瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 电脑安装一软件后既中木马又出现许多奇怪现象?

12   1  /  2  页   跳转

电脑安装一软件后既中木马又出现许多奇怪现象?

电脑安装一软件后既中木马又出现许多奇怪现象?

上星期自从下载安装一财务软件后,电脑因中木马导致系统崩溃,所以只好格式化C盘重装系统。而重装系统后电脑不仅经常在连网后杀毒软件查杀木马,而且电脑上出现了许多奇怪的现象:如用户中多了一个名称为VIP的用户(我前天已在电脑上将VIP用户删除),结果昨天晚上却出现了许多其它现象:连网后,电脑传出连续“呯”“呯”的声音,结果右下角显示有未知程序正在加入到开机项中,接着杀毒软件查杀了2个木马,我总觉得电脑有什么不对,于是用金山卫士安全体检电脑,体检结果显示:IE遭到修改并且还远程桌面功能也莫名奇妙地启用了。于是我赶紧修复,金山卫士立即启动了木马扫描,发现了2个异常项目(如图1),我立即进行了修复。
今天我将杀毒软件升级到最新版后进行了全盘查杀,并发现病毒。晚上我打开C盘查看,想弄清楚是什么程序和文件在作怪导致最近一直遭到木马的骚扰,但不看不知道:C盘下除了正常的文件夹后,又多了几个我不认识的文件(如图2),我看着其中两个文件很眼熟:360和361,因为昨晚我记得杀毒软件才将它们查杀过,这2个文件旁边显示的时间和昨晚杀毒软件查杀的时间一致(如图3,图4,图5),我一时想不明白为什么杀毒软件已经杀毒成功,为何这2 个文件还在此处?而且刚才电脑又出现和昨晚一模一样的情形:电脑先是出现“呯”的响声,然后杀毒软件查杀木马,最后金山卫士在右下角出现有未知程序修改开机启动项的提示框(如图6)。因图片太多,只好打包上传。想请教一下高手:我电脑上究竟中了什么毒,为什么会不断地遭到木马的骚扰,并且还会修改我电脑上开机启动项?要用什么方法才能彻底查杀这个病毒?


用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)

附件附件:

文件名:图片.zip
下载次数:520
文件类型:application/x-zip-compressed
文件大小:
上传时间:2013-3-23 21:57:30
描述:zip

分享到:
gototop
 

回复: 电脑安装一软件后既中木马又出现许多奇怪现象?

扫描的日志见附件。我刚用SReng扫描时,右下角弹出3个入口点错误(见图01),想请教一下是否修复?

附件附件:

文件名:SREngLOG.zip
下载次数:421
文件类型:application/x-zip-compressed
文件大小:
上传时间:2013-3-24 9:59:50
描述:扫描日志

附件附件:

文件名:01.jpg
下载次数:2284
文件类型:image/bmp
文件大小:
上传时间:2013-3-24 9:59:50
描述:扫描时右下角出现提示



最后编辑smilesea 最后编辑于 2013-03-24 10:01:32
gototop
 

回复: 电脑安装一软件后既中木马又出现许多奇怪现象?

下图是从上星期到昨天晚上杀毒软件清除的病毒或木马。

附件附件:

文件名:1.jpg
下载次数:2340
文件类型:image/bmp
文件大小:
上传时间:2013-3-24 10:15:24
描述:jpg



最后编辑smilesea 最后编辑于 2013-03-24 10:16:30
gototop
 

回复: 电脑安装一软件后既中木马又出现许多奇怪现象?

下图是从上星期重装系统以来金山卫士系统保护事件,其中划红线的就是昨晚和前天晚上电脑发出“呯”的声音后,出现在右下角要修改开机启动项的项目。
gototop
 

回复 6F 天月来了 的帖子

出现木马以及修改电脑开机启动项的事件,一般都是在晚上上网时出现。因为之前在连网状态下使用财务软件,在右下角杀毒软件就会查杀木马,防火墙就会弹出有程序要联网,而一般我都是选择拒绝程序连网。所以使用财务软件时,我一般是不连网即在断开网络情况下使用的。而平时在电脑上除了使用财务软件之外,就是为杀毒软件和防火墙升级,并没有安装什么其它程序,而这些木马好象是从电脑上自动生成的一样,每隔一段时间就会冒出来,所以一直没弄明白,这些木马是怎么来的?
最后编辑smilesea 最后编辑于 2013-03-24 13:14:55
gototop
 

回复: 电脑安装一软件后既中木马又出现许多奇怪现象?

我打算删除C盘下的这几个文件(见图中红线框住的文件),因为觉得看着眼熟,很象病毒残留文件。想请问一下:这些红线框住的文件可以删除吗?

附件附件:

文件名:4.jpg
下载次数:2261
文件类型:image/bmp
文件大小:
上传时间:2013-3-24 13:13:07
描述:jpg



最后编辑smilesea 最后编辑于 2013-03-24 13:18:08
gototop
 

回复: 电脑安装一软件后既中木马又出现许多奇怪现象?

上午在用SREng扫描日志文件时,右下角弹出对话框说出现3个入口点错误(图在3楼),我点击“查看详情”后,弹出了一个对话框(如下图),想请问一下:是否需要修复这3个入口点错误?
gototop
 

回复: 电脑安装一软件后既中木马又出现许多奇怪现象?



引用:
原帖由 networkedition 于 2013-3-25 9:42:00 发表
360.vbs
361.vbs
boot.1kg
hexsmss.exe
shsmss.exe
ssmss.exe
把这几个截图中的文件找到,压缩发来。


自从3月12日安装一财务软件中了木马导致系统崩溃,3月13日重装系统后又不断遭到木马骚扰。昨天下午回贴请教这几个文件删除问题,但等了很久却没人回复,所以便从C盘删除了360.vbs,361.vbs ,hexsmss.exe ,shsmss.exe ,ssmss.exe;唯独只留了一个boot.1kg(见附件)。
就在回此贴时,电脑又发出三次“呯”的声音,也不知道又是什么木马在修改电脑?

附件附件:

文件名:boot.zip
下载次数:305
文件类型:application/x-zip-compressed
文件大小:
上传时间:2013-3-25 11:52:03
描述:zip

gototop
 

回复: 电脑安装一软件后既中木马又出现许多奇怪现象?

我记得刚才电脑发出“呯”的声音前,防火墙在右下角曾经显示:有一程序要求联网(见图),我选择了拒绝联网且重启前不再提示,之后电脑便发出了三声“呯”的响声。

附件附件:

文件名:1.jpg
下载次数:761
文件类型:image/bmp
文件大小:
上传时间:2013-3-25 12:00:51
描述:jpg



gototop
 

回复: 电脑安装一软件后既中木马又出现许多奇怪现象?



引用:
原帖由 networkedition 于 2013-3-25 13:21:00 发表
boot.1kg是系统boot.ini文件,要联网的这个程序是sqlserver数据库主程序


其实昨天我在删除这几个文件时,也注意到这个boot文件,觉得好象它是一个引导文件,我怕删除会导致系统问题所以保留了它。其实这个要联网的数据库主程序sqlserver,也是财务软件运行所依附的程序,我记得当财务软件安装完成时,防火墙就会在右下角弹出对话框:这个数据库主程序要求联网,因为之前感染的木马病毒大都来自财务软件,所以出于谨慎我拒绝了联网。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT