瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 瑞星监测每天都杀到setpoint.exe和phr.exe

12   2  /  2  页   跳转

瑞星监测每天都杀到setpoint.exe和phr.exe

收藏
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-10-25 19:06 | 短消息 资料
字号: 11楼

引用:
【苕人的贴子】重启后没有在WINDOWS\SYSTEM32下找到这个两个文件(文件查看项已设成显示隐藏文件和显示系统文件了)

为了安全起见我开着监控,但是把文件监控设置成了杀毒不成功后忽略.
等再提示发现病毒后,我再去找这两个程序文件复制压缩打包行吗?
...........................


找的到就行了.

安全模式下杀一下看看是否杀的干净.
gototop
 
苕人
头像
初生襁褓狮
  • 帖子:48
  • 注册: 2005-10-25
  • 来自:
发表于: 2005-10-25 20:56 | 只看楼主 短消息 资料
字号: 12楼

压缩包已寄上,请杳收.谢谢.

我是在安全模式下从隔离系统中还原到桌面后压缩加密的.还原后文件已经删除了.
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-10-25 21:35 | 短消息 资料
字号: 13楼

【回复“苕人”的帖子】
未收到
rsvirus@163.com
gototop
 
苕人
头像
初生襁褓狮
  • 帖子:48
  • 注册: 2005-10-25
  • 来自:
发表于: 2005-10-25 23:06 | 只看楼主 短消息 资料
字号: 14楼

重发了,升级发现一个新病毒,一并附上.
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-10-26 14:04 | 短消息 资料
字号: 15楼

样本收到.

晚上来回复.
gototop
 
苕人
头像
初生襁褓狮
  • 帖子:48
  • 注册: 2005-10-25
  • 来自:
发表于: 2005-10-26 16:38 | 只看楼主 短消息 资料
字号: 16楼

谢谢了,刚才PHR.EXE又出来了一次。
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-10-26 17:07 | 短消息 资料
字号: 17楼

【回复“苕人”的帖子】
压缩包内有3个样本。请听我一一道来。

第一个:phr.exe
表面上是一个安装程序,其实是一个后门,一运行就连接网络。
清除方法:开打任务管理器终止进程msupdate32.exe

显示所有文件找到%System32%\msupdate32.exe删除
清空%Windows%\temp\目录下所有文件

打开注册表,找到以下:
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\temp\
删除"istinstall_157890.exe"="istinstall_157890"
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\WINDOWS\temp\
删除"phr.exe"="phr"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除"microsft Updates"="msupdate32.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除"microsft Updates"="msupdate32.exe"

-------------
第二个:setpoint.exe
清除方法:打开任务管理器终止进程setpoint.exe

显示所有文件找到%System32%\setpoint.exe删除

打开开注册表,找到以下:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除"SetPoint"="SetPoint.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除"SetPoint"="SetPoint.exe"

---------------
第三个:slsys.exe
这个木马有点BT,麻烦,我简略一些.
清除方法:打开任务管理器终止进程slsys.exe

显示所有文件找到%System32%\slsys.exe删除

打开注册表,找到以下:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
删除"Windows Update 32"="slsys.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\
删除"Windows Update 32"="slsys.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
删除"Windows Update 32"="slsys.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\
删除"Windows Update 32"="slsys.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
删除"Windows Update 32"="slsys.exe"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run\
删除"Windows Update 32"="slsys.exe"
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce\
删除"Windows Update 32"="slsys.exe"
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\
删除"Windows Update 32"="slsys.exe"
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunOnce\
删除"Windows Update 32"="slsys.exe"

--------------------
清除完病毒之后如有打开系统还原请关闭后打开即可。
速到Windows Update打全补丁。
gototop
 
苕人
头像
初生襁褓狮
  • 帖子:48
  • 注册: 2005-10-25
  • 来自:
发表于: 2005-10-27 01:17 | 只看楼主 短消息 资料
字号: 18楼

谢了,我试试,这些我还会.
gototop
 
苕人
头像
初生襁褓狮
  • 帖子:48
  • 注册: 2005-10-25
  • 来自:
发表于: 2005-10-27 02:08 | 只看楼主 短消息 资料
字号: 19楼

呵呵,无论是正常模式还是安全模式,进程\SYSTEM32目录\注册表中,都没有发现它们的影子.

唯独因为在搜索引敬中搜索过,所以在注册表的相应项值中存在这些历史记录,我想应该是彻底没有了.

可能因为我的杀毒软件和WINDOWS更新全部打上了的缘故吧.如果明天不再出现,那就应该是OK了.\浪费了大侠许多宝贵时间,真是不好意思.费心了..
gototop
 
苕人
头像
初生襁褓狮
  • 帖子:48
  • 注册: 2005-10-25
  • 来自:
发表于: 2005-10-27 03:14 | 只看楼主 短消息 资料
字号: 20楼

引用:
【如果有来生的贴子】升级病毒库,安全模式杀毒 删除感染文件
另打好操作系统补丁,最好打上 sp2
...........................


向大哥请教一下:
我的版本是XP SP1 我从瑞星漏洞扫描中下载SP2补丁包时,它需要打开那个网页。到网页,它显示的是自动更新。我选了手动下载SP2包,还是显示自动更新, 我又点了更新安装程序。 也不知道它是打上了还是没有打上。这是一个问题。

再就是,如果打上了SP2补丁后,我的XP会不会变成SP2版本呢?我看了下我的电脑属性,仍然显示为SP1 版本呀。。
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT