微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 微点无法彻底清除的一个木马  

作者:
标题: 微点无法彻底清除的一个木马
luoniao
新手上路





积分 35
发帖 33
注册 2006-5-14
#1  微点无法彻底清除的一个木马

每次开机都会提示发现间谍软件C:\WINDOWS\SYSTEM32\39XSU2TXC.DLL,
但是无法彻底清除,每次开机都会再生
已经把样本发到support@micropoint.com.cn

[ Last edited by luoniao on 2007-11-14 at 15:49 ]

※ ※ ※ 本文纯属【luoniao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-14 15:44
查看资料  发送邮件  发短消息   编辑帖子
qq2008444
银牌会员

职业潜水艇


积分 5373
发帖 5291
注册 2007-7-7
来自 兰·基亚斯 兰古拉王国
#2  



  Quote:
Originally posted by luoniao at 2007-11-14 15:44:
每次开机都会提示发现间谍软件C:\WINDOWS\SYSTEM32\39XSU2TXC.DLL,
但是无法彻底清除,每次开机都会再生
已经把样本发到support@micropoint.com.cn

[ Last edited by luoniao on 2007-11-1 ...

不一定是木马
也有可能是误报
不过如果一直提示发现
也许是有守护进程吧

※ ※ ※ 本文纯属【qq2008444】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

迅雷不及掩耳盗铃,以不变应万变不离其宗,成事不足挂齿,此物最相思风雨中,一屋不扫何以扫天下无敌,东边日出西边雨一直下,举头望明月几时有,呆若木鸡毛当令箭,杀鸡焉用牛刀小试,锋芒毕露春光,围魏救赵宝奎,Very good bye,八格牙鲁冰花,一泻千里共婵娟……
2007-11-14 15:59
查看资料  发送邮件  发短消息   编辑帖子
autorun
注册用户





积分 52
发帖 44
注册 2007-7-27
#3  

可以尝试使用微点提供的日志信息分析:
到木马日志看这个东东的老爸,嘿嘿就是他的创建者,好像双击一下能看到很多内容的,由于每次开机点点就报警,分析一个是随系统启动的东东,一个可能是系统进程被注入(注入:其实应该叫做动态嵌入技术,是指将自己的代码嵌入正在运行的进程,特别是系统进程,可以通过hook函数、挂接api、远程线程等方法实现)了,一般木马很愿意注入explorer进程,如果他的生成者是explorer的话,一般可能就是它被注入了,不过一般这种情况好像点点能搞定的。

※ ※ ※ 本文纯属【autorun】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-14 18:06
查看资料  发送邮件  发短消息   编辑帖子
luoniao
新手上路





积分 35
发帖 33
注册 2006-5-14
#4  

木马日志里,这个DLL文件的木马创建者下面是空白的

※ ※ ※ 本文纯属【luoniao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-15 09:26
查看资料  发送邮件  发短消息   编辑帖子
hanker
版主

永远的偶像


积分 963
发帖 929
注册 2007-2-28
#5  

楼主,你还是加微点的技术交流群处理吧,让那的管理员帮你看下

※ ※ ※ 本文纯属【hanker】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-15 14:50
查看资料  发送邮件  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#6  

楼主可以尝试用以上方法来解决
1.打开微点主界面-查看微点的程序生成日志,看看是否每次启动后是否的都用该文件生成,如果有请注意查看是什么文件生成的,注意看他的生成者(定位到生成者可以更有效的清除病毒),另外在系统自启动信息中查看是否有该dll的自启动项,如果有可以利用微点点击右键删除。

2.如果发现没有启动项,也没有生成的日志,楼主可以查看你的C:\WINDOWS\SYSTEM32\39XSU2TXC.DLL具体的路径下看看有没有该文件,如果有尝试手动删除,如果不可以删除,楼主可以系统自启动信息查看是否有可疑的驱动
加载(防止在dll文件受到驱动的保护无法彻底删除),也可以尝试将怀疑的驱动删除或者上报给微点。

这是我平常发现问题用微点的处理小思路,希望能给楼主和大家提供多一些处理问题的方法!
另外记得将删除的文件和微点的技术支持文档发给微点官方,完善我们的国产软件。

[ Last edited by lotei on 2007-11-15 at 15:23 ]

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-15 15:21
查看资料  发送邮件  发短消息   编辑帖子
24#pX
注册用户





积分 52
发帖 52
注册 2007-11-15
#7  

杀个毒也很复杂啊

※ ※ ※ 本文纯属【24#pX】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-15 21:43
查看资料  发送邮件  发短消息  QQ   编辑帖子
luoniao
新手上路





积分 35
发帖 33
注册 2006-5-14
#8  

开机后不用微点剔除这个C:\WINDOWS\SYSTEM32\39XSU2TXC.DLL,手工无法剔除,用“谁锁住了我”检查,发现守护进程是System,看来是驱动级的东西了,懒得弄了,直接用GHOST恢复了系统

※ ※ ※ 本文纯属【luoniao】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-11-16 13:31
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号