|
 | 作者: coolguy [coolguy]
 论坛用户 |
登录 |
| 以下是杀毒记录,大家请看: 正在初始化杀毒引擎::::::>>> 杀毒引擎初始化完毕::::::>>> 系统监控已启动::::::>>> 开始扫描内存进程... 系统事件:内存中发现木马! 木马名称:Troj.Woool.p.2086 木马从内存中清除成功! 木马在硬盘清除成功! c:\windows\explorer.exe 开始扫描内存模块... 扫描内存模块 118 个 扫描内存模块完成,没有发现木马. 开始扫描Windows系统目录... 系统事件:已发现伪系统木马! 木马名称:Troj.Lmir.ag.2384 木马路径:C:\WINDOWS\alcrmv.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:Troj.Woool.p.2086 木马路径:C:\WINDOWS\explorer.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:木马0154.482 木马路径:C:\WINDOWS\RegisteredPackages\{981FB688-E76B-4246-987B-92083185B90A}\wdfmgr.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:木马0287启动项.713 木马路径:C:\WINDOWS\system32\alg.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:伪输入法木马002.301 木马路径:C:\WINDOWS\system32\dumprep.exe //* (1) *// 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:木马0034.257 木马路径:C:\WINDOWS\system32\dwwin.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现伪系统木马! 木马名称:瑞星杀毒软件.211 木马路径:C:\WINDOWS\system32\internat.exe //* (2) *// 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:木马0142.447 木马路径:C:\WINDOWS\system32\mmc.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现伪系统木马! 木马名称:木马0062.302 木马路径:C:\WINDOWS\system32\rasautou.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:Troj.QQAttach.2027 木马路径:C:\WINDOWS\system32\rsaci.rat 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:木马0031 启动项.233 木马路径:C:\WINDOWS\system32\systray.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:伪系统蠕虫木马.712 木马路径:C:\WINDOWS\system32\winmine.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:木马0287启动项.713 木马路径:C:\WINDOWS\system32\dllcache\alg.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:伪输入法木马002.301 木马路径:C:\WINDOWS\system32\dllcache\dumprep.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:木马0034.257 木马路径:C:\WINDOWS\system32\dllcache\dwwin.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:Troj.Woool.p.2086 木马路径:C:\WINDOWS\system32\dllcache\explorer.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:木马0142.447 木马路径:C:\WINDOWS\system32\dllcache\mmc.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:木马0031 启动项.233 木马路径:C:\WINDOWS\system32\dllcache\systray.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:木马0045.245 木马路径:C:\WINDOWS\system32\dllcache\winmgmt.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:伪系统蠕虫木马.712 木马路径:C:\WINDOWS\system32\dllcache\winmine.exe 处理方式:隔离 成功 发现日期:2006年10月6日 系统事件:已发现木马! 木马名称:木马0045.245 木马路径:C:\WINDOWS\system32\wbem\winmgmt.exe 处理方式:隔离 成功 发现日期:2006年10月6日 Windows系统目录扫描完成. 扫描文件12920个 发现木马21个. (1)进程文件: dumprep 或者 dumprep.exe 进程名称: Dump Reporting Tool 描述:dumprep.exe是微软Windows XP操作系统的一部分,记录出现错误的程序信息。当一个程序出现错误时,该程序发送相关错误信息到微软。该程序不是纯粹的系统进程,安装是为了第三方使用。 系统进程: 是 后台程序: 是 使用网络: 否 硬件相关: 否 常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0 间谍软件: 否 广告软件: 否 病毒: 否 木马: 否 (2)看到internat.exe和internet.exe有区别,我怀疑internat.exe是个木马,查了下资料: A.OICQ号码盗窃程序。 B.进程文件: internat or internat.exe 进程名称: Input Locales 描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。 常见错误: N/A 是否为系统进程: 是 C.进程文件: internat 或者 internat.exe 进程名称: Microsoft Input Locales 描述:internat.exe是微软Windows多语言输入程序。这个程序对你系统的正常运行是非常重要的。internatt.exe也有可能是Win32.Lydra.a木马的一部分。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。 出品者: Microsoft Corp. 属于: Microsoft Windows Operating System 系统进程: 是 后台程序: 是 使用网络: 否 硬件相关: 否 常见错误: 未知N/A 内存使用: 未知N/A 安全等级 (0-5): 0 间谍软件: 否 广告软件: 否 病毒: 否 木马: 否 “dumprep.exe”和“internat.exe”进程从来没有在我的任务管理器出现,我经常检查任务管理器,虽然在网上可以了解到这两个程序(进程)有问题,但是没用木马杀客检查系统的时候,电脑没有什么问题,杀了以后也没什么异常,这次杀出21个来,有些我看文件名就知道文件有问题,可是杀毒软件没报警(尽管现在的杀毒软件都加了杀木马的功能),但是有些我看不出有没有问题。 上面提到一个explorer.exe进程,木马杀客把他隔离了,同时整个桌面也崩溃,恢复过桌面假死状态的朋友应该知道是怎么一回事吧,木马杀客把“explorer.exe”进程给结束了,我打开任务管理器,新建任务,输入:explorer.exe 桌面又恢复了,好象explorer.exe程序没有真正被删除,否则,电脑就无法正常使用,还以为“explorer.exe”被病毒感染,重启电脑,用木马杀客检查系统,“explorer.exe”又被结束了,2006年9月份(7月份的病毒库升级了一次,版本升到9月份)的木马杀客版本没这样杀法的,而且也没检查出什么木马病毒,今天升级杀客到V11.11.11,更新日期:06年10月6日,对系统杀毒检查的时候就出现这个问题了,现在有点怀疑木马杀客在检查系统的时候有问题,很是郁闷。 木马杀客也杀了C:\WINDOWS\system32\alg.exe这个文件,之前我停掉了alg.exe这个网络共享服务,任务管理器也没有这个alg.exe进程,如果这个文件被删掉的话,以后不知道还能不能开网络共享服务,或者对以后开alg.exe服务有没有什么坏的影响,大家可以帮忙解答这个问题么? 木马杀客也删了些dllcache文件夹里面的文件,我想问下,dllcache文件夹里面的文件被删掉些,会有什么影响?主要是我的电脑里的dllcache文件夹有个“explorer.exe”文件也被删了,不知道dllcache文件夹下的“explorer.exe”文件和C:\WINDOWS目录下的“explorer.exe”有没有什么联系。 以上只对其中一部分进行讨论,大家可以对上面任何一个进程或是程序文件发表下自己的见解,一起来讨论讨论吧。 |
| 地主 发表时间: 06-10-10 16:50 |
 | 回复: rovecat [rovecat]  版主 |
登录 |
|
很多病毒会跟explorer.exe关联起来的,所以杀毒软件会结束进程的。 alg.exe是系统程序,你手动删除了下次系统就会自动恢复的,而恢复的文件就是从dllcache里复制出来,所以说dllcache里有一个explorer.exe是正常的系统为了重要的系统文件做的备份,删掉这个文件夹里的东西是对系统没有影响的。不过既然你的dllcache里的文件都已经中毒,那建议还是重装一下系统为好,再有就是木马软件最好能跟杀毒软件结合使用才会最安全,因为木马软件有里对一些带有病毒性质的木马是无能为力的,所以说也不要过分相信木马软件的报告,还是再装一个杀软件为好。 |
| B1层 发表时间: 06-10-10 22:13 |
| 回复: coolguy [coolguy] 论坛用户 |
登录 |
|
我发现那些被杀掉的文件,都被加了个“_被屏蔽木马”的后缀,重启计算机后,有些文件会自动由系统从保护文件夹里复制出来,重新生成,但是有些没有重新生成,除了C:\WINDOWS\system32下的“internat.exe”这个文件变成了“internat.exe_被屏蔽木马”被我手动删除外,其它的有些被我改回原文件名,有些是系统重新生成的文件,我就不改名了,也删掉了,这个木马杀客确实有些过分,前两天我把木马杀客卸载掉了,以后也不再装木马杀客。 那天我特意考了个系统文件到D盘下的一个文件夹,用木马杀客查了下,文件又被改名,同时windows目录下的explorer.exe被删除,通过任务管理器新建explorer.exe,系统提示explorer.exe不是内部或者是外部命令,杀毒是一回事,它木马杀客没帮我把名字改回来,由于整个桌面崩溃,无法进入“我的电脑”把名字改回,没办法,只得写个批处理文件来弄了。 输入notepad命令,打开记事本,先把explorer.exe被改的文件名找到,复制“explorer.exe_被屏蔽木马”文件名,关掉对话框,直接在记事里写代码: @echo off ren %windir%\explorer.exe_被屏蔽木马 explorer.exe goto end 然后保存文件(假设为rev.txt)到D盘目录下,接着在命令对话框里输入: ren d:\rev.txt rev.bat 输入 d:\rev.bat 最后再输入explorer.exe,桌面又回来了,系统恢复正常。 卸载木马杀客是出于无耐,每次启动它检查系统,都要把我桌面弄崩溃,恢复起来虽然不是什么困难的事情,但是我不想重复做这种恢复桌面的工作,既麻烦又浪费时间,没有木马杀客也好,这样可以锻炼自己,挑战嘛。我想,很多20CN的朋友都喜欢DIY吧,毕竟很多事情都要靠自己解决,杀毒工具只是给自己提供一定的帮助,但不是完全的。 |
| B2层 发表时间: 06-10-13 20:42 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 病毒专区
标题: 木马杀客杀毒(求助)