论坛: 病毒专区 标题: 木马杀客杀毒(求助) 复制本贴地址    
作者: coolguy [coolguy]    论坛用户   登录
以下是杀毒记录,大家请看:

正在初始化杀毒引擎::::::>>>

杀毒引擎初始化完毕::::::>>>

系统监控已启动::::::>>>
开始扫描内存进程...
系统事件:内存中发现木马!
木马名称:Troj.Woool.p.2086
木马从内存中清除成功!
木马在硬盘清除成功!
c:\windows\explorer.exe

开始扫描内存模块...
扫描内存模块 118 个
扫描内存模块完成,没有发现木马.

开始扫描Windows系统目录...
系统事件:已发现伪系统木马!
木马名称:Troj.Lmir.ag.2384
木马路径:C:\WINDOWS\alcrmv.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:Troj.Woool.p.2086
木马路径:C:\WINDOWS\explorer.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:木马0154.482
木马路径:C:\WINDOWS\RegisteredPackages\{981FB688-E76B-4246-987B-92083185B90A}\wdfmgr.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:木马0287启动项.713
木马路径:C:\WINDOWS\system32\alg.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:伪输入法木马002.301
木马路径:C:\WINDOWS\system32\dumprep.exe              //* (1) *//
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:木马0034.257
木马路径:C:\WINDOWS\system32\dwwin.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现伪系统木马!
木马名称:瑞星杀毒软件.211
木马路径:C:\WINDOWS\system32\internat.exe              //* (2) *//     
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:木马0142.447
木马路径:C:\WINDOWS\system32\mmc.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现伪系统木马!
木马名称:木马0062.302
木马路径:C:\WINDOWS\system32\rasautou.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:Troj.QQAttach.2027
木马路径:C:\WINDOWS\system32\rsaci.rat
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:木马0031 启动项.233
木马路径:C:\WINDOWS\system32\systray.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:伪系统蠕虫木马.712
木马路径:C:\WINDOWS\system32\winmine.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:木马0287启动项.713
木马路径:C:\WINDOWS\system32\dllcache\alg.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:伪输入法木马002.301
木马路径:C:\WINDOWS\system32\dllcache\dumprep.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:木马0034.257
木马路径:C:\WINDOWS\system32\dllcache\dwwin.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:Troj.Woool.p.2086
木马路径:C:\WINDOWS\system32\dllcache\explorer.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:木马0142.447
木马路径:C:\WINDOWS\system32\dllcache\mmc.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:木马0031 启动项.233
木马路径:C:\WINDOWS\system32\dllcache\systray.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:木马0045.245
木马路径:C:\WINDOWS\system32\dllcache\winmgmt.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:伪系统蠕虫木马.712
木马路径:C:\WINDOWS\system32\dllcache\winmine.exe
处理方式:隔离 成功
发现日期:2006年10月6日

系统事件:已发现木马!
木马名称:木马0045.245
木马路径:C:\WINDOWS\system32\wbem\winmgmt.exe
处理方式:隔离 成功
发现日期:2006年10月6日

Windows系统目录扫描完成.
扫描文件12920个 发现木马21个.


(1)进程文件: dumprep 或者 dumprep.exe
  进程名称: Dump Reporting Tool
  描述:dumprep.exe是微软Windows XP操作系统的一部分,记录出现错误的程序信息。当一个程序出现错误时,该程序发送相关错误信息到微软。该程序不是纯粹的系统进程,安装是为了第三方使用。
  系统进程: 是
  后台程序: 是
  使用网络: 否
  硬件相关: 否
  常见错误: 未知N/A
  内存使用: 未知N/A 
  安全等级 (0-5): 0
  间谍软件: 否
  广告软件: 否
  病毒: 否
  木马: 否

(2)看到internat.exe和internet.exe有区别,我怀疑internat.exe是个木马,查了下资料:
  A.OICQ号码盗窃程序。
  B.进程文件: internat or internat.exe   
    进程名称: Input Locales   
    描述: 这个输入控制图标用于更改类似国家设置、键盘类型和日期格式。   
    常见错误: N/A   
    是否为系统进程: 是
  C.进程文件: internat 或者 internat.exe
    进程名称: Microsoft Input Locales
    描述:internat.exe是微软Windows多语言输入程序。这个程序对你系统的正常运行是非常重要的。internatt.exe也有可能是Win32.Lydra.a木马的一部分。该木马允许攻击者访问你的计算机,窃取密码和个人数据。该进程的安全等级是建议删除。
    出品者: Microsoft Corp.
    属于: Microsoft Windows Operating System
    系统进程: 是
    后台程序: 是
    使用网络: 否
    硬件相关: 否
    常见错误: 未知N/A
    内存使用: 未知N/A 
    安全等级 (0-5): 0
    间谍软件: 否
    广告软件: 否
    病毒: 否
    木马: 否

    “dumprep.exe”和“internat.exe”进程从来没有在我的任务管理器出现,我经常检查任务管理器,虽然在网上可以了解到这两个程序(进程)有问题,但是没用木马杀客检查系统的时候,电脑没有什么问题,杀了以后也没什么异常,这次杀出21个来,有些我看文件名就知道文件有问题,可是杀毒软件没报警(尽管现在的杀毒软件都加了杀木马的功能),但是有些我看不出有没有问题。
    上面提到一个explorer.exe进程,木马杀客把他隔离了,同时整个桌面也崩溃,恢复过桌面假死状态的朋友应该知道是怎么一回事吧,木马杀客把“explorer.exe”进程给结束了,我打开任务管理器,新建任务,输入:explorer.exe 桌面又恢复了,好象explorer.exe程序没有真正被删除,否则,电脑就无法正常使用,还以为“explorer.exe”被病毒感染,重启电脑,用木马杀客检查系统,“explorer.exe”又被结束了,2006年9月份(7月份的病毒库升级了一次,版本升到9月份)的木马杀客版本没这样杀法的,而且也没检查出什么木马病毒,今天升级杀客到V11.11.11,更新日期:06年10月6日,对系统杀毒检查的时候就出现这个问题了,现在有点怀疑木马杀客在检查系统的时候有问题,很是郁闷。
    木马杀客也杀了C:\WINDOWS\system32\alg.exe这个文件,之前我停掉了alg.exe这个网络共享服务,任务管理器也没有这个alg.exe进程,如果这个文件被删掉的话,以后不知道还能不能开网络共享服务,或者对以后开alg.exe服务有没有什么坏的影响,大家可以帮忙解答这个问题么?
    木马杀客也删了些dllcache文件夹里面的文件,我想问下,dllcache文件夹里面的文件被删掉些,会有什么影响?主要是我的电脑里的dllcache文件夹有个“explorer.exe”文件也被删了,不知道dllcache文件夹下的“explorer.exe”文件和C:\WINDOWS目录下的“explorer.exe”有没有什么联系。
  以上只对其中一部分进行讨论,大家可以对上面任何一个进程或是程序文件发表下自己的见解,一起来讨论讨论吧。


地主 发表时间: 06-10-10 16:50

回复: 流浪猫猫 [rovecat]   版主   登录
很多病毒会跟explorer.exe关联起来的,所以杀毒软件会结束进程的。
alg.exe是系统程序,你手动删除了下次系统就会自动恢复的,而恢复的文件就是从dllcache里复制出来,所以说dllcache里有一个explorer.exe是正常的系统为了重要的系统文件做的备份,删掉这个文件夹里的东西是对系统没有影响的。不过既然你的dllcache里的文件都已经中毒,那建议还是重装一下系统为好,再有就是木马软件最好能跟杀毒软件结合使用才会最安全,因为木马软件有里对一些带有病毒性质的木马是无能为力的,所以说也不要过分相信木马软件的报告,还是再装一个杀软件为好。

B1层 发表时间: 06-10-10 22:13

回复: coolguy [coolguy]   论坛用户   登录
我发现那些被杀掉的文件,都被加了个“_被屏蔽木马”的后缀,重启计算机后,有些文件会自动由系统从保护文件夹里复制出来,重新生成,但是有些没有重新生成,除了C:\WINDOWS\system32下的“internat.exe”这个文件变成了“internat.exe_被屏蔽木马”被我手动删除外,其它的有些被我改回原文件名,有些是系统重新生成的文件,我就不改名了,也删掉了,这个木马杀客确实有些过分,前两天我把木马杀客卸载掉了,以后也不再装木马杀客。
那天我特意考了个系统文件到D盘下的一个文件夹,用木马杀客查了下,文件又被改名,同时windows目录下的explorer.exe被删除,通过任务管理器新建explorer.exe,系统提示explorer.exe不是内部或者是外部命令,杀毒是一回事,它木马杀客没帮我把名字改回来,由于整个桌面崩溃,无法进入“我的电脑”把名字改回,没办法,只得写个批处理文件来弄了。
输入notepad命令,打开记事本,先把explorer.exe被改的文件名找到,复制“explorer.exe_被屏蔽木马”文件名,关掉对话框,直接在记事里写代码:
@echo off
ren %windir%\explorer.exe_被屏蔽木马 explorer.exe
goto end
然后保存文件(假设为rev.txt)到D盘目录下,接着在命令对话框里输入:
ren d:\rev.txt rev.bat
输入 d:\rev.bat
最后再输入explorer.exe,桌面又回来了,系统恢复正常。
卸载木马杀客是出于无耐,每次启动它检查系统,都要把我桌面弄崩溃,恢复起来虽然不是什么困难的事情,但是我不想重复做这种恢复桌面的工作,既麻烦又浪费时间,没有木马杀客也好,这样可以锻炼自己,挑战嘛。我想,很多20CN的朋友都喜欢DIY吧,毕竟很多事情都要靠自己解决,杀毒工具只是给自己提供一定的帮助,但不是完全的。

B2层 发表时间: 06-10-13 20:42

论坛: 病毒专区

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号