很多程序运行不了，任务管理器都打不开 bbs.ikaka.com

zebra11 - 2009-3-18 9:38:00

我有台2000的服务器应该是中了木马，但是不知道中的是什么，用瑞星和其他的一些软件去查都查不到东西。现在是运行很多.EXE文件时打不开，任务管理器打不开，我在打开SERNG时还看到他在旁边新建了一个和SERNG一样的.EXE文件不过就是把文件名改了，有时候还会自动弹出黄网。想装个卡巴上去看看，但检测完后就自动关闭了无法安装。现在把日志放上来给大家看看，希望大家能帮帮忙，急，等，谢谢。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022; GreenBrowser)

附件: SREngLOG.log

附件: 新建文件夹.rar

帅哥阿福 - 2009-3-18 9:46:00

C:\WINNT\rpcs.exe
C:\WINNT\system32\iedwe.exe
C:\WINNT\JZSHLW1VZI.exe
C:\WINNT\system32\3800hk.dll
C:\WINNT\OXPZRNRB4.exe
C:\WINNT\OZAFP5EN8ZQ2.exe
C:\WINNT\system32\rewall.dll
C:\WINNT\system32\Googlepnis.exe
C:\WINNT\System32\lhummg.fsl
C:\WINNT\system32\locator.dll
C:\WINNT\HF1H9NC91JG.exe
C:\program files\common files\microsoft shared\msinfo\2CliwfUm.dll
C:\WINNT\VYTAULHS.exe
C:\WINNT\RQGRSFE.exe
C:\WINNT\system32\drivers\hostnt.sys
C:\WINNT\System32\Drivers\ShdPci.sys
C:\WINNT\system32\drivers\lhummg.sys
C:\WINNT\system32\zvprtmon.dll
C:\WINNT\Sccp.dll
C:\WINNT\Tcap.dll
提交到这里，或者提交给瑞星，地址如下：http://mailcenter.rising.com.cn/index.shtml

天月来了 - 2009-3-18 9:49:00

下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取：
C:\WINNT\JZSHLW1VZI.exe
C:\WINNT\OXPZRNRB4.exe
C:\WINNT\OZAFP5EN8ZQ2.exe
C:\WINNT\HF1H9NC91JG.exe
C:\program files\common files\microsoft shared\msinfo\2CliwfUm.dll
C:\WINNT\VYTAULHS.exe
C:\WINNT\RQGRSFE.exe
C:\WINNT\system32\3800hk.dll
C:\WINNT\System32\lhummg.fsl
C:\WINNT\system32\locator.dll
C:\WINNT\Drilverv.exe
C:\WINNT\Protocol.exe
C:\WINNT\rpcs.exe
C:\Program Files\Common Files\ddos.exe
C:\WINNT\system32\drivers\lhummg.sys
C:\WINNT\system32\zvprtmon.dll
C:\WINNT\system32\Googlepnis.exe
c:\winnt\system32\locator.dll
c:\winnt\system32\avcxel.dll
C:\WINNT\system32\qedit.dll

不论提取结果如何，压缩发来看看

天月来了 - 2009-3-18 9:51:00

其中我确定下面文件属于强感染型病毒
C:\WINNT\JZSHLW1VZI.exe
C:\WINNT\OXPZRNRB4.exe
C:\WINNT\OZAFP5EN8ZQ2.exe
C:\WINNT\HF1H9NC91JG.exe
C:\program files\common files\microsoft shared\msinfo\2CliwfUm.dll
C:\WINNT\VYTAULHS.exe
C:\WINNT\RQGRSFE.exe

下面的文件我不确定，你自己能确定是什么么？
C:\WINNT\system32\3800hk.dll
C:\WINNT\System32\lhummg.fsl
C:\WINNT\system32\locator.dll
C:\WINNT\Drilverv.exe
C:\WINNT\Protocol.exe
C:\WINNT\rpcs.exe
C:\Program Files\Common Files\ddos.exe
C:\WINNT\system32\drivers\lhummg.sys
C:\WINNT\system32\zvprtmon.dll
C:\WINNT\system32\Googlepnis.exe
c:\winnt\system32\locator.dll
c:\winnt\system32\avcxel.dll
C:\WINNT\system32\qedit.dll

天月来了 - 2009-3-18 9:53:00

你将你其他盘内的，原本可以单文件运行的.exe文件压缩发一个来看看

这病毒感染过的程序原本是可以运行的，它运行后会在同目录内释放一个临时文件，那就是原正常的文件。

而目前对于这毒，所有杀毒软件都是选择隔离删除被感染的文件的。

zebra11 - 2009-3-18 10:09:00

好的
我去看看

zebra11 - 2009-3-18 10:43:00

上传上来了，但是有个.EXE文件压缩不了，那个肯定是病毒来的，我一插U盘我的K吧就报警，还有就是发现了几个.BAT文件连接到刚才你说是病毒的文件的，那现在我要怎么样做？

天月来了 - 2009-3-18 11:19:00

等我中午回家看过

给你消息

或者我估计一会儿就有人告诉你了

帅哥阿福 - 2009-3-18 11:19:00

瑞星版本21.30.14，全部查杀上述样本，楼主可升级到最新版本后，断网查杀。
（补充，因为要保留样本，所以选择的是不处理，实际上是可以清除的）

天月来了 - 2009-3-18 11:29:00

咦

这几个呢？？？怎没提取呀？？？你什么眼神？？？

C:\WINNT\JZSHLW1VZI.exe
C:\WINNT\OXPZRNRB4.exe
C:\WINNT\OZAFP5EN8ZQ2.exe
C:\WINNT\HF1H9NC91JG.exe
C:\program files\common files\microsoft shared\msinfo\2CliwfUm.dll
C:\WINNT\VYTAULHS.exe
C:\WINNT\RQGRSFE.exe

真正的感染文件你一个没提取来，你做什么玩呢？？？

RisingCSC - 2009-3-18 11:31:00

瑞星杀毒软件病毒库版本21.21.14可以查杀9楼图中的5个样本，其他上报的样本已收集，我们会抓紧分析并跟帖回复，感谢您对瑞星的支持。

zebra11 - 2009-3-18 11:31:00

好的
我去试下，我手工一个个文件夹看过找到大概的文件都删除了，就是怕有些隐藏起来的一时看不到漏了就麻烦。

天月来了 - 2009-3-18 11:33:00

这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
http://bbs.ikaka.com/attachment.aspx?attachmentid=446804
删除：
C:\WINNT\JZSHLW1VZI.exe
C:\WINNT\OXPZRNRB4.exe
C:\WINNT\OZAFP5EN8ZQ2.exe
C:\WINNT\HF1H9NC91JG.exe
C:\program files\common files\microsoft shared\msinfo\2CliwfUm.dll
C:\WINNT\VYTAULHS.exe
C:\WINNT\RQGRSFE.exe
C:\WINNT\system32\3800hk.dll
C:\WINNT\System32\lhummg.fsl
C:\WINNT\system32\locator.dll
C:\WINNT\Drilverv.exe
C:\WINNT\Protocol.exe
C:\WINNT\rpcs.exe
C:\Program Files\Common Files\ddos.exe
C:\WINNT\system32\drivers\lhummg.sys
C:\WINNT\system32\Googlepnis.exe
c:\winnt\system32\locator.dll
c:\winnt\system32\avcxel.dll

不论删除结果如何立即重启电脑，看情况如何。

这个重启电脑后，不能让任何其他盘的程序开机自启动。

然后就可以升级瑞星至最新版本，全盘杀毒了。

天月来了 - 2009-3-18 11:35:00

你别着急删除操作

先去看我在3楼说的

我刚才还在QQ群里和剑盟的反病毒爱好者说

估计你也是手工一个个文件夹翻看去了

根本不可能按照我说的去用工具提取文件

那病毒可以将你的系统强制改成无法显示隐藏文件、无法显示系统文件

所以你不可能就那么翻翻文件夹就找到文件的。

青松1 - 2009-3-18 11:52:00

“天月来了”你不用工作的呀，能老在网上，你的头像是不是你本人哦~~

zebra11 - 2009-3-18 11:55:00

我是用你交我的那样提取文件的，我根据说的那些文件然后在C盘上一个个找再看，再看那个日期和其他信息再作处理的。

天月来了 - 2009-3-18 13:57:00

下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

提取：
C:\WINNT\JZSHLW1VZI.exe
C:\WINNT\OXPZRNRB4.exe
C:\WINNT\OZAFP5EN8ZQ2.exe
C:\WINNT\HF1H9NC91JG.exe
C:\program files\common files\microsoft shared\msinfo\2CliwfUm.dll
C:\WINNT\VYTAULHS.exe
C:\WINNT\RQGRSFE.exe

不论提取结果如何，压缩发来看看

上一次的提取的附件里有提取日志

日志显示你根本没去操作提取这几个文件

zebra11 - 2009-3-18 17:20:00

把那些文件都用费尔找出来删除了，也把服务里面的进程禁止，现在系统的东西都大概都能用，但是就是有个我们要用的软件进程起不来。。。:default2:
我删完东西重启用瑞星去查都查不到，可能是我们的服务器有些程序是开机启动才这样。

天月来了 - 2009-3-18 17:27:00

我在问问你，你到底给不给文件？？？

你上午上传的那附件，没有我在17楼说的任何一个文件

而17楼我说的文件才是病毒主体

你出于什么原因，就是不给那几个文件呢？？

还有我说其他盘的原本可以单文件运行的.exe文件，找几个压缩发来看看呀

还有既然你说删了

那么再扫新日志来看

唉.........................

拖拖拉拉的。

RisingCSC - 2009-3-19 9:33:00

1、文件名：Protocol.exe

病毒名：Backdoor.Win32.RemoteABC.gmc

2、文件名：ddos.exe

病毒名：Backdoor.Win32.Gpigeon2007.cud

3、文件名：qedit.dll
不是病毒

4、文件名：zvprtmon.dll
不是病毒

您所上报的病毒文件将在瑞星2009的21.21.23版本中处理解
决，如遇特殊情况可能会推后几个版本。

neachollen - 2009-3-19 10:25:00

根据你的SREngLOG.log来看，你的系统是中了恐怖鸡、TxHMoU.Exe、AUTOGUARDER2的病毒。

解决措施：
1、拔掉网线。（很重要）
2、再别的电脑上下载TxHMoU.Exe专杀工具。
3、本机进入安全模式，运行专杀工具清理病毒。
4、清理之后再运行AV终结者专杀工具和360加强版360compkill木马查杀。
5、确保安全开启杀毒软件全盘查杀。（经过以上步骤你打不开的程序才能打开）

附件: TxHMoU.Exe专杀工具.rar

附件: 360compkill.zip

附件: DubaTool_AV_Killer2.rar

zhangyun - 2009-3-19 10:55:00

肯定有病毒

瑞星卡卡安全论坛