瑞星卡卡安全论坛

附件: SREngLOG.txt (2009-6-4 16:39:53, 35.04 K)
该附件被下载次数 282

WIN2003中了大量的CMD。EXE病毒！已经一个多星期了！最多的时候一个晚上生成50个
  各位帮我看看如何解决！谢谢

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)

1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”）或smtdel删除以下文件：(超级巡警剑盟下载 smtdel下载)
复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\windows\system32\axsvn.ref


2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
[axsvnfa / ias]    <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\axsvn.ref>
[PMS8TWJ6I / PMS8TWJ6I]    <C:\WINDOWS\V5NNUA32JS6.exe -NQI7X19E>
[PMS8TWJ6I / PMS8TWJ6I]    <C:\WINDOWS\V5NNUA32JS6.exe -NQI7X19E>
[EFXP6P1 / EFXP6P1]    <C:\WINDOWS\2TG6PPHDZ6.exe -UGTI1BK>

    启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[SSDT HOOK / Hooking]    <>
[SSDT HOOK / Hooking]    <>

**************以上分析报告由SREngLog分析助手提供******************
分析：byxxdrls
时间：2009-6-4
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)

大哥 这样就可以了嘛？

大哥 他要我注册要邀请码啊
  我没这东东 注册不了就下载不到

http://bbs.ikaka.com/showtopic-8442813.aspx
去3楼下

C:\WINDOWS\2TG6PPHDZ6.exe

C:\WINDOWS\V5NNUA32JS6.exe

上述两个程序是病毒。
请将这两个文件打包，发到可疑文件交流区。

大哥  你说  启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：
    C:\WINDOWS\system32\axsvn.ref>  这项服务里没有啊
还有  启动项目 －－ 服务－－ 驱动程序之如下项禁用：
[SSDT HOOK / Hooking]    <>
[SSDT HOOK / Hooking]    <>
  这个也是没有的


还有！现在连任务管理器都无法打开了！连有哪些进程都不知道了

老大 按照你的方法全做了 15分钟左右又大量出现了啊！

    怎么办啊

你把出现的文件压缩发上来
并且提供新的SRENG日志

C:\WINDOWS\V5NNUA32JS6.exe
如果这样的文件存在的话，那有可能是中了感染型的病毒了。

那我现在要怎么办？按照楼上的说的把新日志发上来？

下载大蜘蛛全盘扫描吧。
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe

大哥  下不下来啊

最近服务器中了大量的CMD病毒！现在任务管理器也无法打开了！重装系统后又一样中毒，基本现在没有可确定的方法能杀除，本人用了瑞星杀毒，花几W买的网络版连病毒都查不出！日！360卫士能查出木马，杀后又有，毒蜘蛛能查到病毒可是好象没查到关键所以CMD还在！现在本人急切恳请各位有无能解决办法？谢谢！急急急急

  现把最新日志发上来各位大哥看看！还有杀完毒后如何恢复任务管理！或者有什么类式任务管理的软件下载，我现在看不到进程了

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727)

附件: SREngLOG.txt

下下来了！可是CMD病毒还是无法查杀！他会把瑞星的EXE和一些应用软件的EXE当病毒哦

找到c:\winndows\system32\cmd.exe
先把cmd.exe 改名,禁止他运行,如果有病毒的话,一定会报错.再根据报错的提示找文件什么的,慢慢来吧,版主和反病毒小组都会帮助你的.

我修改过！无法修改！删除自动又有了！我改名把CMD改为CMD1然后新建CMD。EXE可不准
  现在系统完全无法使用了
现在就想先找到如何解决CMD这病毒！因为重装系统还是一样会有

该用户帖子内容已被屏蔽

系统恢复后连网一切正常！开启SQL2小时在中！不开没问题！

该用户帖子内容已被屏蔽

该用户帖子内容已被屏蔽

我的服务器不连接外网的，都是断开的！只连接内网！系统还原就有瑞星跟360的

你重装系统后,千万不要打开其他的硬盘分区,直接下载杀软到桌面,安装,升级到最新版本,关闭系统还原,安全模式下全盘杀毒.
如果遇到不能查杀的病毒,请立即反馈到
http://bbs.ikaka.com/showforum-20002.aspx
打包上传,瑞星在下一个版本中就会解决.

我查出问题了 是SQL问题 而且不是SQL中毒 是木马利用SQL的端口进行感染的

你这个大量的cmd.exe不是病毒，而是大量感染型病毒运行后启动的。

那个感染型不毒，必须要文件样本拿来

你在有问题的电脑上，找其他盘所有.exe文件

压缩打包后，发这里：
http://www.namipan.com/index.php

然后给正确的链接地址来

其中这两文件不拿来，估计费劲了:kaka6:
C:\WINDOWS\2TG6PPHDZ6.exe
C:\WINDOWS\V5NNUA32JS6.exe