1   1  /  1  页   跳转

[已解决] 大家帮忙一起分析一下哈~~

大家帮忙一起分析一下哈~~

一位求助者的日志,感觉问题蛮大的,一些可疑文件不知该删除不?犹豫中,请大家一起分析下哈

【后来他用AVG查杀删除了那些可疑文件,可是系统上的可疑文件不敢删,只能借助卡卡和杀软进行清除。二次日志没什么问题啦,谢谢leo18和awilamt的帮忙协助哈~】

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/531.0 (KHTML, like Gecko) Chrome/3.0.195.0 Safari/531.0 SE 2.X

附件附件:

文件名:SREngLOG.txt
下载次数:356
文件类型:text/plain
文件大小:
上传时间:2010-8-22 15:31:48
描述:txt

最后编辑triange 最后编辑于 2010-08-22 16:41:07
~凤凰花开的路口~
分享到:
gototop
 

回复: 大家帮忙一起分析一下哈~~

********************************************************************
*    PLA'S Report For Your Problem [2.0.0]
*                                        All rights Reserved by Evol
********************************************************************
* 报告分析日期:2010/8/22 - 15:37:50
* 报告分析作者:leo108
* 作者邮件地址:leo108@qq.com
* 作者其他信息:
* 报告正文开始:
********************************************************************
★ 『建议您删除的文件』 ★
  ☆ HELP ☆1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”)或smtdel删除以下文件:(超级巡警下载 smtdel下载)
C:\WINDOWS\TEMP\620640m13.dll
C:\WINDOWS\TEMP\96044t23.dll
C:\WINDOWS\TEMP\633687w25.dll
C:\WINDOWS\TEMP\648843m16t.dll
C:\WINDOWS\TEMP\655937d03.dll
C:\WINDOWS\TEMP\674921z28.dll
C:\WINDOWS\TEMP\689906g07.dll
C:\WINDOWS\TEMP\694968Q20.dll
C:\WINDOWS\TEMP\715953r21.dll
C:\WINDOWS\TEMP\730953Q19.dll
C:\WINDOWS\TEMP\745968j10.dll
C:\WINDOWS\TEMP\756937w26.dll
C:\WINDOWS\TEMP\768968m14.dll
C:\WINDOWS\TEMP\789984m17.dll
C:\WINDOWS\TEMP\c7f38L32.dll
C:\WINDOWS\TEMP\826015d04.dll
C:\WINDOWS\system32\1135781.IME
C:\WINDOWS\system32\494A0EDC.sys
★ *********************************************** ★

★ 『建议您清理的注册表项目』 ★
  下面都是映像劫持,用工具可以批量解决。http://www.jfsky.com/SoftView/SoftView_24514.html
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rp.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360safe.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360sd.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360SoftMgrSvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ast.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avcenter.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avgnt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avmailc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avshadow.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bdagent.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ccSvcHst.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FilMsg.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kissvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpfw32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kpopserver.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ksmgui.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kswebshield.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kwatch.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kxedefend.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kxescore.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kxetray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mcagent.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\McNASvc.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\McProxy.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Mcshield.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mcvsshld.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPMon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPSVC1.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msksrver.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsTray.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ScanFrm.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\seccenter.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spideragent.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\spidernt.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TMBMSRV.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Twister.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vsserv.exe

★ 告知用户的其他事项: ★
到其他系统找一份相同的文件替换掉
C:\WINDOWS\system32\DRIVERS\tcpip.sys
把下面的文件传到世界杀毒网http://www.virscan.org看看有没问题
C:\WINDOWS\system32\avgrsstx.dll
C:\WINDOWS\system32\dmutilio.dll
用SRE修复以下API HOOK
入口点错误:CreateThread (危险等级: 高,  被下面模块所HOOK: C:\WINDOWS\TEMP\c7f38L32.dll)
★ *********************************************** ★
最后编辑leo108 最后编辑于 2010-08-22 15:51:26
世界上有10种人,一种懂二进制,一种不懂……
gototop
 

回复:大家帮忙一起分析一下哈~~

1.建议使用XDelBox删除以下文件:(XDelBox1.6下载)
使用说明:删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。
删除前建议备份删除的内容,并对其进行病毒上报。

c:\windows\temp\620640m13.dll
c:\windows\temp\633687w25.dll
c:\windows\temp\648843m16t.dll
c:\windows\temp\655937d03.dll
c:\windows\temp\674921z28.dll
c:\windows\temp\689906g07.dll
c:\windows\temp\694968q20.dll
c:\windows\temp\715953r21.dll
c:\windows\temp\730953q19.dll
c:\windows\temp\745968j10.dll
c:\windows\temp\756937w26.dll
c:\windows\temp\768968m14.dll
c:\windows\temp\789984m17.dll
c:\windows\temp\826015d04.dll
c:\windows\temp\96044t23.dll
c:\windows\temp\c7f38l32.dll
c:\windows\system32\1135781.ime
c:\windows\system32\dmutilio.dll
c:\program files\thunder\program\itargetad.dll
c:\program files\thunder\program\al.dll
ntsd -d
c:\windows\system32\494a0edc.sys

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 注册表之如下项删除:
[IFEO[360rp.exe]]    <ntsd -d>
[IFEO[360safe.exe]]    <ntsd -d>
[IFEO[360sd.exe]]    <ntsd -d>
[IFEO[360SoftMgrSvc.exe]]    <ntsd -d>
[IFEO[360tray.exe]]    <ntsd -d>
[IFEO[ast.exe]]    <ntsd -d>
[IFEO[avcenter.exe]]    <ntsd -d>
[IFEO[avgnt.exe]]    <ntsd -d>
[IFEO[avmailc.exe]]    <ntsd -d>
[IFEO[avshadow.exe]]    <ntsd -d>
[IFEO[bdagent.exe]]    <ntsd -d>
[IFEO[ccSvcHst.exe]]    <ntsd -d>
[IFEO[egui.exe]]    <ntsd -d>
[IFEO[FilMsg.exe]]    <ntsd -d>
[IFEO[kissvc.exe]]    <ntsd -d>
[IFEO[kpfw32.exe]]    <ntsd -d>
[IFEO[kpopserver.exe]]    <ntsd -d>
[IFEO[ksmgui.exe]]    <ntsd -d>
[IFEO[kswebshield.exe]]    <ntsd -d>
[IFEO[KVMonXP.kxp]]    <ntsd -d>
[IFEO[kwatch.exe]]    <ntsd -d>
[IFEO[kxedefend.exe]]    <ntsd -d>
[IFEO[kxescore.exe]]    <ntsd -d>
[IFEO[kxetray.exe]]    <ntsd -d>
[IFEO[Mcagent.exe]]    <ntsd -d>
[IFEO[McNASvc.exe]]    <ntsd -d>
[IFEO[McProxy.exe]]    <ntsd -d>
[IFEO[Mcshield.exe]]    <ntsd -d>
[IFEO[mcvsshld.exe]]    <ntsd -d>
[IFEO[MPMon.exe]]    <ntsd -d>
[IFEO[MPSVC1.exe]]    <ntsd -d>
[IFEO[msksrver.exe]]    <ntsd -d>
[IFEO[RavMonD.exe]]    <ntsd -d>
[IFEO[RsAgent.exe]]    <ntsd -d>
[IFEO[RsTray.exe]]    <ntsd -d>
[IFEO[ScanFrm.exe]]    <ntsd -d>
[IFEO[seccenter.exe]]    <ntsd -d>
[IFEO[spideragent.exe]]    <ntsd -d>
[IFEO[spidernt.exe]]    <ntsd -d>
[IFEO[TMBMSRV.exe]]    <ntsd -d>
[IFEO[Twister.exe]]    <ntsd -d>
[IFEO[vsserv.exe]]    <ntsd -d>

    启动项目 -- 服务-- 驱动程序之如下项禁用:
[494A0EDC / 494A0EDC]    <\??\C:\WINDOWS\system32\494A0EDC.sys>

分析:amant
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT