瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 昨天中了Trojan.Win32.Generic.1285B20C,不知道清理好了吗
疾風のしずく - 2011-4-18 20:36:00
昨天早上中了Trojan.Win32.Generic.1285B20C病毒,在C盘里有个~.exe名称的文件。
瑞星杀毒软件查杀了,但之后(昨晚和今早)机子却老是死机,怀疑还有余毒未清!
请求大虾们帮忙看看刚扫描的日志~看看我机子里还有病毒吗,非常感谢了!!!
PS:总是觉得还有病毒清除不掉,纠结啊~希望能早点消除疑虑、舒心上网~

以下是瑞星杀毒时的报告截图和SREng日志:



先谢谢各位大虾了~!


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13

附件: SREngLOG.log
疾風のしずく - 2011-4-18 21:03:00
补充:用Windows清理助手也没查出来
快来救命啊啊 - 2011-4-18 21:14:00
删除启动项目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    <WinlogonNotify: crypt32chain><crypt32.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
    <WinlogonNotify: cryptnet><cryptnet.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
    <WinlogonNotify: cscdll><cscdll.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
    <WinlogonNotify: dimsntfy><%SystemRoot%\System32\dimsntfy.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
    <WinlogonNotify: ScCertProp><wlnotify.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
    <WinlogonNotify: Schedule><wlnotify.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
    <WinlogonNotify: sclgntfy><sclgntfy.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
    <WinlogonNotify: SensLogn><WlNotify.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
    <WinlogonNotify: termsrv><wlnotify.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    <WinlogonNotify: wlballoon><wlnotify.dll>  [(Verified)Microsoft Windows Component Publisher]

修复文件关联
.TXT  Error. [C:\WINDOWS\notepad.exe %1]
.CHM  Error. ["hh.exe" %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]

[C:\WINDOWS\system32\CNMLM9X.DLL] [CANON INC., 2.30.2.10] 这个是什么?
疾風のしずく - 2011-4-18 21:17:00
[C:\WINDOWS\system32\CNMLM9X.DLL] [CANON INC., 2.30.2.10] 这个是什么?

CANON 这个应该是佳能的驱动,我机子连接了一台一体机

求具体操作
疾風のしずく - 2011-4-18 21:26:00
修复文件关联后的新日志、请大虾看看还有哪儿有问题吖~感谢!!!

.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

附件: SREngLOG1.log
疾風のしずく - 2011-4-18 21:32:00
删除启动项目:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
    <WinlogonNotify: crypt32chain><crypt32.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
    <WinlogonNotify: cryptnet><cryptnet.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
    <WinlogonNotify: cscdll><cscdll.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
    <WinlogonNotify: dimsntfy><%SystemRoot%\System32\dimsntfy.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
    <WinlogonNotify: ScCertProp><wlnotify.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
    <WinlogonNotify: Schedule><wlnotify.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
    <WinlogonNotify: sclgntfy><sclgntfy.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
    <WinlogonNotify: SensLogn><WlNotify.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
    <WinlogonNotify: termsrv><wlnotify.dll>  [(Verified)Microsoft Windows Component Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
    <WinlogonNotify: wlballoon><wlnotify.dll>  [(Verified)Microsoft Windows Component Publisher]

在注册表中米有找到啊
疾風のしずく - 2011-4-18 21:37:00
发现D盘有这些文件,是什么,可以删除吗,有338M。跟病毒有关吗~
快来救命啊啊 - 2011-4-18 21:44:00
sreng2里的启动项目-注册表..
疾風のしずく - 2011-4-18 22:14:00
那些没敢删除,是不是系统文件啊~都在C:\WINDOWS\system32这里的。
:kaka4:
networkedition - 2011-4-19 10:08:00
日志未异常,lz可以将杀毒软件升级到最新版再做一次全盘杀毒。
byxxdrls - 2011-4-19 12:56:00
将这个病毒文件发上来。
疾風のしずく - 2011-4-19 19:34:00
(1)~.exe文件已经被清除了,可是开机老是不对劲
用SReng2.8.4.1331扫描的日志里文件关联以下总是开机就错误(只能看懂这些)
文件关联
.TXT  Error. [C:\WINDOWS\notepad.exe %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  Error. ["hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  Error. [C:\WINDOWS\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

(2)还有我勾选了SReng2.8.4.1331中“将可以文件复制到SuspiciousFiles里”



得到类似下图的可疑文件(好几个文件夹的):



以及附上我刚刚扫描的日志。

每次开机(或重启)总有问题,病毒为什么清不掉,在安全模式下也扫了的,怎样才能清除Trojan.Win32.Generic.1285B20C顽固木马啊~感谢啊!高手们请解答。
已经两天了,耽误我好多时间都没弄好,在线急等待。
ps:有什么专杀工具也可以的,我自己下载的网上流传的专杀工具,下下来老是带着病毒。所以如果用专杀工具可以麻烦传给我嘛~万分感谢!!!

附件: 2011年4月19日19.27.01.log
networkedition - 2011-4-20 9:29:00
点击开始——所有程序——瑞星杀毒软件——工具——瑞星病毒隔离区,在这里找到~.exe右键恢复为,将此文件恢复到桌面压缩跟帖上传。恢复时,暂时禁用所有防护。清除之后重启电脑再杀还有嘛:kaka2: 是反复查杀都有嘛?
疾風のしずく - 2011-4-20 21:42:00
反复查杀倒是没有重复出现Trojan.Win32.Generic.1285B20C了,倒是出现了其他病毒,应该是这个木马从网上自己下载的吧。
我下载了以下四个工具查杀、扫描:
360安全卫士
360杀毒
360系统急救箱
贝壳木马专杀

只有360杀毒查杀出了病毒,以下图所示的:






进了安全模式和正常模式都杀了毒,现在没有一个软件可以查杀出来了,是不是代表没毒了。但是又有新问题了,
杀毒软件杀毒速度很慢,其他的杀毒工具都慢的要死,看看截图:








都是4个多小时还没杀完啊~是不是哪里还有遗留问题呢?谢谢各位回答小妹问题,万分感谢,已折腾三天了,感激不尽啊!!!!

附上最后一次重启后的任务管理器截图和SReng最后次的日志:





任务管理器和日志里有没有可疑的项目,还有机子里面没病毒了吗,可以安心上网吗~




附件: 2011年4月20日21.31.53.log
byxxdrls - 2011-4-20 22:01:00
360误报sreng?
疾風のしずく - 2011-4-20 22:04:00
关键不是这个,是还有病毒没清吗,日志和开机进程都OK吗~感谢!!!

进程里那个zhudongfangyu.exe是什么软件的啊,可疑吗?
超级游戏迷 - 2011-4-20 22:09:00
“主动防御”四个汉字的汉语拼音。

360的东西
疾風のしずく - 2011-4-20 22:16:00
那是不是我机子上病毒已经清除完成了,米有了~谢谢!!!
疾風のしずく - 2011-4-20 22:44:00
又用SnipeSword和VeryFunny扫描工具扫了日志上来,帮忙看看吧~谢谢各位了!!!

附件: SystemLog.txt

附件: VFLog.txt
networkedition - 2011-4-21 9:47:00
日志未见异常了。
疾風のしずく - 2011-4-21 20:42:00
哦~感谢感谢!!!偶也觉得米有什么异常感觉了,应该是无毒了~^_^
1
查看完整版本: 昨天中了Trojan.Win32.Generic.1285B20C,不知道清理好了吗
© 2000 - 2024 Rising Corp. Ltd.