收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 原创工具区 打开IE7.0时KAV7.0报告有木马(扫描无发现),附SReng2.5日 ...
12下一页
返回列表 发新帖
查看: 2833|回复: 12
收起左侧

打开IE7.0时KAV7.0报告有木马(扫描无发现),附SReng2.5日志帮忙分析,谢谢

[复制链接]
bluethinking
发表于 2007-10-5 13:58:37 | 显示全部楼层 |阅读模式
请大家帮忙分析一下,不胜感激!!

症状及处理:
      1打开IE7.0时KAV7.0报告有木马,扫描无发现
      2改用AntiVir PersonalEdition Classic扫描发现在Content.IE5文件夹中有病毒,但清楚后问题依然存在
      3清空IE临时文件夹后依然解决不了
      4打开SReng是出现以下警告:
              警告!注册表值UIHost被修改为非正常值(默认值是logonui.exe)。请检查你的系统中可能存在的计算机病毒。

以下是扫描日志,再次谢过!!!

SREngLOG.rar

8 KB, 下载次数: 39

扫描日志
回复

举报

woai_jolin
发表于 2007-10-5 14:01:53 | 显示全部楼层
定位文件 用冰刃在安全模式强删
回复

举报

bluethinking
 楼主| 发表于 2007-10-5 14:19:47 | 显示全部楼层
先谢过!
但是我就是不能确定病毒文件的位置?请问如何定位呢?
我已经看了很多论坛上的贴子,但是还没多久领悟到……
回复

举报

风雪
发表于 2007-10-5 14:23:16 | 显示全部楼层
用xdelbox(http://www.i170.com/attach/97670969-F47C-4A8B-9529-F0F602EFA902下载)删除下面文件(按住鼠标左键向下拖动,用鼠标从第一行拖动从上往下到最后一行,右键复制,或者(添入“文件路径”点击“添加”路径),在xdelbox窗口空白处点右键-从剪贴板导入,在抑制再生前打钩,在要删除文件上点击右键,选择立刻重启删除,运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等))。
C:\WINDOWS\System32\drivers\kdlandq.sys
(C:\WINDOWS\system32\rimon.dll
C:\WINDOWS\system32\liprip.dll)括号中的测试如果有问题下面对应服务删除。http://www.virscan.org

运行 System Repair Engineer在"启动项目->服务->"Win32服务应用程序"选中"隐藏微软服务" 然后将下面名称的服务
"删除服务"->"设置"->"否" (注意: 按"否"是确认删除服务,按"是"为取消操作)
[Remote IPRIP Listener / Iprip][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\liprip.dll><Microsoft Corporation>
[Infrared Monitor / Irmon][Stopped/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\rimon.dll><Microsoft Corporation>


运行 System Repair Engineer在"启动项目->服务->"驱动程序"选中"隐藏微软服务" 然后将下面名称的服务
"删除服务"->"设置"->"否" (注意: 按"否"是确认删除服务,按"是"为取消操作)
[kdlandq / kdlandq][Running/Boot Start]
  <\SystemRoot\\SystemRoot\System32\drivers\kdlandq.sys><N/A>

运行SREng——启动项目——注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><"logonui.exe"> 修改为<logonui.exe>


Windows清理助手升级查一下:
http://www.arswp.com/download/arswp2/arswp2.zip

[ 本帖最后由 风雪 于 2007-10-5 14:26 编辑 ]
回复

举报

bluethinking
 楼主| 发表于 2007-10-5 14:23:59 | 显示全部楼层
刚才粗心了!打错字!应该是“没领悟到”
我看不懂SReng的报告,请问问题出在哪呢?
谢谢版主!
回复

举报

bluethinking
 楼主| 发表于 2007-10-5 14:26:21 | 显示全部楼层
谢谢!我试试看!
回复

举报

风雪
发表于 2007-10-5 14:28:30 | 显示全部楼层
http://www.cisrt.org/bbs/viewthread.php?tid=1016   2.5 常用操作
C:\WINDOWS\System32\drivers\kdlandq.sys
(C:\WINDOWS\system32\rimon.dll
C:\WINDOWS\system32\liprip.dll)如果有问题把括号删除使用下面格式删除:
C:\WINDOWS\System32\drivers\kdlandq.sys
C:\WINDOWS\system32\rimon.dll
C:\WINDOWS\system32\liprip.dll

[ 本帖最后由 风雪 于 2007-10-5 14:30 编辑 ]
回复

举报

bluethinking
 楼主| 发表于 2007-10-5 14:48:50 | 显示全部楼层
再次谢啦,正在学习中!
回复

举报

bluethinking
 楼主| 发表于 2007-10-5 16:26:15 | 显示全部楼层

已解决

刚才按 风雪 教的方法去做了,问题已经解决了!!感激万分!!!

      这是我第一在卡饭发贴,学习了不少东西,虽然以前就有从卡饭共享到许多资源,但这次学到了更多的知识,比如在提问之前我就看了关于提问的学问那几个贴子,真的受益匪浅!

      再次谢了!!!

      PS:后来用ArSwp2扫描了,发现还有残余,有3个木马,包括雅虎和3721的,以后还是注意点。
回复

举报

bluethinking
 楼主| 发表于 2007-10-5 16:41:16 | 显示全部楼层
还有请问有没有关于如何解读SReng日志的文章或论坛推荐呢,谢谢!!
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-3-19 14:16 , Processed in 0.128110 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表