lutan.exe这个病毒杀了又出来，一直杀个不停 bbs.ikaka.com

为lutan而来 - 2011-11-9 15:39:00

电脑开始由于右下角的喇叭不见了，之后按照网上的方法做了还是不行，查毒结果发现一直在删除lutan.exe这个程序，杀完又出来，出来又继续杀，瑞星能把这个病毒测底杀掉吗，哪位大虾能讲讲这个病毒反复查杀不净的原理

附件: lutan.rar (2011-11-9 17:07:19, 1121.05 K)
该附件被下载次数 359

附件: 1.rar (2011-11-9 17:20:08, 586.35 K)
该附件被下载次数 320

附件: 2.rar (2011-11-9 17:20:08, 586.34 K)
该附件被下载次数 352

附件: 3.rar (2011-11-9 17:20:08, 1206.50 K)
该附件被下载次数 321

扫描结果很慢，出来我就传上来

日志

附件: SREngLOG.log (2011-11-9 17:20:08, 288.66 K)
该附件被下载次数 257

在一个文件夹里找到了

附件: krnln.rar (2011-11-9 17:50:08, 404.66 K)
该附件被下载次数 362

不知道这个扫描的有没有用

附件: GetSystemInfo_PC-FG_Administrator_2011_11_09_18_15_33.zip (2011-11-9 18:18:54, 186.97 K)
该附件被下载次数 438

附件: IAAnotif.rar (2011-11-9 18:46:55, 6.99 K)
该附件被下载次数 311

用户系统信息：Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; okhy10.05254; .NET CLR 2.0.50727)

networkedition - 2011-11-9 15:49:00

lutan.exe压缩发来。
下载sreng工具扫描日志一并发来。
http://www.kztechs.com/sreng/download.html

networkedition - 2011-11-9 17:13:00

扫描日志时取消windows更新，这样能快点。

为lutan而来 - 2011-11-9 17:21:00

扫描出来了，而且也上传了几个跟病毒文件一起产生的文件

networkedition - 2011-11-9 17:29:00

c:\program files\common files\krnln.fnr 找到压缩发来。

为lutan而来 - 2011-11-9 17:44:00

这个文件刚才查杀删了，重启电脑也没有

为lutan而来 - 2011-11-9 17:46:00

实在杀不掉那我只能重装系统了

为lutan而来 - 2011-11-9 17:48:00

加我QQ：499297913 帮我弄下:default71:

天月来了 - 2011-11-9 18:28:00

任务管理器内结束下面进程：
C:\Program Files\Common Files\CTHELPER.EXE

然后
这里下载费尔木马强力清除助手,点选“抑制文件再生”删除下面文件。
附件: 费尔.rar(内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

删除：
C:\PROGRA~1\COMMON~1\Microsoft\CTHELPER.EXE
C:\WINDOWS\system32\Systray.exe
C:\Program Files\Common Files\CTHELPER.EXE

不论删除结果如何立即重启电脑，看情况如何。

C:\Program Files\OpenAL\Iaanotif.exe文件压缩发来看看呢

天月来了 - 2011-11-9 18:30:00

你发的文件中

Storeymyadmin.exe这个文件在哪找出来的呢？

为lutan而来 - 2011-11-9 18:37:00

这个是在卡巴的一个论坛上搜怎么清楚这个病毒，收可以扫描下然后我就照做了不知道有没有用

为lutan而来 - 2011-11-9 18:48:00

传上来了，帮忙看下

天月来了 - 2011-11-9 18:53:00

C:\Program Files\OpenAL\Iaanotif.exe文件也不正常，也用费尔木马抑制再生删除

为lutan而来 - 2011-11-9 19:37:00

看样子我只能重做系统了，瑞星也没用

天月来了 - 2011-11-9 19:48:00

你意思是抑制再生删除后，没有用？？

networkedition - 2011-11-10 9:32:00

lz提供的样本已收集反馈。

networkedition - 2011-11-10 9:56:00

经分析：krnln.rar 3.rar 样本不是病毒。

networkedition - 2011-11-10 14:22:00

奇缘の随风 - 2011-11-10 20:56:00

删除下面目标路径内的相关文件

2011-11-10 20:49:19 创建文件允许
进程: c:\documents and settings\administrator\桌面\lutan.exe
目标: C:\Program Files\Common Files\Microsoft\Storeymyadmin.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2011-11-10 20:49:21 创建文件允许
进程: c:\documents and settings\administrator\桌面\lutan.exe
目标: C:\Program Files\Common Files\Microsoft\krnln.fnr
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:49:22 创建文件允许
进程: c:\documents and settings\administrator\桌面\lutan.exe
目标: C:\Program Files\Common Files\Microsoft\com.run
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:49:25 修改文件允许
进程: c:\documents and settings\administrator\桌面\lutan.exe
目标: C:\Program Files\Common Files\Microsoft\Storeymyadmin.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2011-11-10 20:49:27 创建文件允许
进程: c:\documents and settings\administrator\桌面\lutan.exe
目标: C:\Program Files\Common Files\Microsoft\CTHELPER.EXE
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2011-11-10 20:49:30 创建文件允许
进程: c:\documents and settings\administrator\桌面\lutan.exe
目标: C:\Program Files\Common Files\Storeymyadmin.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2011-11-10 20:49:32 创建文件允许
进程: c:\documents and settings\administrator\桌面\lutan.exe
目标: C:\Program Files\Common Files\krnln.fnr
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:49:33 创建文件允许
进程: c:\documents and settings\administrator\桌面\lutan.exe
目标: C:\Program Files\Common Files\com.run
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:49:35 修改文件允许
进程: c:\documents and settings\administrator\桌面\lutan.exe
目标: C:\Program Files\Common Files\Storeymyadmin.exe
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2011-11-10 20:49:36 创建文件允许
进程: c:\documents and settings\administrator\桌面\lutan.exe
目标: C:\Program Files\Common Files\CTHELPER.EXE
规则: [应用程序组]『询问』病毒测试 -> [文件组]全局高危文件

2011-11-10 20:49:43 创建新进程允许
进程: c:\documents and settings\administrator\桌面\lutan.exe
目标: c:\program files\common files\cthelper.exe
命令行: "C:\Program Files\Common Files\CTHELPER.EXE"
规则: [应用程序组]『询问』病毒测试

2011-11-10 20:49:49 结束其他进程允许
进程: c:\documents and settings\administrator\桌面\lutan.exe
目标: c:\program files\common files\cthelper.exe
规则: [应用程序组]『询问』病毒测试

2011-11-10 20:50:39 加载动态链接库允许
进程: c:\program files\common files\cthelper.exe
目标: c:\program files\common files\krnln.fnr
规则: [应用程序]* -> [动态链接库]*\*.fnr

2011-11-10 20:50:42 修改文件允许
进程: c:\program files\common files\cthelper.exe
目标: \Device\NamedPipe\b4feb4d5-3364-403d-b4c8-c21214a610a3
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:50:44 创建文件夹允许
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\res
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:50:45 创建文件允许
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\res\tc1.tmp
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:50:47 创建文件允许
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\res\tc2.tmp
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:50:48 创建文件允许
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\res\tc3.tmp
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:50:54 创建文件允许
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\res\tc4.tmp
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:50:55 创建文件允许
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\mi.g
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:50:57 创建文件允许
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\pps.tv
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:51:03 设置文件隐藏属性阻止
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\pps.tv
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:51:33 创建文件允许
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\Microsoft\cVer.ini
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:51:34 修改文件允许
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\Microsoft\cVer.ini
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:51:35 修改文件允许
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\Microsoft\cVer.ini
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:51:36 修改文件允许
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\Microsoft\cVer.ini
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:51:41 修改注册表值允许
进程: c:\program files\common files\cthelper.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
值: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-11-10 20:51:43 修改文件允许
进程: c:\program files\common files\cthelper.exe
目标: \Device\NamedPipe\ROUTER
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:51:45 修改文件允许
进程: c:\program files\common files\cthelper.exe
目标: \Device\NamedPipe\lsarpc
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:51:48 修改文件允许
进程: c:\program files\common files\cthelper.exe
目标: C:\WINDOWS\Debug\UserMode\userenv.log
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:51:51 修改注册表值允许
进程: c:\program files\common files\cthelper.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Common AppData
值: C:\Documents and Settings\All Users\Application Data
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-11-10 20:51:55 修改注册表值允许
进程: c:\program files\common files\cthelper.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyEnable
值: 0x00000000(0)
规则: [应用程序组]『询问』病毒测试 -> [注册表]*

2011-11-10 20:51:58 访问网络允许
进程: c:\program files\common files\cthelper.exe
目标: TCP [本机 : 3202] -> [218.6.8.115 : 80 (http)]
规则: [应用程序组]『询问』病毒测试 -> [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-11-10 20:52:03 修改文件允许
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\Microsoft\cVer.ini
规则: [应用程序组]『询问』病毒测试 -> [文件]*

2011-11-10 20:52:04 修改文件允许
进程: c:\program files\common files\cthelper.exe
目标: C:\Program Files\Common Files\Microsoft\cVer.ini
规则: [应用程序组]『询问』病毒测试 -> [文件]*

瑞星卡卡安全论坛