瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » Windows 2003 服务器重启就还原C盘的病毒
FCOME - 2013-6-15 22:17:00
一台windows2003 sp2的服务器,中毒了。采取了很多办法都没有搞定,特来求助。
系统的症状如下:
1.只要重启系统就自动还原重启之前的系统,由于该问题导致删除病毒后只要重启就白费;
2.如果运行一个安全软件 如xuetr,系统就会弹出一个提示框,提示是否加载xuetr的驱动;
3.用杀软查杀报告有犇牛病毒;

已经使用的方法:
1.采用各种急救箱进行查杀,查到很多病毒,提示重启,重启后症状如故;
2.采用手动杀掉了跟杀软杀掉的软件一样的文件和服务器,重启还是不行;
3.采用xuetr检测mbr报告没有问题;
4.采用diskgren修复了mbr文件;

这个机器上有 Oracel/Apache/QQ拼音/QQ软件/360杀毒/360安全卫士/360浏览器/.
现在定位问题的文件有:
  C:\WINDOWS\help\scvhost.exe
  C:\WINDOWS\wordsa.exe
  C:\WINDOWS\system32\rgfxse.exe
  C:\WINDOWS\Debug\svchost.exe
  C:\WINDOWS\System32\Mybfipwon.psd
  C:\WINDOWS\system32\wininitc.exe
 
现在的问题是 只要把对应的文件和服务删除后,重启机器就还原。



下面是服务器的sreng2日志,请各位帮忙给看看。今天搞了一天,也没搞定这个还原的功能,请各位给提提意见,能给出解决方案~~~再次表示感谢~~


解决方案如下:



引用:
已经解决了,解决方案为:
1.采用 wowoxxx 的 http://bbs.360safe.com/thread-69586-1-1.html该工具进行驱动卸载;
2.重启系统用急救箱扫描杀毒,然后重启系统;
3.重启后蓝屏的解决方案是在注册表里搜索 windows test那个注册表项目,然后根据sreng2日志的删除多余的注册表项即可。

感谢by/天月/kongzi等各位的热情帮助~~~


用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.2; WOW64; Trident/6.0; .NET4.0E; .NET4.0C; .NET CLR 3.5.30729; .NET CLR 2.0.50727; .NET CLR 3.0.30729; Media Center PC 6.0; LBBROWSER)

附件: sreng2.txt
天月来了 - 2013-6-16 7:29:00
是原本就有还原呢?

还是中毒后才有还原??

一堆360软件在那,没能帮你护住这服务器?
FCOME - 2013-6-16 14:40:00


引用:
原帖由 天月来了 于 2013-6-16 7:29:00 发表
是原本就有还原呢?

还是中毒后才有还原??

一堆360软件在那,没能帮你护住这服务器?


是中毒后才有的还原,中毒之前没有。并且C盘变成了这个图标

我删除了这些文件:

:\windows\wordsa.exe
c:\windows\debug\svchost.exe
c:\windows\system32\rgfxse.exe
c:\windows\system32\mybfipwon.psd
c:\windows\system32\black.dll
c:\windows\system32\wininitc.exe
c:\windows\help\scvhost.exe
c:\windows\system32\svchost.exe -k imgsvc-->c:\windows\system32\mybfipwon.psd
c:\windows\system32\drivers\passthru.sys
c:\windows\system32\drivers\passthru.sys




还有这些服务

Windows Test hjkhfhtyu
System Service Endos
Network DAB DAAM Service
Cbnxfu oaamdq
Agygay qagkaq
UmYdL
Passthru
PassthruMP


注册表删除了如下:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"IMJMIG7.1"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\]
"Debugger"="egomoo.exe"


各位帮忙看看,这机器还能怎么让他停止还原呢~~~~,停止还原了 病毒就好办了
这个机器的mbr我备份了下:

附件: mbr_20130615161902.rar (2013-6-16 14:40:03, 521 B)
该附件被下载次数 588



其中一个文件

附件: Mybfipwon.zip (2013-6-16 14:52:49, 94.58 K)
该附件被下载次数 605

天月来了 - 2013-6-16 15:14:00
我联系不到工程师呢

得星期一才能有人了
FCOME - 2013-6-16 20:48:00
好的。谢谢天月~~~
networkedition - 2013-6-17 9:40:00
将QQ号通过站内短消息发送给我,远程看一下。
天月来了 - 2013-6-17 9:58:00
这个已经确定是病毒自带NTFS磁盘还原的驱动加载后恶搞了

这玩意病毒也玩这个保护自身了:kaka6: :kaka11:
1
查看完整版本: Windows 2003 服务器重启就还原C盘的病毒