遭遇超强悍的木马程序

金色微笑

具体经过：

前天，在网上搜索look'n'stop，进去一个网站：

www.997.cn/SoftView/SoftView_5816.html

DrWeb马上报警，选择move操作。

有点好奇，看到上面有主站链接，于是点击。

网址是: www.997.cn

接着。。。。。。

DrWeb和avast疯狂报警。

DrWeb干掉7个，2个为启发式。

avast终止两个连线。

断网。

当时以为就这样没事了。

说知。。。。。。

出于安全考虑，打开Hijackthis扫描，DrWeb马上报警。



扫描后发现有一个可疑服务项：

SystemDown

文件路径：C:\Windows\system32\servet.exe

明显是木马程序。

DrWeb和avast两道防线被攻破了。

进去system32文件夹，没找到文件。

在“查看”里设置显示系统文件和受保护的文件和显示所有文件和文件夹。

还是看不到。

最后只好用SReng删除这个服务项。

删除后再打开Hijackthis扫描，这次DrWeb没有报警。

再用SReng扫描一遍，没发现什么异常。

然后拨号上网，打开VB浏览器的时候，

DrWeb和avast一起报警：

"Win32:Tibs-ADO [Trj]" has been found in "C:\Documents and Settings\mr\Local Settings\Temporary Internet Files\Content.IE5\RVL115HU\down[1].exe" file.



用DrWeb删除，发现无法删除。

用avast隔离，提示正在被使用，无法访问。

选择删除。

avast没有反应。

对了，忘了说一点，之前用瑞星防火墙发现：

进程中有cmd.exe，并且命令行好像是：(具体记不清了)

system32下的delete什么的.bat后缀名文件。

删除那个服务后就没这种情况了。

重新启动，为得是让avast删除那个文件。

启动后，再次拨号上网打开VB浏览器(注目一点，我在用星空极速，默认打开VB浏览器，虽然我总是用IE)

avast再次报警。

仍然无法访问。

下载瑞星文件粉碎工具，把路径填进去却提示没有找到文件。

只好把SSM装上，再次打开VB浏览器，

这时SSM提示资源管理器运行VB浏览器，(记不清了，很有可能搞错了)

但是可以确定的是：

命令行为运行C:\Documents and Settings\mr\Local Settings\Temporary Internet Files\Content.IE5\RVL115HU\down[1].exe

用SSM禁止。

想问问各位大侠，到底该怎么解决。

先谢谢了。

金色微笑

我已经发到卡卡去了，没得到解决。

金色微笑

今天上网avast还是报：

"Win32:Tibs-ADO [Trj]" has been found in "C:\Documents and Settings\mr\Local Settings\Temporary Internet Files\Content.IE5\RVL115HU\down[1].exe" file.

zhangthird

期待结果

金色微笑

记清楚了，当时SSM是提示资源管理器运行cmd，命令行参数为运行C:\Documents and Settings\mr\Local Settings\Temporary Internet Files\Content.IE5\RVL115HU\down[1].exe

无敌敏敏

清空IE临时文件夹~

bbabba

你这是临时文件夹里面的啊 这里有马不代表你系统里有马  servet.exe 服务删掉 再把这个SERVET删掉
检查系统进程 还有每被注入 有则删相关的注册表项 删文件

jlennon

一看就知道是利用光标漏洞种的马，补丁4号MS已经放出了，下个补丁就OK了。

jlennon

[ 本帖最后由 jlennon 于 2007-4-6 11:20 编辑 ]

klovecui

刚去访问了。。卡巴没反应。。。。 汗。。。