09kaka - 2010-7-29 17:22:00
问问转的 "2008.exe杀掉之后重启还会有,重装系统也不行,还会自动下载别的病毒,不知道怎么就感染了! "
那上面不能发日志
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.1.10) Gecko/20100504 Firefox/3.5.10附件:
SREngLOG450.log
哥们郁闷啊 - 2010-7-29 17:29:00
日志啊~~~~~~~~~
看不懂 :kaka6:
帅哥坐车不用票 - 2010-7-29 17:44:00
c:\windows\system32\npkycryp.sys
c:\windows\system32\npkcrypt.sys
启动项目 -- 服务-- 驱动程序之如下项禁用:
[npkycryp / npkycryp] <\??\C:\WINDOWS\system32\npkycryp.sys>
[npkcrypt / npkcrypt] <\??\C:\WINDOWS\system32\npkcrypt.sys>
这个是很老很老的qq才有的文件,或许被伪造了
:kaka6: 日志实在头疼,看不太明白
天月来了 - 2010-7-29 17:46:00
2008.exe杀掉之后重启还会有,重装系统也不行,还会自动下载别的病毒:kaka6:
感染型病毒,重装系统后,必然又使用了其他盘的原保存的什么文件或程序了。
09kaka - 2010-7-29 17:47:00
让他把C:\WINDOWS\system32\userinit.exe 用多引擎扫描
瑞星很争气 哈哈
Rising 21.52.34.00 2009.10.22 Trojan.Win32.Nodef.abn
09kaka - 2010-7-29 17:48:00
怎么办:kaka11:
baohe - 2010-7-29 17:48:00
原帖由 09kaka 于 2010-7-29 17:22:00 发表
问问转的 "2008.exe杀掉之后重启还会有,重装系统也不行,还会自动下载别的病毒,不知道怎么就感染了! "
那上面不能发日志
用户系统信息:Mozilla/5.0 (Windows; ......
系统程序userinit.exe被替换了:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINDOWS\system32\userinit.exe,> []
360的驱动不知所踪:
[360FkAdv / 360FkAdv][Running/]
<2 - 系统找不到指定的文件。
一对莫名其妙的浏览器加载项:
{548BF84E-9665-47f9-B635-7380F8943E90} <, >
[hao123网址]
{6096E38F-5AC1-4391-8EC4-75DFA92FB32F} http://www.hao123.cn/?xf]http://www.hao123.cn/?xf[/url], N/A>
[GOOGLE搜索]
{6816999E-B715-44B4-8DEF-A796D53C45DD} http://www.11k2.cn/google/?ie]http://www.11k2.cn/google/?ie[/url], N/A>
[小游戏]
{998A88A0-A355-809B-831C-B83A80000991} http://www.ugege.com/]http://www.ugege.com/[/url], N/A>
[百度搜索]
{C7374464-48C2-4ED6-9E78-2AB34A852FE1} http://www.11k2.cn/baidu/?ie]http://www.11k2.cn/baidu/?ie[/url], N/A>
[7555网址导航]
{E77B97DC-FAFC-4A5F-A3C3-DB593B6421FD} http://www.vcd58.com/go1]http://www.vcd58.com/go1[/url], N/A>
[好玩小游戏]
{F5845648-371E-4D70-BF42-170215FA6616} http://www.kk126.com/?ie]http://www.kk126.com/?ie[/url], N/A>
[WebActivater Control]
{3D8F74EE-8692-4F8F-B8D2-7522E732519E} <C:\WINDOWS\system32\WEBACT~1.OCX, QQ>
不该有系统特权的程序获得系统特权:
特殊特权被允许: SeLoadDriverPrivilege [PID = 1516, C:\WINDOWS\SYSTEM32\SPOOLSV.EXE]
特殊特权被允许: SeLoadDriverPrivilege [PID = 1732, C:\WINDOWS\EXPLORER.EXE]
:kaka6:如果是我的电脑,格式化+重装。
09kaka - 2010-7-29 17:50:00
恩 360放桌面上都自动被删除
看见了 不过不知道 这些浏览器加载的 要怎么删除?
他重装了还有 难道要格所有盘:kaka7:
辛达星郁 - 2010-7-29 18:01:00
有样本吗??
上传看看,你的那个日志仅仅发现
<Userinit><C:\WINDOWS\system32\userinit.exe,> []
此文件被替换,还有就是另一点可疑,为什么进程加载了那么多的DLL文件。
还就是那些莫名其妙的浏览器加载项应该是他装得软件太多了,其中带的插件,一般windows清理助手应该可以清理掉。
帅哥坐车不用票 - 2010-7-29 18:03:00
:kaka2: 我也想知道,每个进程都被插入大量dll,之前看到几个类似的日志,但最后解决方法并没有提到这个问题
辛达星郁 - 2010-7-29 18:05:00
我还有一点疑问
对于软件签名这块儿!!
一般System Repair Engineer 2.8.2.1321的签名应该都是“[(Verified)Microsoft Windows Component Publisher]”这个样子的。
然而此日志里的都是“[Microsoft Corporation]”样子
难道该系统所有系统的文件,都已经被替换吗??:kaka5:
09kaka - 2010-7-29 18:08:00
userinit.exe查了 确实病毒
签名这个应该没问题 微软有好几版签名
辛达星郁 - 2010-7-29 18:08:00
:kaka1: 麻烦帮忙找一下样本!!
在隔离区里把样本弄出来行不:kaka18:
辛达星郁 - 2010-7-29 18:11:00
既然这样,那么是什么原因造成系统出现此问题。
感觉很奇怪的,要是有样本在就好了。
荔枝饭饭 - 2010-7-29 21:05:00
就是病毒杀掉之后重启还有啊?给他介绍强力删除软件吧,例如超级巡警暴力文件删除工具,然后再用卡卡系统修复一下,如何
© 2000 - 2025 Rising Corp. Ltd.