zhangjun1234567 - 2009-6-24 14:38:00
公司同事电脑中毒后的日志,请大家帮我分析一下
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)附件:
SREngLOG.log
zhangjun1234567 - 2009-6-24 14:42:00
自己觉得以下几点有点问题,望大家指教
启动文件夹
[Adobe Gamma Loader.exe]
<C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Adobe Gamma Loader.exe.lnk --> C:\PROGRA~1\COMMON~1\Adobe\CALIBR~1\ADOBEG~1.EXE [Adobe Systems, Inc.]><N>
[mv61xx / mv61xx][Stopped/Disabled]
<\SystemRoot\system32\DRIVERS\mv61xx.sys><Marvell Semiconductor, Inc.>
[NAVENG / NAVENG][Running/Manual Start]
<\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20090612.003\naveng.sys><Symantec Corporation>
[NAVEX15 / NAVEX15][Running/Manual Start]
<\??\C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20090612.003\navex15.sys><Symantec Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>
文件关联
.TXT Error. [C:\WINDOWS\notepad.exe %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM Error. ["hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]
==================================
能力有限,请大家多指教
还有许多我看不懂
天月来了 - 2009-6-24 15:07:00
日志没看出什么
baohe - 2009-6-24 15:09:00
删除下列驱动项:
Protector
ProtectorA
重启。删除下列病毒文件:
C:\WINDOWS\system32\Protector.sys
C:\WINDOWS\system32\drivers\ProtectorA.sys
天月来了 - 2009-6-24 15:13:00
那不需要删除,老猫
baohe - 2009-6-24 15:36:00
原帖由 天月来了 于 2009-6-24 15:13:00 发表
那不需要删除,老猫
又要说“那是工商银行的东东”,是吧?
我让他删除的理由:
1、以前运行病毒样本出现过这两个驱动。
2、看看楼主日志,真的没问题?winlogon为何获得系统特权了?
3、看看工商银行的说法:https://service.icbc.com.cn/bbs/article.jsp?boardid=2&bbsid=2956211&pages=1
天月来了 - 2009-6-24 15:38:00
那看来还真需要删删看了:kaka6:
zhangjun1234567 - 2009-6-24 17:15:00
我把系统重新做了,现在用SENG2扫描发现 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs> kmon.dll
删除了又有 在C盘SYSTEM32下面
我呆会上传日志
天月来了 - 2009-6-24 17:23:00
你是不知道搜索kmon.dll 文件看文件属性来判断
以及你不知道百度
你要是稍微百度一下,立即可知这是卡卡助手的文件:kaka6:
别管SRENG这工具的任何提示了,那不是给你看的
byxxdrls - 2009-6-24 18:04:00
[Protector / Protector][Running/System Start]
<system32\drivers\Protector.sys><N/A>
[ProtectorA / ProtectorA][Running/System Start]
<\??\C:\WINDOWS\system32\drivers\ProtectorA.sys><
www.ISRA.org.cn>
安装了最新的中国银行网上银行的插件之后。
这两个文件都有数字签名的。前者没版本信息。
继续测试 - 2009-6-24 18:39:00
:kaka6:
你非得折腾它不可么??
这会玩死那家什么银行论坛的版主的:kaka6:
天月来了 - 2009-6-24 18:47:00
我也奇怪那家银行的版主怎么回事呢
我记得我找人装过那什么插件的
确实是有这两驱动的
但是老猫版主说测毒时见过病毒有此驱动
还真麻烦呢,以后得附带询问求助的是否安装那什么银行的东西才行:kaka6:
byxxdrls - 2009-6-24 18:52:00
那是工行论坛的版主
zhangjun1234567 - 2009-6-28 8:15:00
他电脑是装过工行的插件了的
aaccbbdd - 2009-6-28 9:35:00
:kaka11:
貌似那驱动文件不是病毒:kaka7:
© 2000 - 2025 Rising Corp. Ltd.
