微点交流论坛

标题: 微点无法彻底清除的一个木马 [打印本页]

作者: luoniao 时间: 2007-11-14 15:44 标题: 微点无法彻底清除的一个木马

每次开机都会提示发现间谍软件C:\WINDOWS\SYSTEM32\39XSU2TXC.DLL，
但是无法彻底清除，每次开机都会再生
已经把样本发到support@micropoint.com.cn

[ Last edited by luoniao on 2007-11-14 at 15:49 ]

作者: qq2008444 时间: 2007-11-14 15:59

Quote:

Originally posted by luoniao at 2007-11-14 15:44:
每次开机都会提示发现间谍软件C:\WINDOWS\SYSTEM32\39XSU2TXC.DLL，
但是无法彻底清除，每次开机都会再生
已经把样本发到support@micropoint.com.cn

[ Last edited by luoniao on 2007-11-1 ...

不一定是木马
也有可能是误报
不过如果一直提示发现
也许是有守护进程吧

作者: autorun 时间: 2007-11-14 18:06
可以尝试使用微点提供的日志信息分析：
到木马日志看这个东东的老爸，嘿嘿就是他的创建者，好像双击一下能看到很多内容的，由于每次开机点点就报警，分析一个是随系统启动的东东，一个可能是系统进程被注入（注入：其实应该叫做动态嵌入技术，是指将自己的代码嵌入正在运行的进程，特别是系统进程，可以通过hook函数、挂接api、远程线程等方法实现）了，一般木马很愿意注入explorer进程，如果他的生成者是explorer的话，一般可能就是它被注入了，不过一般这种情况好像点点能搞定的。

作者: luoniao 时间: 2007-11-15 09:26
木马日志里，这个DLL文件的木马创建者下面是空白的

作者: hanker 时间: 2007-11-15 14:50
楼主，你还是加微点的技术交流群处理吧，让那的管理员帮你看下

作者: lotei 时间: 2007-11-15 15:21
楼主可以尝试用以上方法来解决
1.打开微点主界面-查看微点的程序生成日志，看看是否每次启动后是否的都用该文件生成，如果有请注意查看是什么文件生成的，注意看他的生成者（定位到生成者可以更有效的清除病毒），另外在系统自启动信息中查看是否有该dll的自启动项，如果有可以利用微点点击右键删除。

2.如果发现没有启动项，也没有生成的日志，楼主可以查看你的C:\WINDOWS\SYSTEM32\39XSU2TXC.DLL具体的路径下看看有没有该文件，如果有尝试手动删除，如果不可以删除，楼主可以系统自启动信息查看是否有可疑的驱动
加载（防止在dll文件受到驱动的保护无法彻底删除），也可以尝试将怀疑的驱动删除或者上报给微点。

这是我平常发现问题用微点的处理小思路，希望能给楼主和大家提供多一些处理问题的方法！
另外记得将删除的文件和微点的技术支持文档发给微点官方，完善我们的国产软件。

[ Last edited by lotei on 2007-11-15 at 15:23 ]

作者: 24#pX 时间: 2007-11-15 21:43
杀个毒也很复杂啊

作者: luoniao 时间: 2007-11-16 13:31
开机后不用微点剔除这个C:\WINDOWS\SYSTEM32\39XSU2TXC.DLL，手工无法剔除，用“谁锁住了我”检查，发现守护进程是System,看来是驱动级的东西了，懒得弄了，直接用GHOST恢复了系统

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn