瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 扫描的日志,刚才下的程序报了好多毒,怎么清理啊
嘿嘿梦想 - 2009-3-5 14:15:00
刚才下了个软件  结果狂报毒,现在机器的主页也被改了,帮我看看还有木马没????

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; CNCDialer; QQDownload 1.7)

附件: 11111.log
嘿嘿梦想 - 2009-3-5 14:16:00
进程里有个 MDM.EXE 这是木马吗??
帅哥阿福 - 2009-3-5 14:21:00
C:\Windows\serveraget.exe
C:\WINDOWS\system32\ATSpy.sys
C:\WINDOWS\system32\drivers\qhwnc.sys
C:\WINDOWS\system32\drivers\osjcrp.sys
C:\WINDOWS\system32\XDva219.sys
C:\WINDOWS\t1ntsvr.exe
C:\WINDOWS\system32\config\systemprofile\Local Settings\wmiprives.exe
提交到这里,或者提交给瑞星,地址如下:http://mailcenter.rising.com.cn/index.shtml

mdm.exe应该属正常进程。
嘿嘿梦想 - 2009-3-5 14:25:00
怎么弄啊???讲解下
帅哥阿福 - 2009-3-5 14:29:00
找到2楼列出的文件,压缩到一个压缩包中,提交到卡卡论坛的可疑文件交流区,或者2楼的地址连接中有个病毒上报。
嘿嘿梦想 - 2009-3-5 14:31:00
C:\WINDOWS\t1ntsvr.exe
这个 瑞星一只报毒 然后就是杀不掉 杀了还有 我删除 然后海报
嘿嘿梦想 - 2009-3-5 14:46:00
那个一只删不掉  然后 我也在C盘里找不到那几个文件

附件: SREngLOG.log (2009-3-5 14:45:35, 64.52 K)
该附件被下载次数 137



这是新的日志!!!!!!!!!!!!!!!!!!!!!
帅哥阿福 - 2009-3-5 14:59:00
C:\Windows\serveraget.exe
C:\Windows\System32\resaenh.exe
C:\Windows\system32\drivers\qhwnc.sys
C:\WINDOWS\system32\drivers\osjcrp.sys
C:\WINDOWS\system32\XDva219.sys
提交到这里,或者提交给瑞星,地址如下:http://mailcenter.rising.com.cn/index.shtml
嘿嘿梦想 - 2009-3-5 15:04:00
C:\Windows\system32\drivers\qhwnc.sys
C:\WINDOWS\system32\drivers\osjcrp.sys
我只能找到这两个文件  其他的在计算机里搜索不到
天月来了 - 2009-3-5 15:14:00
http://bbs.ikaka.com/attachment.aspx?attachmentid=491090

下载工具去搜索去
帅哥阿福 - 2009-3-5 15:14:00
打开我的电脑-工具-文件夹选项-查看-隐藏受保护的操作系统文件(推荐)勾选去掉-选中显示隐藏文件和文件夹
实在找不到也没关系,找到几个就上报几个吧。
直接上报瑞星的邮件服务可能会快一些。
http://mailcenter.rising.com.cn/index.shtml
里面的病毒上报。
天月来了 - 2009-3-5 15:19:00
你还是以后建议我那搜索工具吧

要好一点
帅哥阿福 - 2009-3-5 15:22:00
收到!
嘿嘿梦想 - 2009-3-5 15:39:00
我头都是大的  现在直接把文件上传就行了?
天月来了 - 2009-3-5 15:40:00
附件形式传来么
嘿嘿梦想 - 2009-3-5 15:42:00
我每种搜出了2个 上报哪个???
天月来了 - 2009-3-5 15:46:00
全传来

每种两个??

路径呢???
嘿嘿梦想 - 2009-3-5 15:49:00
同一个serveraget.exe文件
一个是  C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.766\sreng2.7.0.1210\SuspiciousFiles\
一个是  C:\Windows
嘿嘿梦想 - 2009-3-5 15:51:00
resaenh.exe这个文件
一个是C:\Windows\System32\resaenh.exe
一个是 C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.766\sreng2.7.0.1210\SuspiciousFiles\
天月来了 - 2009-3-5 15:55:00
C:\Documents and Settings\Administrator\Local Settings\Temp\Rar$EX00.766\sreng2.7.0.1210\SuspiciousFiles\ 这个不要了

是SRENG工具将不明文件收在自己的文件夹里的,不管它
嘿嘿梦想 - 2009-3-5 16:00:00
XDva219 这个没找出来  其他的都到了

附件: osjcrp.rar (2009-3-5 16:00:01, 17.89 K)
该附件被下载次数 111


附件: qhwnc.rar (2009-3-5 16:00:01, 14.06 K)
该附件被下载次数 119


附件: resaenh.rar (2009-3-5 16:00:01, 42.39 K)
该附件被下载次数 117


附件: serveraget.rar (2009-3-5 16:00:01, 21.13 K)
该附件被下载次数 126

嘿嘿梦想 - 2009-3-5 16:09:00

附件: wmiprives.rar (2009-3-5 16:08:34, 312.59 K)
该附件被下载次数 106

天月来了 - 2009-3-5 16:09:00
将这文件也复制来我看看,这个系统文件,我只是看一看
C:\WINDOWS\system32\shdoclc.dll
天月来了 - 2009-3-5 16:11:00
我置顶工具贴下载删除工具删除下面的文件
C:\Windows\System32\resaenh.exe
C:\Windows\serveraget.exe
C:\Windows\system32\drivers\qhwnc.sys
C:\WINDOWS\system32\drivers\osjcrp.sys
C:\PROGRA~1\IEfxz\iefxz.dll
C:\WINDOWS\system32\config\systemprofile\Local Settings\wmiprives.exe
嘿嘿梦想 - 2009-3-5 16:11:00
瑞星还一只报毒 
C:\WINDOWS\T1NTSVR.EXE
但搜索不到
怎么办?
天月来了 - 2009-3-5 16:13:00
先做完我说的事再说

那可能其他病毒下载后被瑞星隔离了,所以你找不到
嘿嘿梦想 - 2009-3-5 16:27:00

附件: shdoclc.rar (2009-3-5 16:27:08, 135.44 K)
该附件被下载次数 119

RisingCSC - 2009-3-5 16:38:00
感谢您对瑞星的支持,您所上报的文件已经收集,我们会抓紧分析并跟帖回复。
天月来了 - 2009-3-5 16:43:00
C:\WINDOWS\system32\shdoclc.dll 文件没问题

其他的你照做吧
嘿嘿梦想 - 2009-3-5 16:45:00
2个没有杀掉
123
查看完整版本: 扫描的日志,刚才下的程序报了好多毒,怎么清理啊
© 2000 - 2025 Rising Corp. Ltd.