收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 软件区 解疑答难区 这是什么木马?怎么解决?
12下一页
返回列表 发新帖
查看: 5139|回复: 18
收起左侧

[已解决] 这是什么木马?怎么解决?

 关闭 [复制链接]
storyvon
发表于 2007-9-3 19:34:39 | 显示全部楼层 |阅读模式
最近伊莱克斯门事件折腾得厉害,不小心下了石靖的图片,卡巴报发现木马。

赶紧重启进安全模式杀了一遍,重启进入系统卡巴继续报警,删除木马后,卡巴提示重启。。。

继续重启,卡巴提示授权文件失效(系统时间正确),存放图片的分区被锁定,提示用工具打开,快速格式化。。。

又重启用卡巴杀了一遍,重启还是有病毒。。。

折腾得人都快疯掉了,各位大虾支支招,跪谢。

BTW:卡巴已经更新。
回复

举报

ALEXBLAIR
发表于 2007-9-3 20:13:22 | 显示全部楼层
看来mm的威力还是不容小视阿。。。
呵呵。
这样吧,你先扫描一个日志贴上来吧。
安全模式杀毒之前,建议先关闭系统的自动还原。
另外,有个比较简单的办法,就是搜索所有中毒那天建立的文件,然后备份后删除,再把不是很可疑的文件放回,这样很容易就找到原凶了。
一般木马都在system||||system32|||system32\driver和windows这几个目录下。
回复

举报

storyvon
 楼主| 发表于 2007-9-3 20:19:17 | 显示全部楼层
木马是在system32里面发现的

[ 本帖最后由 storyvon 于 2007-9-3 20:34 编辑 ]
回复

举报

ALEXBLAIR
发表于 2007-9-3 20:48:52 | 显示全部楼层

回复 3楼 storyvon 的帖子

解决了么?
回复

举报

storyvon
 楼主| 发表于 2007-9-3 21:00:09 | 显示全部楼层
因为不在这台机子上,所以要到明天才能操作,谢谢楼上。
回复

举报

storyvon
 楼主| 发表于 2007-9-4 07:36:43 | 显示全部楼层
开机提示,“卡巴为不正确的授权,WEB反病毒保护错误,不能启动:没有授权”
检测到木马 Trojan-PSW.Win32.OnlineGames.Bqi 等一系列马,文件“c:\windows\system32\tempa.exe”。。。
主动防御警告,风险软件:Invader  运行进程:D:\GreenBrowser\GreenBrowser.exe 进程试图注入另一个进程,该行为证明其为典型的恶意程序。进程 D:\GreenBrowser\GreenBrowser.exe (PID: 2940) 试图注入到进程 C:\WINDOWS\explorer.exe (PID: 2560).
C:\Program Files\Real\RealPlayer\realplay.exe,进程 C:\Program Files\Real\RealPlayer\realplay.exe (PID: 3236) 试图注入到进程 C:\WINDOWS\explorer.exe (PID: 2560)


2007-9-3 13:17:29        恶意HTTP对象  已检测新变种 恶意程序 'Exploit.Win32.IMG-ANI.gen'.
2007-9-3 13:17:29        恶意HTTP对象  拒绝访问.
2007-9-3 13:17:32        进程 (PID 3292) 尝试访问卡巴斯基反病毒 进程(PID 1300),但这个操作被自我保护组件阻止.
2007-9-3 13:17:33        运行进程 C:\microsofts.bat: 检测到新变种风险软件 'Invader'.
2007-9-3 13:17:36        进程 C:\microsofts.bat (PID: 3292): 试图 将自身嵌入其它进程中 被拒绝.
2007-9-3 13:27:04         更新成功完成
2003-9-3 13:54:49        不正确的授权许可激活日期.
2003-9-3 13:54:49        文件 C:\WINDOWS\system32\TempA.exe//PE_Patch.UPX//UPX: 检测到 木马程序 'Trojan-PSW.Win32.OnLineGames.bgj'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2003-9-3 13:54:50        已经检测到安全威胁.建议您立即处理它们.
2003-9-3 13:54:53        进程 (PID 3596) 尝试访问卡巴斯基反病毒 进程(PID 1300),但这个操作被自我保护组件阻止.
2003-9-3 13:54:54        文件 C:\WINDOWS\system32\TempA.exe//PE_Patch.UPX//UPX: 未清除, 被用户跳过.
2003-9-3 13:54:55        文件 C:\WINDOWS\system32\TempB.exe: 检测到 木马程序 'Trojan-PSW.Win32.Agent.mn'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2003-9-3 13:54:56        文件 C:\WINDOWS\system32\TempB.exe: 未清除, 被用户跳过.
2003-9-3 13:55:01        文件 C:\WINDOWS\system32\TempE.exe//PE_Patch.UPX//UPX: 检测到 木马程序 'Trojan-PSW.Win32.OnLineGames.bgk'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2003-9-3 13:55:01        文件 C:\WINDOWS\system32\TempE.exe//PE_Patch.UPX//UPX: 未清除, 被用户跳过.
2003-9-3 13:55:02        进程 (PID 2960) 尝试访问卡巴斯基反病毒 进程(PID 1300),但这个操作被自我保护组件阻止.
2003-9-3 13:55:02        进程 (PID 224) 尝试访问卡巴斯基反病毒 进程(PID 1300),但这个操作被自我保护组件阻止.
2003-9-3 13:55:02        进程 (PID 1576) 尝试访问卡巴斯基反病毒 进程(PID 1300),但这个操作被自我保护组件阻止.
2003-9-3 13:55:05        文件 C:\WINDOWS\system32\TempF.exe//UPX: 检测到 病毒 'Worm.Win32.QQPass.o'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2003-9-3 13:55:05        文件 C:\WINDOWS\system32\TempF.exe//UPX: 未清除, 被用户跳过.
2007-9-3 13:55:20        保护您的电脑没有运行.建议您恢复保护.
2007-9-3 13:55:21        保护您的电脑 开始.
2007-9-3 13:55:37        文件 C:\Program Files\NetMeeting\ravmsmon.dat//UPack: 检测到 木马程序 'Trojan-Downloader.Win32.Agent.cse'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2007-9-3 13:56:02        文件 C:\Program Files\NetMeeting\ravmsmon.dat//UPack: 检测到 木马程序 'Trojan-Downloader.Win32.Agent.cse'.
2007-9-3 13:56:02        文件 C:\Program Files\NetMeeting\ravmsmon.dat//UPack: 检测到 木马程序 'Trojan-Downloader.Win32.Agent.cse'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2007-9-3 13:56:02        文件 C:\Program Files\NetMeeting\ravmsmon.dat 将再系统重启后删除.
2007-9-3 13:56:27        文件 C:\Program Files\NetMeeting\ravmsmon.dat 将再系统重启后删除.
2007-9-3 13:56:33        文件 C:\Program Files\NetMeeting\ravmsmon.dat//UPack: 检测到 木马程序 'Trojan-Downloader.Win32.Agent.cse'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2007-9-3 13:56:44        文件 C:\Program Files\NetMeeting\ravmsmon.dat//UPack: 检测到 木马程序 'Trojan-Downloader.Win32.Agent.cse'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2007-9-3 13:56:45        文件 C:\Program Files\NetMeeting\ravmsmon.dat//UPack: 检测到 木马程序 'Trojan-Downloader.Win32.Agent.cse'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2007-9-3 13:56:48        文件 C:\Program Files\NetMeeting\ravmsmon.dat//UPack: 检测到 木马程序 'Trojan-Downloader.Win32.Agent.cse'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.


怎么我进这个帖,卡巴都报毒了?这个东西这么厉害?我把恶意HTTP后面那段删掉看看...

[ 本帖最后由 storyvon 于 2007-9-4 12:18 编辑 ]
回复

举报

storyvon
 楼主| 发表于 2007-9-4 07:38:50 | 显示全部楼层
2007-9-3 14:01:17        保护您的电脑 开始.
2003-9-3 14:01:45        运行进程 C:\WINDOWS\WinForm.exe: 检测到新变种风险软件 'Invader'.
2003-9-3 14:01:46        进程 (PID 1848) 尝试访问卡巴斯基反病毒 进程(PID 1300),但这个操作被自我保护组件阻止.
2003-9-3 14:01:47        文件 C:\WINDOWS\system32\TempG.exe//PE_Patch//UPack: 检测到 木马程序 'Trojan-PSW.Win32.OnLineGames.blr'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2003-9-3 14:01:48        已经检测到安全威胁.建议您立即处理它们.
2003-9-3 14:01:52        进程 (PID 1208) 尝试访问卡巴斯基反病毒 进程(PID 1300),但这个操作被自我保护组件阻止.
2003-9-3 14:01:52        进程 C:\WINDOWS\WinForm.exe (PID: 1848): 试图 将自身嵌入其它进程中 被拒绝.
2003-9-3 14:01:54        运行进程 C:\WINDOWS\System32\TempC.exe: 检测到新变种风险软件 'Trojan.generic'.
2003-9-3 14:01:58        不正确的授权许可激活日期.
2003-9-3 14:01:58        进程 (PID 1856) 尝试访问卡巴斯基反病毒 进程(PID 1300),但这个操作被自我保护组件阻止.
2003-9-3 14:01:58        进程 (PID 1796) 尝试访问卡巴斯基反病毒 进程(PID 1300),但这个操作被自我保护组件阻止.
2003-9-3 14:01:58        进程 (PID 1968) 尝试访问卡巴斯基反病毒 进程(PID 1300),但这个操作被自我保护组件阻止.
2007-9-3 14:02:07        进程 (PID 1660) 尝试访问卡巴斯基反病毒 进程(PID 1300),但这个操作被自我保护组件阻止.
2003-9-3 14:02:08        进程 (PID 2052) 尝试访问卡巴斯基反病毒 进程(PID 1300),但这个操作被自我保护组件阻止.
2003-9-3 14:02:09        进程 (PID 2076) 尝试访问卡巴斯基反病毒 进程(PID 1300),但这个操作被自我保护组件阻止.
2003-9-3 14:02:09        文件 C:\WINDOWS\system32\TempG.exe: 删除.
2007-9-3 14:02:23        文件 C:\WINDOWS\system32\TempJ.exe//PE_Patch//UPack: 检测到 木马程序 'Trojan-Downloader.Win32.Small.fjm'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2007-9-3 14:02:23        已经检测到安全威胁.建议您立即处理它们.
2007-9-3 14:02:23        文件 C:\WINDOWS\system32\TempJ.exe//PE_Patch//UPack: 未清除, 被用户跳过.
2007-9-3 14:02:23        文件 C:\WINDOWS\system32\TempK.exe//PE_Patch//UPack: 检测到 木马程序 'Trojan.Win32.Agent.ben'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2007-9-3 14:02:23        文件 C:\WINDOWS\system32\TempK.exe//PE_Patch//UPack: 未清除, 被用户跳过.
2007-9-3 14:02:24        文件 C:\WINDOWS\system32\TempA.exe//PE_Patch.UPX//UPX: 检测到 木马程序 'Trojan-PSW.Win32.OnLineGames.bgj'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2007-9-3 14:02:24        文件 C:\WINDOWS\system32\TempA.exe//PE_Patch.UPX//UPX: 未清除, 被用户跳过.
2007-9-3 14:02:24        文件 C:\WINDOWS\system32\TempB.exe: 检测到 木马程序 'Trojan-PSW.Win32.Agent.mn'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2007-9-3 14:02:24        文件 C:\WINDOWS\system32\TempB.exe: 未清除, 被用户跳过.
2007-9-3 14:02:25        文件 C:\WINDOWS\system32\TempE.exe//PE_Patch.UPX//UPX: 检测到 木马程序 'Trojan-PSW.Win32.OnLineGames.bgk'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2007-9-3 14:02:25        文件 C:\WINDOWS\system32\TempE.exe//PE_Patch.UPX//UPX: 未清除, 被用户跳过.
2007-9-3 14:02:25        文件 C:\WINDOWS\system32\TempF.exe//UPX: 检测到 病毒 'Worm.Win32.QQPass.o'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
2007-9-3 14:02:25        文件 C:\WINDOWS\system32\TempF.exe//UPX: 未清除, 被用户跳过.
2007-9-3 14:02:32        保护您的电脑没有运行.建议您恢复保护.
2007-9-3 14:02:32        保护您的电脑 开始.
2007-9-3 14:03:02        进程 (PID 468) 尝试访问卡巴斯基反病毒 进程(PID 1520),但这个操作被自我保护组件阻止.
2007-9-3 14:03:03        文件 C:\Program Files\NetMeeting\ravmsmon.dat//UPack: 检测到 木马程序 'Trojan-Downloader.Win32.Agent.cse'. 用户: MICROSOF-53FCF8\new, 计算机: localhost.
回复

举报

storyvon
 楼主| 发表于 2007-9-4 07:40:18 | 显示全部楼层
2007-9-3 15:50:55        文件 C:\Program Files\NetMeeting\ravztmon.dat//UPack: 未清除, 推迟.
2007-9-3 15:50:55        文件 C:\Program Files\NetMeeting\ravzxmon.dat//UPack: 检测到 木马程序 'Trojan.Win32.Agent.ben'.
2007-9-3 15:50:55        文件 C:\Program Files\NetMeeting\ravzxmon.dat//UPack: 未清除, 推迟.
2007-9-3 15:50:56        运行模块 GrooveMonitor.exe\NVDispDrv.dll: 检测到 木马程序 'Trojan-PSW.Win32.OnLineGames.bgj'.
2007-9-3 15:50:56        运行模块 GrooveMonitor.exe\NVDispDrv.dll: 未清除, 推迟.
2007-9-3 15:50:56        运行模块 realsched.exe\NVDispDrv.dll: 检测到 木马程序 'Trojan-PSW.Win32.OnLineGames.bgj'.
2007-9-3 15:50:56        运行模块 realsched.exe\NVDispDrv.dll: 未清除, 推迟.
2007-9-3 15:50:56        运行模块 MsnMsgr.Exe\NVDispDrv.dll: 检测到 木马程序 'Trojan-PSW.Win32.OnLineGames.bgj'.
2007-9-3 15:50:56        运行模块 MsnMsgr.Exe\NVDispDrv.dll: 未清除, 推迟.
2007-9-3 15:50:56        运行模块 ctfmon.exe\NVDispDrv.dll: 检测到 木马程序 'Trojan-PSW.Win32.OnLineGames.bgj'.
2007-9-3 15:50:56        运行模块 ctfmon.exe\NVDispDrv.dll: 未清除, 推迟.
2007-9-3 15:50:56        运行模块 conime.exe\NVDispDrv.dll: 检测到 木马程序 'Trojan-PSW.Win32.OnLineGames.bgj'.
2007-9-3 15:50:56        运行模块 conime.exe\NVDispDrv.dll: 未清除, 推迟.
回复

举报

dxhyshxd
发表于 2007-9-4 09:12:25 | 显示全部楼层
这个帖子怎么卡巴报毒啊?!



[ 本帖最后由 dxhyshxd 于 2007-9-4 09:14 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

storyvon
 楼主| 发表于 2007-9-4 12:18:53 | 显示全部楼层
怎么我进这个帖,卡巴都报毒了?这个东西这么厉害?我把恶意HTTP后面那段删掉看看...
就是楼上截图那个木马...
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-15 11:30 , Processed in 0.139867 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表