瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 电脑被远程控制 求助 怎么办
czpdaniu - 2010-7-25 20:25:00
今天上Q不小心接收一个文件
那个文件让我完完全全的被人远程操控···
我除了关机按钮可以直接按以外   
其他都无法操作   
用瑞星全盘查杀也无法删除
而且文件还隐藏起来了

求高手指导!!!!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 627; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)

附件: SREngLOG.log
leo108 - 2010-7-25 20:29:00
建议楼主使用System Repair Engineer扫描日志,将日志作为附件上传上来。下载页面:http://www.kztechs.com/sreng/download.html
操作方法:
1、下载后解压缩,运行SREngPS.EXE;
2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
4、选择保存路径,文件名保持默认,直接点击【保存】;
5、将“SREngLOG.log”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序.
czpdaniu - 2010-7-25 20:34:00
请帮我看看···
leo108 - 2010-7-25 20:41:00
********************************************************************
*    PLA'S Report For Your Problem [2.0.0]
*                                        All rights Reserved by Evol
********************************************************************
* 报告分析日期:2010/7/25 - 20:40:31
* 报告分析作者:leo108
* 作者邮件地址:leo108@qq.com
* 作者其他信息:
* 报告正文开始:
********************************************************************

★ 『建议您删除/关闭的服务或驱动项目』 ★
  ☆ HELP ☆

服务名【Messenger】,对应文件【C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\gvrqg.pic】
★ *********************************************** ★


★ 『建议您删除的文件』 ★
  ☆ HELP ☆1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”)或smtdel删除以下文件:(超级巡警剑盟下载 smtdel下载)

C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\gvrqg.pic
★ *********************************************** ★
czpdaniu - 2010-7-25 20:50:00
问下····要下载那个删除软件要注册  注册中的邀请码是什么···
是昔流芳 - 2010-7-25 20:56:00
超级巡警暴力文件删除工具:
http://a1.sucop.com/FileForceKiller.zip
http://a2.sucop.com/FileForceKiller.zip
http://a2.sucop.com/FileForceKiller.zip

呵呵,那个论坛也不错的:kaka12:
czpdaniu - 2010-7-25 20:59:00
恩··谢谢哈   
是不是只要删除svchost.exe这个就可以了·?
kingyan - 2010-7-25 21:02:00
楼主呀,为什么要删除svchost.exe?
kingyan - 2010-7-25 21:13:00
是否方便把qq上传过来的文件发到论坛上来?这样可以尝试运行一下看看这个文件都做了哪些操作,楼主应该装了瑞星防火墙的吧,可以只允许需要的程序访问网络,四楼的回答可以试一下,感觉可能还存在其他的问题,先试试吧。
木马bbbb - 2010-7-25 21:17:00
先按照4楼的方法删除文件,不要删除svchost.exe
czpdaniu - 2010-7-25 21:18:00
那个文件自动隐藏了··我也不知道哪里去了··
我该怎么办     
不是要把显示错误的软件杀掉吗 
5555555
登入个游戏看着他偷我东西 
我好郁闷   
该怎么弄·  教教我吧
czpdaniu - 2010-7-25 21:29:00
怎样用暴力巡警杀除gvrqg.pic文件
靠检测检测不出来··
天鹰之翼 - 2010-7-25 21:30:00
建议使用费尔木马文件删除工具删除以下文件(先上传至www.virustotal.com看看有没有毒,有的话再删除)
下载地址:http://bbs.ikaka.com/showtopic-8442813.aspx
复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,重启删除

c:\documents and settings\all users\application data\storm\update\%sessionname%\gvrqg.pic
c:\windows\system32\lt.sys


2.删除重启后使用SREng修复下面各项:

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Messenger / Messenger]    <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\gvrqg.pic>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[ltsj / ltsj]    <\??\C:\WINDOWS\system32\lt.sys>


还有,最好到相同版本的未中毒电脑上考一个winlogon.exe文件覆盖到C:\WINDOWS\system32\目录下,感觉病毒替换了winlogon.exe。


**************以上分析报告由SREngLog分析助手提供******************
分析:天鹰之翼
时间:2010-7-25
czpdaniu - 2010-7-25 21:39:00
另可错杀不可放过 
全部毙掉 
不过··
大哥 
好多要下载的,具体下载哪个删除!
荔枝饭饭 - 2010-7-25 21:42:00
楼主,等下把网断了在安全模式下全盘查杀,然后在文件夹菜单中单击工具-文件夹选项-查看-高级设置里面勾选显示隐藏文件,使用楼上所说工具删除楼主所接收的恶意文件
天鹰之翼 - 2010-7-25 21:45:00
就是那个帖子3楼里的这个东东,下下来有说明,你自己看看吧
czpdaniu - 2010-7-25 21:46:00
好的  谢谢·
jks_风 - 2010-7-25 21:54:00
********************************************************************
*    PLA'S Report For Your Problem [1.1.42]
*                                        All rights Reserved by Evol
********************************************************************
* 报告分析日期:2010-7-25 - 21:48:47
* 报告分析作者:风
* 作者邮件地址:haitianhc@qq.com
* 作者其他信息:
* 报告正文开始:
********************************************************************
★ 『建议您删除/关闭的服务或驱动项目』 ★
  ☆ HELP ☆
服务名【Messenger】,对应文件【C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\gvrqg.pic】
★ *********************************************** ★

★ 『建议您删除的文件』 ★
  ☆ HELP ☆1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”)或smtdel删除以下文件:(超级巡警剑盟下载 smtdel下载)
C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\gvrqg.pic
★ *********************************************** ★

LZ中的应该是某知名木马Gh0st的变种,此木马可能免杀瑞星的病毒库,理论上楼主在运行此程序的时候会在屏幕的左上角显示一个对话框,但是会迅速消失。

请下载Wsyscheck手动查看加载到svchost.exe中的可以dll文件或者后缀为pic的文件,卸载并删除,然后删除并删除Messenger这个服务项关联的文件
天鹰之翼 - 2010-7-25 21:58:00
这帖子里还有很多好东西,你可以看看
我是LAJI我怕谁 - 2010-7-25 21:59:00
天啊,太多学员想要毕业,回复太多了。有点乱。
czpdaniu - 2010-7-25 22:02:00
C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\gvrqg.pic
这个文件用费尔删除不掉
重启后还在
手动删除显示正在被另一个人或程序使用
jks_风 - 2010-7-25 22:11:00
算了 我看LS的电脑基础也不是很好,您还是下载个windows清理助手来清除吧,估计我写的你也看不明白。:kaka6:
czpdaniu - 2010-7-25 22:16:00
:kaka4: 我也是有千百个不愿意
天月来了 - 2010-7-25 22:16:00
再扫描个新日志看看呗

czpdaniu - 2010-7-25 22:43:00
C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\gvrqg.pic
删除掉了···
5555555555555555555
得睡觉了 
明天要上班····
明天继续搞·······
1
查看完整版本: 电脑被远程控制 求助 怎么办
© 2000 - 2025 Rising Corp. Ltd.