Board logo

标题: 大家有没有遇到这个木马病毒啊?现在网上泛滥成灾了 [打印本页]

作者: ymxt    时间: 2005-8-6 22:36     标题: 大家有没有遇到这个木马病毒啊?现在网上泛滥成灾了

名字叫Troj/Rootkit-Z,在C:\windows\system32\msvnc.sys,象我这样的unidsl用户,sophos是必装的,可是根本就删除不掉,病毒报告的数字能上升到数百,如果我不关机的话!哪位高手知道怎么删除这个病毒啊?现在也不敢开vpn了,怕被封了帐户!
作者: crazymoon    时间: 2005-8-6 22:37

去瑞星或者金山看看
应该有专门杀这种毒的小软件
作者: 蓝色指南针    时间: 2005-8-6 22:41

把你的进程表里所有文件列个表发上来.
再用HijackThis SCAN一下
把结果报告发来.
作者: ymxt    时间: 2005-8-6 22:42

刚刚看过,没有专门这种名称的病毒,只有在sophos的网页上才能看到,但是sophos病毒库更新之后根本就杀不掉
http://www.sophos.de/virusinfo/a ... -Z;lang=7;sublang=1
作者: 蓝色指南针    时间: 2005-8-6 22:44

Originally posted by ymxt at 2005-8-6 10:42 PM:
刚刚看过,没有专门这种名称的病毒,只有在sophos的网页上才能看到,但是sophos病毒库更新之后根本就杀不掉
http://www.sophos.de/virusinfo/a ... -Z;lang=7;sublang=1


都靠杀毒软件的话,永远是慢的.
去把进程表列一个出来发来把
作者: ymxt    时间: 2005-8-6 22:47

在任务管理器中间有个Savservice.exe,即便我停止了它也会自动再跳出来,然后cpu的曲线很异常,波浪形状的。这个程序原来属于sophos,
作者: 蓝色指南针    时间: 2005-8-6 22:49

c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
这个不是病毒.
继续看
作者: ymxt    时间: 2005-8-6 22:52

SAVAdminService.exe  System  0000 3571K???
作者: ymxt    时间: 2005-8-6 22:53

如何把进程全部列表出来呢?不会手打吧,那也忒累人了
作者: 蓝色指南针    时间: 2005-8-6 22:53

Originally posted by ymxt at 2005-8-6 10:52 PM:
SAVAdminService.exe  System  0000 3571K???


c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
继续看把.
作者: 蓝色指南针    时间: 2005-8-6 22:54

不要找以前有的,就找以前没有的进程.
作者: 蓝色指南针    时间: 2005-8-6 22:56

譬如,把IE都关闭了,还有没有IEXPLORE.EXE?
譬如,有多少个SVCHOST.EXE?
譬如,有没有以前没见过的莫名其妙的.EXE?
作者: ymxt    时间: 2005-8-6 23:00

svchost一共四个,分别是local service,network service,两个在 system下面,ALmon.exe这个我从来没见过
作者: 蓝色指南针    时间: 2005-8-6 23:03

Originally posted by ymxt at 2005-8-6 11:00 PM:
svchost一共四个,分别是local service,network service,两个在 system下面,ALmon.exe这个我从来没见过


C:\Programe\Sophos\AutoUpdate\ALMon.exe
看看有没有
作者: ymxt    时间: 2005-8-6 23:05

有这个almon.exe,看来不是
作者: 蓝色指南针    时间: 2005-8-6 23:06

Originally posted by ymxt at 2005-8-6 11:05 PM:
有这个almon.exe,看来不是


用HijackThis SCAN一下
作者: 沙洲    时间: 2005-8-6 23:13

看看这个对你有没有帮助:
http://www.trendmicro.co.jp/vinf ... Name=TROJ_ROOTKIT.M
作者: wayway2000    时间: 2005-8-6 23:14

提示: 作者被禁止或删除 内容自动屏蔽
作者: ymxt    时间: 2005-8-6 23:15

Logfile of HijackThis v1.99.1
Scan saved at 00:13:19, on 07.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Rundll32.exe
C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Sophos\AutoUpdate\ALMon.exe
C:\Program Files\RWTH Aachen\Cisco VPN Client\cvpnd.exe
C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\mozilla.org\Mozilla\mozilla.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\film\hijackthis\HijackThis.exe
作者: ymxt    时间: 2005-8-6 23:18

R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLO~1\BDSrHook.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O2 - BHO: BDHlprObj Class - {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} - C:\WINDOWS\DOWNLO~1\BDHelper.dll
O3 - Toolbar: μ?ì¨(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BIE] Rundll32 C:\WINDOWS\DOWNLO~1\BDPlugin.dll,Rundll32
O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java ????ì¨ - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\RWTH Aachen\Cisco VPN Client\cvpnd.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: AntiSpyUltra (Zonelaps) - Unknown owner - C:\WINDOWS\vsmom.exe
作者: 蓝色指南针    时间: 2005-8-6 23:32

C:\WINDOWS\System32\smss.exe=========系统文件
C:\WINDOWS\system32\winlogon.exe=======系统文件
C:\WINDOWS\system32\services.exe========系统文件
C:\WINDOWS\system32\lsass.exe=========系统文件
C:\WINDOWS\system32\svchost.exe========系统文件
C:\WINDOWS\System32\svchost.exe========系统文件
C:\WINDOWS\system32\spoolsv.exe========可删
C:\WINDOWS\Explorer.EXE============系统文件
C:\WINDOWS\System32\Rundll32.exe=======系统文件
C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe===这个是你安装的Fast的TV卡?
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe====JAVA虚拟机环境
C:\WINDOWS\System32\ctfmon.exe=======系统文件
C:\Program Files\Sophos\AutoUpdate\ALMon.exe=====杀毒软件
C:\Program Files\RWTH Aachen\Cisco VPN Client\cvpnd.exe=====你的VPN
C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe===杀毒软件
C:\Program Files\Sophos\AutoUpdate\ALsvc.exe====杀毒软件
C:\WINDOWS\System32\taskmgr.exe=====进程软件
C:\Program Files\mozilla.org\Mozilla\mozilla.exe=====浏览器
C:\Program Files\Internet Explorer\IEXPLORE.EXE====浏览器???(你为什么开两个浏览器?)

D:\film\hijackthis\HijackThis.exe
作者: 咪!~~~^_^~~~~~    时间: 2005-8-6 23:39

Originally posted by 蓝色指南针 at 2005-8-6 23:32:
C:\WINDOWS\System32\smss.exe=========系统文件
C:\WINDOWS\system32\winlogon.exe=======系统文件
C:\WINDOWS\system32\services.exe========系统文件
C:\WINDOWS\system32\lsass.e ...

强人,下次俺电脑有毛病就请教大大阿14.gif
作者: wayway2000    时间: 2005-8-6 23:45

提示: 作者被禁止或删除 内容自动屏蔽
作者: 蓝色指南针    时间: 2005-8-6 23:57

R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLO~1\BDSrHook.dll                             可以删除
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll         可以删除
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)                                                                     可以删除
O2 - BHO: BDHlprObj Class - {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} - C:\WINDOWS\DOWNLO~1\BDHelper.dll                                        可以删除
O3 - Toolbar: μ?ì¨(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx                                            浏览器相关
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32                                           微软日语输入法
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC                                                       微软智能输入法
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName                                                        微软智能输入法
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd                                                                                  VxD驱动程序需要
O4 - HKLM\..\Run: [BIE] Rundll32 C:\WINDOWS\DOWNLO~1\BDPlugin.dll,Rundll32                                                                   可以删除
O4 - HKLM\..\Run: [FastTVSync] "C:\Program Files\Common Files\InterVideo\FastTVSync\FastTVSync.exe"                                          显卡相关
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe                                                    JAVA相关
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot                                          REAL相关,删除把
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe                                                                                系统相关
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll                                       JAVA相关
O9 - Extra 'Tools' menuitem: Sun Java ????ì¨ - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll                      JAVA相关
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm                                             IE菜单项和工具栏按钮工具
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm                       IE菜单项和工具栏按钮工具
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\RWTH Aachen\Cisco VPN Client\cvpnd.exe       拨号相关
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Program Files\Sophos\Sophos Anti-Virus\SAVAdminService.exe     杀毒相关
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Program Files\Sophos\Sophos Anti-Virus\SavService.exe                              杀毒相关
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Program Files\Sophos\AutoUpdate\ALsvc.exe                                               杀毒相关
O23 - Service: AntiSpyUltra (Zonelaps) - Unknown owner - C:\WINDOWS\vsmom.exe                                                                这个我很疑惑。如果你确认你没有安装过这类文件,请删除它。。。
作者: 蓝色指南针    时间: 2005-8-6 23:58

删除以上2贴里我所说的部分后
请重新启动.
然后进入系统,看看结果.如果再不行,那就再议...
作者: 蓝色指南针    时间: 2005-8-7 00:05

大哥,看了贴也得支一声哦...
告诉我个结果,不然没办法继续想啊...
作者: 蓝色指南针    时间: 2005-8-7 00:25

不是把,楼主去睡觉了?...???...
这个也太不...诶...
作者: shishi    时间: 2005-8-7 08:25

Originally posted by 蓝色指南针 at 2005-8-7 00:05:
大哥,看了贴也得支一声哦...
告诉我个结果,不然没办法继续想啊...

好人啊
作者: jiejiedog    时间: 2005-8-7 10:48

下压xoftspy,我今天刚刚下载,并且在网上搜到了keygen,安装一下就可以删除所有activex。可以试试看
作者: ymxt    时间: 2005-8-7 10:58

Originally posted by 蓝色指南针 at 2005-8-7 00:05:
大哥,看了贴也得支一声哦...
告诉我个结果,不然没办法继续想啊...

昨晚大概是误删了什么系统文件,最后连系统都进入不了了,气的我上床睡觉。真是一了百了,今天早上索性重装了系统,目前运转还算正常,但是如果再碰到那个木马病毒恐怕还得遭殃。Kapersky以前我一直都用的,但是后来期限到了,网上又找不到有效的注册码,所以只好换了这个sophos。其实感觉sophos也不错,不知道昨天怎么回事情。刚才发了封邮件给RZ,问问他们是怎么回事情,昨晚就感觉sophos也被病毒感染了,不能带毒杀毒。感谢热心回答我问题的所有朋友,特别是蓝色指南针,多谢多谢,昨天并非不辞而别,呵呵,多多谅解!
作者: ymxt    时间: 2005-8-7 11:00

Originally posted by jiejiedog at 2005-8-7 10:48:
下压xoftspy,我今天刚刚下载,并且在网上搜到了keygen,安装一下就可以删除所有activex。可以试试看


不太明白你的意思,xoftspy是杀毒软件??不过昨天蓝色指南针推荐的那个hijack this也有类似的功能,但是很容易误操作,很危险!
作者: 奎木狼    时间: 2005-8-7 15:29

提示: 作者被禁止或删除 内容自动屏蔽
作者: 由心    时间: 2005-8-7 15:51

Originally posted by 蓝色指南针 at 2005-8-6 23:57:
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLO~1\BDSrHook.dll                             可以删除
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7 ...


dian.gif 强啊...:P
作者: snowball    时间: 2005-8-7 22:31

我早就发现sophos不行了。我以前就用这个免费的软件,结果还是收到病毒警告信,现在用金山,一点问题都没有,正版的,也没多少钱。而且还可以好几个人一起用。




欢迎光临 人在德国 社区 (http://csuchen.de/bbs/) Powered by Discuz! 7.2