瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】清杀了威金,但是一运行给感染过的.exe文件后又发作。

1234   3  /  4  页   跳转

【求助】清杀了威金,但是一运行给感染过的.exe文件后又发作。

收藏
tongtree
头像
快乐黄口狮
  • 帖子:202
  • 注册: 2007-04-17
  • 来自:
发表于: 2007-06-18 10:26 | 只看楼主 短消息 资料
字号: 21楼

不过
[C:\WINDOWS\system32\zwgfx.dll] [N/A, N/A]
[C:\WINDOWS\system32\wuhdd.dll] [N/A, N/A]
[C:\WINDOWS\system32\htysx.dll] [N/A, N/A]
[C:\WINDOWS\system32\wtfsm.dll] [N/A, N/A]
[C:\WINDOWS\system32\weftl.dll] [N/A, N/A]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
这几个都找不到我删了,但是不知道扫出来怎么还有
gototop
 
湘m浪子
头像
自信弱冠狮
  • 帖子:307
  • 注册: 2007-04-08
  • 来自:
发表于: 2007-06-18 11:23 | 短消息 资料
字号: 22楼

唉,我有一个同事和楼主遇到了同一个问题(症状:CPU百分百使用,整个公司的网络瘫痪),进入安全模式把SREng扫描出来的病毒都给清了(我以为搞定了),后来过了一个多小时公司的网络又瘫痪了,我以为是别的电脑中了毒,后来就没理了,公司叫来电脑公司的人检察,搞了半天才发现原来还是我那个同事的电脑中了毒,我当时晕了,我清理过以后用SREng扫描没问题,怎么又会中毒? 问那个同事有没有上网,同事说没有。后来电脑公司的人重装了一个系统,本来想搞个样本的,都没机会了。

我怀疑临时文件夹有个exe文件,我们双击进去的时候看不到,所以清空了临时文件夹也没有用,要用WinRAR进去才看的到,楼主不防试试
gototop
 
湘m浪子
头像
自信弱冠狮
  • 帖子:307
  • 注册: 2007-04-08
  • 来自:
发表于: 2007-06-18 11:26 | 短消息 资料
字号: 23楼

顶下
gototop
 
HOSTのS
头像
飘泊而立狮
  • 帖子:784
  • 注册: 2007-06-10
  • 来自:
发表于: 2007-06-18 11:28 | 短消息 资料
字号: 24楼

引用:
【湘m浪子的贴子】
引用:
【tongtree的贴子】不过
[C:\WINDOWS\system32\zwgfx.dll] [N/A, N/A]
[C:\WINDOWS\system32\wuhdd.dll] [N/A, N/A]
[C:\WINDOWS\system32\htysx.dll] [N/A, N/A]
[C:\WINDOWS\system32\wtfsm.dll] [N/A, N/A]
[C:\WINDOWS\system32\weftl.dll] [N/A, N/A]
[C:\WINDOWS\system32\windhcp.ocx] [N/A, N/A]
这几个都找不到我删了,但是不知道扫出来怎么还有
………………



用IceSword手工杀毒。

咋看的?  请教一下

1、禁止进程创建。
2、结束下列进程(已被病毒模块插入):
[PID: 1720][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180(xpsp_sp2_rtm.040803-2158)]
[PID: 1920][c:\program files\rising\rfw\RfwMain.exe] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 70]
[PID: 200][C:\Program Files\Rising\AntiSpyware\runiep.exe] [Beijing Rising Technology Co., Ltd., 1, 0, 1, 6]
[PID: 400][C:\Program Files\Common Files\Real\Update_OB\realsched.exe] [RealNetworks, Inc., 0.1.0.3427]
[PID: 408][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 880][C:\WINDOWS\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2844][C:\Program Files\QQ2005\TIMPlatform.exe] [tencent, 0, 3, 1, 8]
[PID: 3908][C:\Program Files\WinRAR\WinRAR.exe] [N/A, ]
[PID: 3720][C:\DOCUME~1\new\LOCALS~1\Temp\Rar$EX00.594\SREng.EXE] [Smallfrogs Studio, 2.4.12.806]
3、删除下列文件:
C:\WINDOWS\system32\msacn.dll
C:\WINDOWS\system32\wscsv.dll
C:\WINDOWS\system32\wgptl.dll
C:\WINDOWS\system32\wgptl.dll
C:\WINDOWS\system32\wtrmm.dll
C:\WINDOWS\system32\hreax.dll
C:\WINDOWS\system32\msacn.dll
4、删除下列注册表项:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}><C:\WINDOWS\system32\msacn.dll> []
5、取消IceSword的“禁止进程创建”。

………………
gototop
 
tongtree
头像
快乐黄口狮
  • 帖子:202
  • 注册: 2007-04-17
  • 来自:
发表于: 2007-06-18 11:30 | 只看楼主 短消息 资料
字号: 25楼

PID: 1720][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180(xpsp_sp2_rtm.040803-2158)]
[PID: 1920][c:\program files\rising\rfw\RfwMain.exe] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 70]
[PID: 200][C:\Program Files\Rising\AntiSpyware\runiep.exe] [Beijing Rising Technology Co., Ltd., 1, 0, 1, 6]
[PID: 400][C:\Program Files\Common Files\Real\Update_OB\realsched.exe] [RealNetworks, Inc., 0.1.0.3427]
[PID: 408][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 880][C:\WINDOWS\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2844][C:\Program Files\QQ2005\TIMPlatform.exe] [tencent, 0, 3, 1, 8]
[PID: 3908][C:\Program Files\WinRAR\WinRAR.exe] [N/A, ]

何以见得这些给感染了?
我已经把系统还原了,把受感染的程序也都删了。
看看还会不会中毒。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-06-18 12:02 | 短消息 资料
字号: 26楼

你又扫出这些,我估计你没将所要用的一切工具放在Windows文件夹里。

这毒只有Windows文件夹是唯一能躲过的。

至于其他的所有文件,都得下载大量的专杀,狂杀一气。
gototop
 
湘m浪子
头像
自信弱冠狮
  • 帖子:307
  • 注册: 2007-04-08
  • 来自:
发表于: 2007-06-18 12:12 | 短消息 资料
字号: 27楼

[C:\Program Files\Rising\AntiSpyware\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10]
[PID: 1432][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
PID: 2020][C:\Program Files\Common Files\Real\Update_OB\realsched.exe] [RealNetworks, Inc., 0.1.0.3018]
[PID: 220][C:\WINDOWS\SOUNDMAN.EXE] [Realtek Semiconductor Corp., 5.1.0.29]
[PID: 492][C:\WINDOWS\system32\conime.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 848][C:\WINDOWS\system32\ntsd.exe] [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-1148)]
[PID: 964][C:\Program Files\Messenger\msmsgs.exe] [Microsoft Corporation, 4.7.3000]
以上几个应该是被病毒感染了,前面本来是想给楼主做个参考
gototop
 
haohe的fans
头像
叱咤花甲狮
  • 帖子:2818
  • 注册: 2007-06-17
  • 来自:
发表于: 2007-06-18 12:29 | 短消息 资料
字号: 28楼

我看好像也是这样
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-06-18 12:32 | 短消息 资料
字号: 29楼

按照这最后一个日志里的正在运行的进程来看。

必须重启电脑,在不使用任何文件,不打开任何程序的情况下,重扫日志了。

扫完日志,也必须不使用任何文件,直至处理完。(实际,完全可以狂下各家专杀,狂杀一气嘛。)


haohe的fans

应该是baohe的fans才对吧?
gototop
 
tongtree
头像
快乐黄口狮
  • 帖子:202
  • 注册: 2007-04-17
  • 来自:
发表于: 2007-06-18 13:58 | 只看楼主 短消息 资料
字号: 30楼

那被感染的一些程序一般都是以删掉来处理还是有其他什么办法?比如拷贝其他没有中的电脑里面的程序来覆盖?
gototop
 
<<上一主题|下一主题>>
1234   3  /  4  页   跳转
页面顶部
Powered by Discuz!NT