开邮件中了个uninstc.exe的病毒 bbs.ikaka.com

小咚东 - 2009-6-24 17:32:00

开邮件附件中了个uninstc.exe的病毒，它把杀毒软件都关掉，手动也开不了，请各位大侠帮忙解决呀:default11: :default11: :default11:

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

稀饭与包子 - 2009-6-24 17:55:00

1、下载sreng http://www.kztechs.com/sreng/download.html
2、看操作http://bbs.ikaka.com/showtopic-8545446.aspx
3、上传日志

稀饭与包子 - 2009-6-24 18:06:00

麻烦楼主把病毒附件发我邮箱里 3Q
lovebudwei@qq.com

小咚东 - 2009-6-24 18:58:00

已发邮件

稀饭与包子 - 2009-6-24 19:01:00

按照2L的做一下然后把扫描日志以附件形式传上来

稀饭与包子 - 2009-6-24 19:14:00

不用了。。等我杀完告诉你怎么搞

稀饭与包子 - 2009-6-24 19:41:00

在C:\下释放uninstc.exe
在D:\下释放 ...文件名没记住就删了。。
在C:\WINDOWS\system32\divers下释放 klan.sys 并且隐藏文件夹选项显示所有文件无效但无保护可在winrar中删除
在C:\WINDOWS\system下释放nb9ming32c090423.dll 并且隐藏
无保护可在winrar中删除
sreng扫描[C:\WINDOWS\system32\nvshell.dll] [, ]
在[PID: 1444 / SYSTEM][C:\WINDOWS\System32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2111)]中注入 [c:\windows\system32\appmgmts.dll] [N/A, ]
提升两个权限
特殊特权被允许： SeLoadDriverPrivilege [PID = 956, C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 264, C:\WINDOWS\SYSTEM32\NVSVC32.EXE]
其余内容请查看附件。以及病毒样本

附件: SREngLOG.log

附件: url_sexbox.rar

附件: ming9b090423.rar

附件: klan.rar

稀饭与包子 - 2009-6-24 19:42:00

C:\WINDOWS\system32\TcpIpDogR0.dll(, N/A)为DR.com

小咚东 - 2009-6-24 20:03:00

引用:

原帖由 稀饭与包子 于 2009-6-24 19:42:00 发表
C:\WINDOWS\system32\TcpIpDogR0.dll(, N/A)为DR.com

DR好像是个网络连接，我直接删了有影响不

稀饭与包子 - 2009-6-24 20:11:00

这个没关系。。我是在学校上网才用。
不好意思。原谅我技术浅薄。。坐等高人

小咚东 - 2009-6-24 20:17:00

:default11: sreng扫描[C:\WINDOWS\system32\nvshell.dll] [, ]
在[PID: 1444 / SYSTEM][C:\WINDOWS\System32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2111)]中注入 [c:\windows\system32\appmgmts.dll] [N/A, ]
提升两个权限
特殊特权被允许： SeLoadDriverPrivilege [PID = 956, C:\WINDOWS\SYSTEM32\WINLOGON.EXE]
特殊特权被允许： SeLoadDriverPrivilege [PID = 264, C:\WINDOWS\SYSTEM32\NVSVC32.EXE]:default11:

以上描述还是不懂操作

超级游戏迷 - 2009-6-24 20:41:00

删掉后就上网不能了……

超级游戏迷 - 2009-6-24 20:44:00

按2楼说的提供日志SRENG附件……

小咚东 - 2009-6-24 20:59:00

附件: SREngLOG.log

夲號ヱ被ジ盜 - 2009-6-24 21:01:00

映像劫持清除管理工具

附件: 映像劫持清除管理以及修复工具.rar (2009-2-19 8:38:18, 420.90 K)
清除后
打开你的安全软件

小咚东 - 2009-6-24 21:10:00

点过恢复默认设置了
也用过IFEO映像劫持修复程序.exe了
再扫描还是这样

baohe - 2009-6-24 21:15:00

此毒是感染性病毒。
手工查杀可参考这个帖子：http://bbs.ikaka.com/showtopic-8632960.aspx

夲號ヱ被ジ盜 - 2009-6-24 21:18:00

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
用这东西看看能杀出什么【不是卡巴，放心】
安装后全打钩点Scan开始
扫描窗口右下角有个处理所有【英文】
点他
有3个可以选择
1、清除Remove
2、删除Delete
3、跳过Skip

稀饭与包子 - 2009-6-24 21:25:00

楼主去安全模式下试一下15L说的工具我在正常模式下删除注册表项提示权限不够.

夲號ヱ被ジ盜 - 2009-6-24 21:28:00

引用:

原帖由 稀饭与包子 于 2009-6-24 21:25:00 发表
楼主去安全模式下试一下15L说的工具我在正常模式下删除注册表项提示权限不够.

不行
看那帖子了
感染型:kaka7:
别的感染的EXE一运行接着Image Ex。。。。。

稀饭与包子 - 2009-6-24 21:33:00

我收到楼主发的样本后先用瑞星发现没事就直接点击然后目前能删的都删了
等下我给你看下我的两个扫描

稀饭与包子 - 2009-6-24 21:36:00

上面的是中毒后
下面的是试着杀了之后

附件: SREngLOG手工之前.log

附件: SREngLOG之后.log

夲號ヱ被ジ盜 - 2009-6-24 21:41:00

到底是否有感染其他分区文件的行为呢？

稀饭与包子 - 2009-6-24 21:46:00

不知道。。我点了之后发现在D盘释放了一个类似conime.exe的文件后就手工删除掉了可能这个文件会感染其他分区的文件

稀饭与包子 - 2009-6-24 21:49:00

引用:

原帖由 baohe 于 2009-6-24 21:15:00 发表
此毒是感染性病毒。
手工查杀可参考这个帖子：http://bbs.ikaka.com/showtopic-8632960.aspx

好像还会在服务项中插入线程还是什么的...我不太懂...感觉有异常就把这两个禁止了
[HID Input Service / HidServ][Stopped/Disabled]
<C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
[NVIDIA Display Driver Service / NVSvc][Stopped/Disabled]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>

小咚东 - 2009-6-24 21:53:00

请问几位大侠:kaka4:
能否用SREng清除被劫持的镜像
为什么我在进程里能能看到瑞星
而在通知区域看不到瑞星小伞和卡卡圈圈

再帮看看SREng日志有多少不正常的地方

附件: SREngLOG.log

稀饭与包子 - 2009-6-24 22:07:00

please wait me .正在看

稀饭与包子 - 2009-6-24 22:19:00

重启开机时按住F8 选择安全模式启动
开始》运行输入 regedit.exe 确认
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
进入Image File Execution Options 目录下能删的都删掉
开始》程序》瑞星杀毒软件/瑞星个人防火墙修复
重启
应该就没了可能还残留一些但我已经看不出来了...
另外如果OK了请把标题改成[已解决]

小咚东 - 2009-6-24 23:14:00

:kaka4: 还是不行
瑞星小伞没出现
SREng扫描镜像劫持依然存在

稀饭与包子 - 2009-6-24 23:57:00

麻烦再扫一下！拜托了！

瑞星卡卡安全论坛