微点交流论坛

标题: 最近经常被木马袭击！ [打印本页]

作者: newduba 时间: 2008-4-4 22:18 标题: 最近经常被木马袭击！

最近我安装了360安全卫士4.1和360保险箱，也修补好了所有的系统漏洞，并且用卡巴斯基7.0.125绿色版每天升级并且扫描，但是微点依旧经常报木马。
我将微点报的文件上传到了杀毒服务器，其他软件都说没有问题，但是微点还是不时的报告有木马，可那个文件反复出现。微点没有帮我清理干净系统啊！

时间处理结果木马名称木马进程名木马文件创建者
2008-04-04 21:48:13 处理成功未知木马 H:\WINDOWS\SYSTEM32\PROBPOLICER.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2008-04-04 21:38:21 处理成功未知木马 H:\WINDOWS\SYSTEM32\DRIVCNOTEB.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2008-04-04 20:44:23 处理成功未知木马 H:\WINDOWS\SYSTEM32\PROBADVERTIZE.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2008-04-04 20:06:23 处理成功未知木马 H:\WINDOWS\SYSTEM32\PROBNOTEB.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2008-04-04 19:45:33 处理成功未知木马 H:\WINDOWS\SYSTEM32\SATSFEDDMPLETELY.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2008-04-04 19:09:51 处理成功未知木马 H:\WINDOWS\SYSTEM32\SATSFEDPOLICER.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-04 19:07:25 处理成功未知木马 H:\WINDOWS\SYSTEM32\SYSTEMWIHIN.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

由于报的频率过高，我只要选择了自动处理的模式，这是木马日志。
我找了QQ的微点管理员，但是没有理睬我：（

经常是微点报木马的时候造成系统资源耗尽，鼠标键盘很久没有反应，而且这几天关机也要等十分钟左右！
我的版本：微点主动防御软件预升级
程序版本： 1.2.10572.0171
特征版本： 1.6.653.080404
更新时间： 2008-04-04 17:06:36

系统是xp sp2的，cpu为amd 3600+，内存2G，硬盘320G

真的希望微点可以帮我清理干净这几个木马，比较奇怪的是木马都是资源管理器和ie释放的，即使我用的火狐也一样！:(

作者: Legend 时间: 2008-4-4 22:48
请楼主将被报警文件，连同技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）发送到support@micropoint.com.cn邮箱我们将做进一步的测试分析，请附上本贴链接，以便我们进行深入测试，跟踪解决您的问题。

作者: newduba 时间: 2008-4-6 14:01
恩，今天发现已经被全部命名了木马！

作者: Legend 时间: 2008-4-11 12:29
请楼主给我们提供一下微点的技术支持信息（微点主界面-->辅助功能-->生成技术支持信息），我们好进一步分析。

作者: newduba 时间: 2008-4-11 17:31 标题: 新的进展

今天用360扫描到的：
360安全卫士木马查杀历史报告

木马名称：Trojan/Win32.Agent.mmq[Downloader]
路径：H:\WINDOWS\system32\wihinsystem.exe
查杀时间：2008-04-11 17:13
木马名称：Trojan/Win32.Agent.mmq[Downloader]
路径：H:\WINDOWS\system32\wihinregist.exe
查杀时间：2008-04-11 17:13
木马名称：Trojan/Win32.Agent.mmq[Downloader]
路径：H:\WINDOWS\system32\wihinGuarant.exe
查杀时间：2008-04-11 17:13
木马名称：Trojan/Win32.Agent.mmq[Downloader]
路径：H:\WINDOWS\system32\Thanksnetwork.exe
查杀时间：2008-04-11 17:13
木马名称：Trojan/Win32.Agent.mmq[Downloader]
路径：H:\WINDOWS\system32\systemadvertize.exe
查杀时间：2008-04-11 17:13
木马名称：Trojan/Win32.Agent.mmq[Downloader]
路径：H:\WINDOWS\system32\pathsdmpletely.exe
查杀时间：2008-04-11 17:13
木马名称：Trojan/Win32.Agent.mmq[Downloader]
路径：H:\WINDOWS\system32\Parameternetwork.exe
查杀时间：2008-04-11 17:13
木马名称：Trojan/Win32.Agent.mmq[Downloader]
路径：H:\WINDOWS\system32\mondayregist.exe
查杀时间：2008-04-11 17:13
木马名称：Trojan/Win32.Agent.mmq[Downloader]
路径：H:\WINDOWS\system32\minutereward.exe
查杀时间：2008-04-11 17:13
木马名称：Trojan/Win32.Agent.mmq[Downloader]
路径：H:\WINDOWS\system32\dmpletelysatsfed.exe
查杀时间：2008-04-11 17:13
木马名称：Trojan/Win32.Agent.mmq[Downloader]
路径：H:\WINDOWS\system32\cashedrivc.exe
查杀时间：2008-04-11 17:13
木马名称：Trojan/Win32.Agent.mmq[Downloader]
路径：H:\WINDOWS\system32\advertizeParameter.exe
查杀时间：2008-04-11 17:13

就是上次发现的文件，我已经通过微点软件的隔离区上报了样本了！

下面是我的微点的木马报告：
时间处理结果木马名称木马进程名木马文件创建者
2008-04-11 17:19:18 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\POLICERPATHS.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2008-04-11 17:09:52 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\WIHINSYSTEM.EXE
2008-04-11 17:09:52 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\WIHINREGIST.EXE
2008-04-11 17:09:52 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\WIHINGUARANT.EXE
2008-04-11 17:09:46 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\THANKSNETWORK.EXE
2008-04-11 17:09:45 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\SYSTEMADVERTIZE.EXE
2008-04-11 17:09:32 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\PATHSDMPLETELY.EXE
2008-04-11 17:09:32 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\PARAMETERNETWORK.EXE
2008-04-11 17:09:11 延时删除 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\MONDAYREGIST.EXE
2008-04-11 17:09:10 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\MINUTEREWARD.EXE
2008-04-11 17:09:02 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\DMPLETELYSATSFED.EXE
2008-04-11 17:08:58 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\CASHEDRIVC.EXE
2008-04-11 17:08:56 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\ADVERTIZEPARAMETER.EXE
2008-04-10 17:09:14 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\NOTEBDATE.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-10 17:05:17 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\GUARANTNOTEB.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-10 16:19:08 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\TASKMASTREGIST.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-10 15:51:51 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\DATEMONDAY.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-10 14:04:17 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\CREATESATCHER.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-10 13:48:12 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\DMPLETELYDRIVC.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-09 23:52:13 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\PATHSWIHIN.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-09 23:10:06 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\TASKMASTCREATE.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2008-04-09 23:04:11 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\SYSTEMPEPARE.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2008-04-08 18:16:26 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\ADVERTIZEDRIVC.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-08 17:51:46 延时删除 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\WIHINDATE.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-08 12:05:18 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\PEPAREREGIST.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2008-04-07 18:27:21 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\PROBADVERTIZE.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2008-04-06 22:36:41 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\CREATESATCHER.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-06 22:29:49 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\PATHSCASHE.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2008-04-06 22:22:38 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\ADVERTIZEDATE.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-06 22:19:29 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\REGISTPOLICER.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-06 22:07:40 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\WIHINDATE.EXE H:\WINDOWS\EXPLORER.EXE
2008-04-06 22:05:55 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\TASKMASTGUARANT.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
2008-04-06 21:44:03 处理成功 Trojan-Spy.Win32.Delf.fkh H:\WINDOWS\SYSTEM32\TASKMASTGUARANT.EXE H:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE

现在的关键不是木马是否成功运行了，而是我的系统清理不干净啊！！！
看到这些东西，心理总是发毛：（

再次声明我的微点每天都升级了

微点主动防御软件预升级
程序版本： 1.2.10573.0022
特征版本： 1.6.662.080410
更新时间： 2008-04-11 14:16:40

我已经生成了支持文件，发到病毒上报邮箱吧！

作者: newduba 时间: 2008-4-11 17:32
哦，顺便说明一下，现在的系统经常运行一段时间就会假死，要等一会儿才有反映，不知道是否木马造成的，因为我已经设置了微点自动处理了。

作者: Legend 时间: 2008-4-16 11:36
请楼主查收邮件，请您按照邮件提示进行操作。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn