbbdd - 2008-12-21 7:55:00

未见木马群带感染型情况

但是其会插入QQ目录
psapi.dll

天月来了 - 2008-12-21 8:26:00

原因很简单

木马群病毒主程序不断做免杀

这不是杀毒软件不断更新能跟上病毒做免杀的速度的。

因为毕竟绝达多数的用户是不能自己找病毒样本上报的。

所以必然这样的结果

而这次的木马群，发现其最大的特点是，一直以瑞星杀毒软件的主程序为最主要的映像劫持对象，包括迅雷等软件。

原本就不是靠一个几百元的杀毒软件就能达到一般使用者理想化的保护效果的

到目前为止，还未见任何一家杀毒软件达到理想化的保护效果

每次病毒做新免杀的时候，各家杀毒软件都纷纷落马

瑞星卡卡安全论坛