机子中毒了,谁能帮帮我,谢谢了,有日志 bbs.ikaka.com

Anna☆ - 2009-1-8 18:54:00

刚回家我爸就说机器中毒了,想也知道是他干的好事,他跟我说他只开了些6he彩的网站,后来我开迅雷起来发现里面有2个exe,看文件名就知道是sexy的东西了…

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: SREngLOG.log

附件: SREngLOG2.log

附件: 桌面.rar

backway - 2009-1-8 18:56:00

:default21: 、、、照顾下你老爸的面子不行么

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html

运行SREng***.EXE
选择主界面左边的：智能扫描=》扫描=》保存报告
把报告保存后，将日志以附件形式上传。

aaccbbdd - 2009-1-8 18:59:00

1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\mydocu~1\tools\stormc~1\stormser.exe
c:\windows\system32\icbcqp~1.dll

2.删除重启后使用SREng修复下面各项：

启动项目－－服务－－ Win32服务应用程序之如下项禁用：
[Stormser / Stormser] <C:\MYDOCU~1\Tools\STORMC~1\Stormser.exe>

系统修复－－　浏览器加载项之如下项删除：
[ICBCQPKCom_HH Class] <C:\WINDOWS\system32\ICBCQP~1.DLL>

Anna☆ - 2009-1-8 18:59:00

倒,我不是贴了日志吗..晕

aaccbbdd - 2009-1-8 18:59:00

建议

C:\WINDOWS\system32\ICBCQP~1.DLL
发到可疑文件交流区

Anna☆ - 2009-1-8 19:00:00

想问下3楼朋友那个stormser不是暴风影音吗…我记得我装在那个路径里

Anna☆ - 2009-1-8 19:02:00

嗯,我先试试,谢谢了,360什么都没清出来-_-

Anna☆ - 2009-1-8 19:03:00

额.....5楼的那个是网银.....- -

aaccbbdd - 2009-1-8 19:05:00

确定么？
比较可疑的

暴风影音？还安装着么？
如是
就可是感染型病毒了:default2:

随意发个EXE文件上来

backway - 2009-1-8 19:05:00

[Remote Packet Capture Protocol v.0 (experimental) / rpcapd][Stopped/Manual Start]
<"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"><N/A>要处理，那个storm是暴风的文件，如果运行services.msc能找到，可以把它设为手动启动。

backway - 2009-1-8 19:09:00

把迅雷下载的那2个exe文件上传，或者上传到：http://www.virscan.org/检测。

Anna☆ - 2009-1-8 19:15:00

说说情况吧- -
现在一打开IE就跳出一大堆网站,首页给改了,改不回来(不能改,使用空白页默认页当前页都掉不了),机子很卡-_-
还有刚才我用SRENG是进入安全模式扫的,重新进入正常的系统的时候出现提示好像是系统某个文件丢失了,启动里面多了个QQ.EXE,好像是个CMD文件,重新启动后我看见CMD的窗口跳出来了,360扫了下信任插件里面多了一个boboturbo,好像差不多就这样了

还有我确定那个是暴风影音,ICBC那个是网银

Anna☆ - 2009-1-8 19:16:00

我刚下SRENG的时候顺手把那2个文件删了..:default2: 晕

backway - 2009-1-8 19:19:00

不要在安全模式下扫sreng日志。登陆到正常系统后再扫描上传。

aaccbbdd - 2009-1-8 19:24:00

可能是感染型
基本确定了

建议
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
下载到WINDOWS目录里运行
全盘杀毒

Anna☆ - 2009-1-8 19:26:00

重新扫了一份,不好意思

aaccbbdd - 2009-1-8 19:28:00

不要发日志了
没用
建议先试试大蜘蛛
不行再说

Anna☆ - 2009-1-8 19:37:00

扫完了,只查到drivers目录下有一个npf.sys,网查了一下说是装过聚生网管的话也会产生这个文件,聚生网管我电脑上有装过,不过以防万一还是杀掉了,我重启了下还是老样子…

aaccbbdd - 2009-1-8 19:39:00

你的暴风影音还安装着么？
你没有回答我
如是
就是一个感染型病毒的症状

这么快？那不是全盘杀毒
是快速扫描

Anna☆ - 2009-1-8 19:47:00

不好意思,上面的我没看清楚,我暴风还装着,刚才我用的是快速扫的,现在正在重新扫.

aaccbbdd - 2009-1-8 19:53:00

完了

WINDOWS目录外随便找几个EXE文件发上来

Anna☆ - 2009-1-8 20:21:00

大蜘蛛扫描的时候扫到nebula.exe的时候卡了半天没动(5、6分钟了吧),我把它先暂停了,先发上来(rar里面包括nebula.exe一个游戏文件、2个迅雷相关文件、1个WINDOWS补丁)

Anna☆ - 2009-1-8 20:25:00

对了,忘了说明了,进程里有个_start.exe,不知道是什么进程,以前没见过,我把它关闭了

aaccbbdd - 2009-1-8 20:28:00

可以在安全模式全盘杀毒（如进得去安全模式的话）

Anna☆ - 2009-1-8 20:54:00

晕晕的,还是扫到一半卡死了.........

Anna☆ - 2009-1-8 20:55:00

刚C盘还400多M,转眼间变成90M-_-晕

backway - 2009-1-8 21:03:00

在安全模式下扫描也卡是么？
如果这样，只有用另一种方法，以前我用大蜘蛛扫描时还会自动重启。如果你还想坚持的话，尝试用另一种方法。

瑞星卡卡安全论坛