nod32杀不掉的机器狗

显示全部楼层 · 发表于 2008-4-4 14:26:10

2008-4-4 2:10:50 HTTP filter file http://x3.1a2b3c1.com/down/34.exe probably a variant of Win32/PSW.OnLineGames.NMQ trojan connection terminated - quarantined CLC\chen Threat was detected upon access to web by the application: C:\WINDOWS\ctfmon.exe.

2008-4-4 2:09:29 HTTP filter file http://x1.1a2b3c1.com/down/5.exe a variant of Win32/PSW.OnLineGames.NFL trojan connection terminated - quarantined CLC\chen Threat was detected upon access to web by the application: C:\WINDOWS\ctfmon.exe.

诸如此类，30多个，实在是没办法了，能杀掉，但重启之后再次出现，于是开始搜索，最后得知是机器狗，会不断下载木马，并且破坏常用杀毒软件启动程序，卡巴，瑞星是没办法启动的，nod32倒可以启动
并且植入c:\WINDOWS\system32\explorer.exe C:\WINDOWS\ctfmon.exe 这两个程序，随着两个程序运行而运行
下载360机器狗专杀，还原了c:\WINDOWS\system32\explorer.exe C:\WINDOWS\ctfmon.exe 这两个程序，世界终于清静了~~~

显示全部楼层 · 发表于 2008-4-4 14:29:23

恭喜你中了这个病毒，偶已经见过3台这样的机子了，处理起来很麻烦，哈，你还是重新安装系统吧，不然会玩你一整天的，哈！

方法似乎找对了，哈！

更正一下文件所有目录：
c:\WINDOWS\explorer.exe C:\WINDOWS\system32\ctfmon.exe

NOD32 2.7一样会被干掉，只有EAV,ESS不会被干掉,病毒都可以被拦截下来，但不知道这两个文件为什么都不报毒，哈.

[ 本帖最后由 clc78223 于 2008-4-4 18:42 编辑 ]

显示全部楼层 · 发表于 2008-4-4 14:29:58

回楼上，我已经搞定了
请认真看帖后再回复

显示全部楼层 · 发表于 2008-4-4 16:14:13

卡巴，瑞星是没办法启动的，nod32倒可以启动

这还不够吗？

显示全部楼层 · 发表于 2008-4-4 16:33:06

那是因为他没有针对nod32设计

显示全部楼层 · 发表于 2008-4-4 16:55:03

做机器狗的原本就是免杀NOD的！
后来做多了换了其他的不是不针对.....
而且NOD的免杀也很麻烦

显示全部楼层 · 发表于 2008-4-4 17:03:37

恩，我发现系统dll进程倒是没多，和网上描述的不一样
说明nod32还是起了作用的，只是c:\WINDOWS\system32\explorer.exe C:\WINDOWS\ctfmon.exe 这两个被修改了

显示全部楼层 · 发表于 2008-4-4 17:27:38

NOD都杀不了。。。。。。。。。。。

显示全部楼层 · 发表于 2008-4-4 17:40:20

杀不了能启动有啥用啊

显示全部楼层 · 发表于 2008-4-4 18:15:23

杀不了
上报完事...

[讨论] nod32杀不掉的机器狗

本帖子中包含更多资源

回复 5楼 clcavril 的帖子