SCT广告病毒，高手帮帮忙！(SREngLOG已上传） bbs.ikaka.com

dwg4966 - 2009-5-31 2:20:00

“SCT广告（AdWare.Win32.SCT.a）”病毒：
这是一个广告软件，它试图关闭杀毒软件，在系统目录下建立病毒文件：frmwrk.exe，并且还能够对注册表进行修改实现自启动。病毒禁止用户使用任务管理器、禁止改桌面、禁用背景图片等文件作为墙纸。病毒运行后会弹出如下内容的对话框：
“Your computer is infected! It is recommended to start spyware cleaner tool.

症状如上！！
现在我已禁止其自启动，但是桌面无法更改（右键点击图片可以更改桌面背景）。瑞星杀毒也无法识别，不上网没问题，一联网就出现frmwrk进程，然后更改桌面背景，出现上述症状，用360清除恶意软件后，可以启动任务管理器（不知道卡卡为什么扫描不到？），然后用360扫描木马，关闭frmwrk进程，提示已经清除，但重启后依然如此，瑞星全盘扫描根本没用，哪位高手帮帮忙，不胜感激！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; MyIE 3.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; MEGAUPLOAD 2.0; MEGAUPLOAD 3.0)

附件: AutoRuns.rar

附件: SREngLOG.log

浪漫纸箱 - 2009-5-31 9:34:00

请楼主扫描SREng日志，并作为附件上传。再扫描日志时，请不要结束frmwrk进程。

猪没良心 - 2009-5-31 9:39:00

该用户帖子内容已被屏蔽

dwg4966 - 2009-5-31 9:57:00

楼上的朋友，谢谢！
-------“这时进入系统安装盘”----------“Program Files”此时手动删除广告病毒程序OK！这个我不太懂！
“Program Files”下什么都没有。

浪漫纸箱 - 2009-5-31 10:28:00

C:\Program Files底下应该有多个文件夹，不易分辨。
还是请楼主扫描SREng日志，并作为附件上传。

dwg4966 - 2009-5-31 10:45:00

autoruns和瑞星听诊信息这2个文件已经上传，麻烦各位了，谢谢!

猪没良心 - 2009-5-31 10:45:00

该用户帖子内容已被屏蔽

dwg4966 - 2009-5-31 10:47:00

引用:

原帖由 猪没良心 于 2009-5-31 10:45:00 发表
:kaka5: C:\Program Files是有好多文件，可是你的广告文件在查杀时杀毒软件应该给出了病毒的安装路径。按那个路径去删除就不会错了！如果手动不能删除。可是借助冰忍、优化大师等删除就OK了！

现在的问题是杀毒软件根本查不出病毒，郁闷了！

浪漫纸箱 - 2009-5-31 10:49:00

:kaka4: 我不会看autoruns和瑞星听诊信息，还是请楼主上传SREng日志吧，对不起了。:kaka12:

dwg4966 - 2009-5-31 10:50:00

引用:

原帖由 浪漫纸箱 于 2009-5-31 10:49:00 发表
:kaka4: 我不会看autoruns和瑞星听诊信息，还是请楼主上传SREng日志吧，对不起了。:kaka12:

辛苦了，SREng日志怎么扫描？

浪漫纸箱 - 2009-5-31 10:51:00

要不楼主试试windows清理助手？我签名里有他的官网。

猪没良心 - 2009-5-31 10:51:00

该用户帖子内容已被屏蔽

dwg4966 - 2009-5-31 10:51:00

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System [DisableTaskMgr]: (1)
360扫描的注册表路径。

浪漫纸箱 - 2009-5-31 10:52:00

SRENG工具的扫描日志操作，请看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx
SRENG的下载。我签名处有他的官网。:kaka1:

猪没良心 - 2009-5-31 10:52:00

该用户帖子内容已被屏蔽

dwg4966 - 2009-5-31 12:31:00

SREngLOG已上传了，重启真麻烦。
浪漫纸箱老兄，帮忙看看，非常感谢。

夲號ヱ被ジ盜 - 2009-5-31 12:57:00

此次操作有一定风险
可能导致系统不稳定或一些软件不能用！
先KILL 再执行删除

Xdelbox删除：
C:\WINDOWS\system32\Drivers\0007ff0e.sys
C:\WINDOWS\system32\Drivers\00222f86.sys
C:\WINDOWS\system32\frmwrk32.exe
C:\CTIE\CTIE.exe

Process Explorer
kill进程：
在那进程上点右键
然后点KILL PROCESS
frmwrk32.exe
CTIE.exe
这2个直接KILL
下载：http://download.sysinternals.com/Files/ProcessExplorer.zip

附件: XDelBox.rar

dwg4966 - 2009-5-31 15:35:00

http://help.360.cn/5030806/26027111.html
和这个症状基本相同，区别就是我用360查不到木马。

浪漫纸箱 - 2009-5-31 15:36:00

瑞星最新版报毒么？不报毒用附件里的提取工具提取以下文件：
C:\WINDOWS\system32\Drivers\0007ff0e.sys
C:\WINDOWS\system32\Drivers\00222f86.sys
C:\WINDOWS\system32\Drivers\67718.sys
C:\WINDOWS\system32\frmwrk32.exe

C:\CTIE\CTIE.exe（这个程序是您安装的么，是的话不用提取）
将文件压缩后报到可疑文件交流区，发帖。

然后：
用楼上给的工具删除以下：
C:\WINDOWS\system32\Drivers\0007ff0e.sys
C:\WINDOWS\system32\Drivers\00222f86.sys
C:\WINDOWS\system32\Drivers\67718.sys
C:\WINDOWS\system32\frmwrk32.exe

C:\CTIE\CTIE.exe（是您安的就不删了）

附件: 文件提取处理器.rar

dwg4966 - 2009-5-31 15:45:00

引用:

原帖由 浪漫纸箱 于 2009-5-31 15:36:00 发表
瑞星最新版报毒么？不报毒用附件里的提取工具提取以下文件：
C:\WINDOWS\system32\Drivers\0007ff0e.sys
C:\WINDOWS\system32\Drivers\00222f86.sys
C:\WINDOWS\system32\Drivers\67718.sys
C:\WINDOWS\system32\frmwrk32.exe

C:\CTIE\CTI

多谢了！CTIE是参天浏览器，肯定不是它的问题。瑞星最新版根本不报毒，每次我都是关掉进程，再用360清除。今天学了很多东西，其实重装就行了，这个系统用了4年多了，运行有点慢。再次感谢大家！！

浪漫纸箱 - 2009-5-31 15:51:00

呵呵，不用谢。大家相互帮助是应该的。:kaka1:

嗯，如果重装后还有问题，请楼主继续发帖。:kaka6: 这话这话说得这么别扭。:kaka12:

对了楼主文件提取了么？

dwg4966 - 2009-5-31 16:00:00

引用:

原帖由 浪漫纸箱 于 2009-5-31 15:51:00 发表
呵呵，不用谢。大家相互帮助是应该的。:kaka1:

嗯，如果重装后还有问题，请楼主继续发帖。:kaka6: 这话这话说得这么别扭。:kaka12:

对了楼主文件提取了么？

还没有，前2个文件找不到，drivers文件夹下没有。67718.sys是2008年创建的，frmwrk32.exe也已经清除了。

浪漫纸箱 - 2009-5-31 16:05:00

嗯，楼主实用的什么查看的（用资源管理器的话，文件能被隐藏）？用我给您的那个工具可批量提取。
楼主觉得复杂的话，也不用提取了。:kaka12:

瑞星卡卡安全论坛