123   1  /  3  页   跳转

中了infostealer.gampass

收藏
xkypp
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-09-06
  • 来自:
发表于: 2008-03-01 21:30 | 只看楼主 短消息 资料
字号: 1楼

中了infostealer.gampass

开始是安全卫士被关闭,上网所有反毒网站都被转到baidu,连google都是



在网上找了相关信息好像不管用进入安全模式找不到带毒文件,只是删除了ie的临时文件夹内容



用yahoo助手修复ie,清楚hosot表后重启可以用安全卫士了,然后用其和诺顿扫描过去掉了一些木马。



但是只要恢复系统还原好像就不行,ie又被改了,但网页没有被转现在系统凑合能用,但好像还有些地方不对,如开机让我进行chk但自己又中断了,传上扫描文件,请各位帮我看看。谢谢


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; (R1 1.3); .NET CLR 2.0.50727)

附件附件:

下载次数:117
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-1 21:30:58
描述:

最后编辑2008-03-02 17:00:54
分享到:
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-03-01 22:01 | 短消息 资料
字号: 2楼

下面各项及其对应文件都不认识,你自己去认真看看

愿意的话,这样操作

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <{038CF47B-159D-C048-E16A-7BF37BF37BE3}><C:\WINDOWS\system32\GJYCFUX.dll>  []
————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项删除,或将启动类型改为“Disabled”
==================================
驱动程序
[dohs / dohs][Stopped/Auto Start]
  <\??\C:\DOCUME~1\谢科扬\LOCALS~1\Temp\tmp14.tmp><N/A>

[iCafe Manager / iCafe Manager][Stopped/Manual Start]
  <\??\C:\DOCUME~1\谢科扬\LOCALS~1\Temp\usbhcid.sys><N/A>

[mhfp / mhfp][Stopped/Auto Start]
  <\??\C:\DOCUME~1\谢科扬\LOCALS~1\Temp\tmp2F.tmp><N/A>

[Sc Manager / Sc Manager][Stopped/Manual Start]
  <\??\C:\DOCUME~1\谢科扬\LOCALS~1\Temp\usbcams3.sys><N/A>
————————————————————————————————————
再重启电脑,升级杀毒软件至最新版本,全盘杀毒。

这里官网 下 载 W i n d o w s 清理助手,清理你那系统。
http://www.arswp.com/
gototop
 
xkypp
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-09-06
  • 来自:
发表于: 2008-03-02 09:22 | 只看楼主 短消息 资料
字号: 3楼

【回复“天月来了”的帖子】
清过了,好像不管用,而且被植入许多盗号木马,显示有其他人登陆到我的机器。下面士新的扫描文件
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-03-02 09:24 | 短消息 资料
字号: 4楼

恩???

最新日志呢????
gototop
 
xkypp
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-09-06
  • 来自:
发表于: 2008-03-02 09:25 | 只看楼主 短消息 资料
字号: 5楼

啊啊

附件附件:

下载次数:111
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-2 9:25:21
描述:
gototop
 
xkypp
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-09-06
  • 来自:
发表于: 2008-03-02 09:31 | 只看楼主 短消息 资料
字号: 6楼

【回复“xkypp”的帖子】补充句,病毒会自动把360,xp清理程序等都改掉,启动不了,原来的可执行文件全没了
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-03-02 09:39 | 短消息 资料
字号: 7楼

愿意的话去控制面板那里的“添加删除程序”里卸载Yahoo

这下面两个文件实在不认识,你自己认真的判断一下

C:\WINDOWS\system32\PTXLPTH.dll
C:\WINDOWS\system32\DGVYCRU.dll

————————————————————————————————————
在扫日志的SRENG工具》启动项目》注册表》里面找下面项目删除:
启动项目
注册表
    <{F27AE36A-048C-BF37-D058-6AE26AE16AD2}><C:\WINDOWS\system32\DGVYCRU.dll>  []
————————————————————————————————————
再重启电脑,升级杀毒软件至最新版本全盘杀毒。
没问题就行了。

觉得还不行,就详细说说被植入许多盗号木马文件名和路径,

显示有其他人登陆到我的机器的详细描述

"病毒会自动把360,xp清理程序等都改掉,启动不了,原来的可执行文件全没了"

观察一下,是否一开启QQ软件,就会这样??
gototop
 
xkypp
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-09-06
  • 来自:
发表于: 2008-03-02 11:48 | 只看楼主 短消息 资料
字号: 8楼

1<{F27AE36A-048C-BF37-D058-6AE26AE16AD2}><C:\WINDOWS\system32\DGVYCRU.dll> []我删除过好几遍了,但好像开机就有
2。杀过毒了,但没有发现,目前正常
3。C:\WINDOWS\system32\下有trojan horse 文件名patch23.dll
hacktool.rookit 文件名msosfdids32.sys c:\program..\inte..exp\plugins\下有winsys8k.sys感染病毒infostealer.gampass 
4qq下有二个盗号木马,没有记录开qq不会引起关闭360
系统运行一段时间360报错关闭让后病毒就又发作
5。在用xp清理助手时,在启动是提示有其他用户登陆本机,重启将丢失信息。
6。目前好像机器正常
7.yahoo是为了修复ie装的,如果没问题我当然可以删除了
对了,谢谢帮忙
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-03-02 11:56 | 短消息 资料
字号: 9楼

很关键的估计是这C:\WINDOWS\system32\DGVYCRU.dll

你用解压工具WinRAR依路径打开找这文件还在不在了。

不在就行了,再观察一段时间看看吧

360工具可以彻底卸载,并手工删除其安装目录下的所有残余文件。

再重装吧。
gototop
 
xkypp
头像
初生襁褓狮
  • 帖子:28
  • 注册: 2006-09-06
  • 来自:
发表于: 2008-03-02 12:11 | 只看楼主 短消息 资料
字号: 10楼

【回复“天月来了”的帖子】我把dv。。dll文件移开了,有看见几个23。exe24。exe的文件我也删除了,重启后又不行了,在c:\...temp下总会有几个。tmp的文件,删除提示另一人正在使用。。还把360也指向该文件,导致打不开
真的要重装系统??
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT