人在德国社区 - Powered by Discuz! Board

标题: 大家有没有遇到这个木马病毒啊？现在网上泛滥成灾了 [打印本页]

作者: ymxt 时间: 2005-8-6 22:36 标题: 大家有没有遇到这个木马病毒啊？现在网上泛滥成灾了

名字叫Troj/Rootkit-Z,在C:\windows\system32\msvnc.sys,象我这样的unidsl用户，sophos是必装的，可是根本就删除不掉，病毒报告的数字能上升到数百，如果我不关机的话！哪位高手知道怎么删除这个病毒啊？现在也不敢开vpn了，怕被封了帐户！

作者: crazymoon 时间: 2005-8-6 22:37

去瑞星或者金山看看
应该有专门杀这种毒的小软件

作者: 蓝色指南针 时间: 2005-8-6 22:41

把你的进程表里所有文件列个表发上来．
再用ＨｉｊａｃｋＴｈｉｓ　ＳＣＡＮ一下
把结果报告发来．

作者: ymxt 时间: 2005-8-6 22:42

刚刚看过，没有专门这种名称的病毒，只有在sophos的网页上才能看到，但是sophos病毒库更新之后根本就杀不掉
http://www.sophos.de/virusinfo/a ... -Z;lang=7;sublang=1

作者: 蓝色指南针 时间: 2005-8-6 22:44

Originally posted by ymxt at 2005-8-6 10:42 PM:
刚刚看过，没有专门这种名称的病毒，只有在sophos的网页上才能看到，但是sophos病毒库更新之后根本就杀不掉
http://www.sophos.de/virusinfo/a ... -Z;lang=7;sublang=1

都靠杀毒软件的话，永远是慢的．
去把进程表列一个出来发来把

作者: ymxt 时间: 2005-8-6 22:47

在任务管理器中间有个Savservice.exe,即便我停止了它也会自动再跳出来，然后cpu的曲线很异常，波浪形状的。这个程序原来属于sophos，

作者: 蓝色指南针 时间: 2005-8-6 22:49

c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
这个不是病毒．
继续看

作者: ymxt 时间: 2005-8-6 22:52

SAVAdminService.exe System 0000 3571K？？？

作者: ymxt 时间: 2005-8-6 22:53

如何把进程全部列表出来呢？不会手打吧，那也忒累人了

作者: 蓝色指南针 时间: 2005-8-6 22:53

Originally posted by ymxt at 2005-8-6 10:52 PM:
SAVAdminService.exe System 0000 3571K？？？

c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
继续看把．

作者: 蓝色指南针 时间: 2005-8-6 22:54

不要找以前有的，就找以前没有的进程．

作者: 蓝色指南针 时间: 2005-8-6 22:56

譬如，把ＩＥ都关闭了，还有没有ＩＥＸＰＬＯＲＥ．ＥＸＥ？
譬如，有多少个ＳＶＣＨＯＳＴ．ＥＸＥ？
譬如，有没有以前没见过的莫名其妙的．ＥＸＥ？

作者: ymxt 时间: 2005-8-6 23:00

svchost一共四个，分别是local service,network service，两个在 system下面，ALmon.exe这个我从来没见过

作者: 蓝色指南针 时间: 2005-8-6 23:03

Originally posted by ymxt at 2005-8-6 11:00 PM:
svchost一共四个，分别是local service,network service，两个在 system下面，ALmon.exe这个我从来没见过

C:\Programe\Sophos\AutoUpdate\ALMon.exe
看看有没有

作者: ymxt 时间: 2005-8-6 23:05

有这个almon.exe，看来不是

作者: 蓝色指南针 时间: 2005-8-6 23:06

Originally posted by ymxt at 2005-8-6 11:05 PM:
有这个almon.exe，看来不是

用ＨｉｊａｃｋＴｈｉｓ　ＳＣＡＮ一下

作者: 沙洲 时间: 2005-8-6 23:13

看看这个对你有没有帮助:
http://www.trendmicro.co.jp/vinf ... Name=TROJ_ROOTKIT.M

作者: wayway2000 时间: 2005-8-6 23:14

提示: 作者被禁止或删除内容自动屏蔽

作者: ymxt 时间: 2005-8-6 23:15

Logfile of HijackThis v1.99.1
Scan saved at 00:13:19, on 07.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Rundll32.exe
C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\RWTH Aachen\Cisco VPN Client\cvpnd.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\film\hijackthis\HijackThis.exe

作者: ymxt 时间: 2005-8-6 23:18

R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLO~1\BDSrHook.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: BDHlprObj Class - {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} - C:\WINDOWS\DOWNLO~1\BDHelper.dll
O3 - Toolbar: μ?ì¨(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BIE] Rundll32 C:\WINDOWS\DOWNLO~1\BDPlugin.dll,Rundll32
O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java ????ì¨ - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\RWTH Aachen\Cisco VPN Client\cvpnd.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: AntiSpyUltra (Zonelaps) - Unknown owner - C:\WINDOWS\vsmom.exe

作者: 蓝色指南针 时间: 2005-8-6 23:32

C:\WINDOWS\System32\smss.exe＝＝＝＝＝＝＝＝＝系统文件
C:\WINDOWS\system32\winlogon.exe＝＝＝＝＝＝＝系统文件
C:\WINDOWS\system32\services.exe＝＝＝＝＝＝＝＝系统文件
C:\WINDOWS\system32\lsass.exe＝＝＝＝＝＝＝＝＝系统文件
C:\WINDOWS\system32\svchost.exe＝＝＝＝＝＝＝＝系统文件
C:\WINDOWS\System32\svchost.exe＝＝＝＝＝＝＝＝系统文件
C:\WINDOWS\system32\spoolsv.exe＝＝＝＝＝＝＝＝可删
C:\WINDOWS\Explorer.EXE＝＝＝＝＝＝＝＝＝＝＝＝系统文件
C:\WINDOWS\System32\Rundll32.exe＝＝＝＝＝＝＝系统文件
C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe＝＝＝这个是你安装的Ｆａｓｔ的ＴＶ卡？
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe＝＝＝＝ＪＡＶＡ虚拟机环境
C:\WINDOWS\System32\ctfmon.exe＝＝＝＝＝＝＝系统文件
C:\Program Files\Sophos\AutoUpdate\ALMon.exe＝＝＝＝＝杀毒软件
C:\Program Files\RWTH Aachen\Cisco VPN Client\cvpnd.exe＝＝＝＝＝你的ＶＰＮ
C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe＝＝＝杀毒软件
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe＝＝＝＝杀毒软件
C:\WINDOWS\System32\taskmgr.exe＝＝＝＝＝进程软件
C:\Program Files\mozilla.org\Mozilla\mozilla.exe＝＝＝＝＝浏览器
C:\Program Files\Internet Explorer\IEXPLORE.EXE＝＝＝＝浏览器？？？（你为什么开两个浏览器？）

D:\film\hijackthis\HijackThis.exe

作者: 咪！~~~^_^~~~~~ 时间: 2005-8-6 23:39

Originally posted by 蓝色指南针 at 2005-8-6 23:32:
C:\WINDOWS\System32\smss.exe＝＝＝＝＝＝＝＝＝系统文件
C:\WINDOWS\system32\winlogon.exe＝＝＝＝＝＝＝系统文件
C:\WINDOWS\system32\services.exe＝＝＝＝＝＝＝＝系统文件
C:\WINDOWS\system32\lsass.e ...

强人，下次俺电脑有毛病就请教大大阿14.gif

作者: wayway2000 时间: 2005-8-6 23:45

提示: 作者被禁止或删除内容自动屏蔽

作者: 蓝色指南针 时间: 2005-8-6 23:57

R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLO~1\BDSrHook.dll                            可以删除
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll       可以删除
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)                                                                   可以删除
O2 - BHO: BDHlprObj Class - {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} - C:\WINDOWS\DOWNLO~1\BDHelper.dll                                     可以删除
O3 - Toolbar: μ?ì¨(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx                                           浏览器相关
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32                                        微软日语输入法
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC                                                    微软智能输入法
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName                                                       微软智能输入法
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd                                                                               VxD驱动程序需要
O4 - HKLM\..\Run: [BIE] Rundll32 C:\WINDOWS\DOWNLO~1\BDPlugin.dll,Rundll32                                                                可以删除
O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe"                                        显卡相关
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe                                                 JAVA相关
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot                                        REAL相关，删除把
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe                                                                               系统相关
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll                                     JAVA相关
O9 - Extra 'Tools' menuitem: Sun Java ????ì¨ - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll                   JAVA相关
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm                                           IE菜单项和工具栏按钮工具
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm                      IE菜单项和工具栏按钮工具
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\RWTH Aachen\Cisco VPN Client\cvpnd.exe    拨号相关
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe    杀毒相关
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe                            杀毒相关
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe                                              杀毒相关
O23 - Service: AntiSpyUltra (Zonelaps) - Unknown owner - C:\WINDOWS\vsmom.exe                                                             这个我很疑惑。如果你确认你没有安装过这类文件，请删除它。。。

作者: 蓝色指南针 时间: 2005-8-6 23:58

删除以上２贴里我所说的部分后
请重新启动．
然后进入系统，看看结果．如果再不行，那就再议．．．

作者: 蓝色指南针 时间: 2005-8-7 00:05

大哥，看了贴也得支一声哦．．．
告诉我个结果，不然没办法继续想啊．．．

作者: 蓝色指南针 时间: 2005-8-7 00:25

不是把，楼主去睡觉了？．．．？？？．．．
这个也太不．．．诶．．．

作者: shishi 时间: 2005-8-7 08:25

Originally posted by 蓝色指南针 at 2005-8-7 00:05:
大哥，看了贴也得支一声哦．．．
告诉我个结果，不然没办法继续想啊．．．

好人啊

作者: jiejiedog 时间: 2005-8-7 10:48

下压xoftspy，我今天刚刚下载，并且在网上搜到了keygen，安装一下就可以删除所有activex。可以试试看

作者: ymxt 时间: 2005-8-7 10:58

Originally posted by 蓝色指南针 at 2005-8-7 00:05:
大哥，看了贴也得支一声哦．．．
告诉我个结果，不然没办法继续想啊．．．

昨晚大概是误删了什么系统文件，最后连系统都进入不了了，气的我上床睡觉。真是一了百了，今天早上索性重装了系统，目前运转还算正常，但是如果再碰到那个木马病毒恐怕还得遭殃。Kapersky以前我一直都用的，但是后来期限到了，网上又找不到有效的注册码，所以只好换了这个sophos。其实感觉sophos也不错，不知道昨天怎么回事情。刚才发了封邮件给RZ,问问他们是怎么回事情,昨晚就感觉sophos也被病毒感染了，不能带毒杀毒。感谢热心回答我问题的所有朋友，特别是蓝色指南针，多谢多谢，昨天并非不辞而别，呵呵，多多谅解！

作者: ymxt 时间: 2005-8-7 11:00

Originally posted by jiejiedog at 2005-8-7 10:48:
下压xoftspy，我今天刚刚下载，并且在网上搜到了keygen，安装一下就可以删除所有activex。可以试试看

不太明白你的意思，xoftspy是杀毒软件？？不过昨天蓝色指南针推荐的那个hijack this也有类似的功能，但是很容易误操作，很危险！

作者: 奎木狼 时间: 2005-8-7 15:29

提示: 作者被禁止或删除内容自动屏蔽

作者: 由心 时间: 2005-8-7 15:51

Originally posted by 蓝色指南针 at 2005-8-6 23:57:
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLO~1\BDSrHook.dll 可以删除
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7 ...

dian.gif 强啊...:P

作者: snowball 时间: 2005-8-7 22:31

我早就发现sophos不行了。我以前就用这个免费的软件，结果还是收到病毒警告信，现在用金山，一点问题都没有，正版的，也没多少钱。而且还可以好几个人一起用。

欢迎光临人在德国社区 (http://csuchen.de/bbs/)