1   1  /  1  页   跳转

麻烦哪个人来看看!!

收藏
shgonx
头像
初生襁褓狮
  • 帖子:34
  • 注册: 2004-04-09
  • 来自:
发表于: 2006-02-08 12:00 | 只看楼主 短消息 资料
字号: 1楼

麻烦哪个人来看看!!

杀毒时发现一个病毒文件 zodv9yy.dll,怎么也杀不了,在正常环境下一杀就重启,安全模式下杀了但是回到正常环境下还是存在,一点办法都没有!
最后编辑2006-02-08 19:54:46
分享到:
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-02-08 12:04 | 短消息 资料
字号: 2楼

病毒路径?
杀软扫描到的病毒名称是什么?
rootkit还是Vundo?
gototop
 
shgonx
头像
初生襁褓狮
  • 帖子:34
  • 注册: 2004-04-09
  • 来自:
发表于: 2006-02-08 12:24 | 只看楼主 短消息 资料
字号: 3楼

rootkit,有3个,CSRSS.EXE\ZODV9YY.DLL,IEXPLORER.EXE\ZODV9YY.DLL,C:\WINNT\TEMP\ZODV9YY.DLL,杀不了,在安全模式下说是删除了,但是一开机就又有了,麻烦大哥在看一下!
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-02-08 12:29 | 短消息 资料
字号: 4楼

【回复“shgonx”的帖子】
C:\WINNT\TEMP\ZODV9YY.DLL就是文件路径
这个DLL已经插入到系统进程中了

http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载System Repair Engineer 2.0.12.350
导出日志
查看C:\WINNT\TEMP\ZODV9YY.DLL已经插入到哪些进程中
gototop
 
shgonx
头像
初生襁褓狮
  • 帖子:34
  • 注册: 2004-04-09
  • 来自:
发表于: 2006-02-08 12:36 | 只看楼主 短消息 资料
字号: 5楼

好像应该是csrss吧
gototop
 
shgonx
头像
初生襁褓狮
  • 帖子:34
  • 注册: 2004-04-09
  • 来自:
发表于: 2006-02-08 12:41 | 只看楼主 短消息 资料
字号: 6楼

谢谢指点,马上去导出日志!
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-02-08 12:41 | 短消息 资料
字号: 7楼

引用:
【shgonx的贴子】好像应该是csrss吧

...........................

晕死
若想真正的解决问题
就好好参考一下3楼的贴子
建议楼主好好看看日志
好好看看那个DLL文件到底插入了哪些系统进程
gototop
 
shgonx
头像
初生襁褓狮
  • 帖子:34
  • 注册: 2004-04-09
  • 来自:
发表于: 2006-02-08 19:47 | 只看楼主 短消息 资料
字号: 8楼

正在运行的进程
[PID: 444][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 500][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\TEMP\zodv9yy.dll]  <N/A><N/A>
[PID: 524][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 568][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 580][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 728][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 788][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 856][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 896][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 964][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1156][C:\WINDOWS\system32\spoolsv.exe]  <Microsoft Corporation><5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)>
    [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\vprproc.dll]  <Windows (R) 2000 DDK provider><5.00.2195.1620>
[PID: 1396][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\YAlive.dll]  <><2, 0, 4, 1030>
    [C:\WINDOWS\system32\nvcpl.dll]  <NVIDIA Corporation><6.14.10.8310>
    [C:\WINDOWS\system32\NVRSZHC.DLL]  <NVIDIA Corporation><6.14.10.8310>
    [C:\WINDOWS\system32\nvshell.dll]  <N/A><N/A>
    [C:\PROGRA~1\FlashGet\jccatch.dll]  <Amaze Soft><1, 1, 4, 0>
    [C:\PROGRA~1\MMSASS~1\Mmsass~1.dll]  <><1, 2, 0, 2>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll]  <Yahoo!><2, 0, 3, 1023>
    [C:\WINDOWS\System32\aclayer.dll]  <Microsoft Corporation><5, 1, 2600, 2080>
[PID: 1484][C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe]  <NVIDIA Corporation><1.0.444>
    [C:\Program Files\NVIDIA Corporation\NvMixer\NvMixerZHC.dll]  <NVIDIA Corporation><1.0.444>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\Program Files\Common Files\NVIDIA Shared\Audio\NVAudioMod.dll]  <NVIDIA Corporation><1.0.444>
[PID: 1492][C:\Program Files\SkyNet\FireWall\PFWmain.exe]  <sky.net.cn><2.5.0.120>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
[PID: 1500][C:\Program Files\Common Files\Real\Update_OB\realsched.exe]  <RealNetworks, Inc.><0.1.0.3427>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
[PID: 1508][C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe]  < ><2, 0, 0, 1002>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\YAlive.dll]  <><2, 0, 4, 1030>
[PID: 1532][C:\WINDOWS\system32\RUNDLL32.EXE]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\NvMcTray.dll]  <NVIDIA Corporation><6.14.10.8310>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\WINDOWS\system32\NVRSZHC.DLL]  <NVIDIA Corporation><6.14.10.8310>
[PID: 1592][C:\WINDOWS\system32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
[PID: 1748][C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\mms.exe]  <N/A><N/A>
[PID: 1772][C:\WINDOWS\system32\nvsvc32.exe]  <NVIDIA Corporation><6.14.10.8310>
[PID: 1868][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 360][C:\Program Files\Internet Explorer\IEXPLORE.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\TEMP\zodv9yy.dll]  <N/A><N/A>
[PID: 976][C:\WINDOWS\System32\alg.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1472][C:\WINDOWS\system32\wscntfy.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
[PID: 2980][C:\WINDOWS\system32\wuauclt.exe]  <Microsoft Corporation><5.8.0.2469 built by: lab01_n(wmbla)>
[PID: 3092][C:\Program Files\Internet Explorer\iexplore.exe]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\YAlive.dll]  <><2, 0, 4, 1030>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll]  <Yahoo!><2, 0, 3, 1023>
    [D:\Program Files\Tencent\QQ\QQIEHelper.dll]  <深圳市腾讯计算机系统有限公司><1, 1, 0, 5>
    [C:\WINDOWS\System32\aclayer.dll]  <Microsoft Corporation><5, 1, 2600, 2080>
    [C:\PROGRA~1\MMSASS~1\Mmsass~1.dll]  <><1, 2, 0, 2>
    [C:\PROGRA~1\FlashGet\jccatch.dll]  <Amaze Soft><1, 1, 4, 0>
    [C:\WINDOWS\system32\Macromed\Flash\Flash8.ocx]  <Macromedia, Inc.><8,0,22,0>
[PID: 3144][C:\WINDOWS\system32\rundll32.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\PROGRA~1\MMSASS~1\Mmsass~1.dll]  <><1, 2, 0, 2>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
[PID: 1804][C:\PROGRA~1\FlashGet\flashget.exe]  <Amaze Soft><1, 6, 0, 0>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
    [C:\WINDOWS\system32\Macromed\Flash\Flash8.ocx]  <Macromedia, Inc.><8,0,22,0>
[PID: 180][C:\Downloads\sreng2\SREng.exe]  <Smallfrogs Studio><2.0.12.350>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 0, 1013>
gototop
 
shgonx
头像
初生襁褓狮
  • 帖子:34
  • 注册: 2004-04-09
  • 来自:
发表于: 2006-02-08 19:54 | 只看楼主 短消息 资料
字号: 9楼

麻烦看一下扫描好的日志,谢谢!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT