微点交流论坛

标题: 好像中毒了 [打印本页]

作者: 落木 时间: 2008-5-10 11:38 标题: 好像中毒了

系统启动时微点报广告软件，日志如下：
时间处理结果木马名称木马进程名木马文件创建者
2008-05-10 11:24:22 处理成功 AdWare.Win32.Cinmus.cuc C:\WINDOWS\SYSTEM32\DLBAR.EXE SYSTEM
2008-05-10 10:17:28 处理成功 AdWare.Win32.Cinmus.cuc C:\WINDOWS\SYSTEM32\DLBAR.EXE SYSTEM

程序生成日志：
创建时间文件名创建者
2008-05-10 11:24:01 C:\WINDOWS\SYSTEM32\WINLIB4.DLL SYSTEM
2008-05-10 10:53:15 C:\WINDOWS\SYSTEM32\WINLIB3.DLL SYSTEM
2008-05-10 10:50:20 C:\WINDOWS\SYSTEM32\DLBAR.EXE SYSTEM
2008-05-10 10:50:18 C:\WINDOWS\SYSTEM32\WINLIB2.DLL SYSTEM

WINLIB4.DLL WINLIB3.DLL WINLIB2.DLL
是不是病毒文件？

作者: Legend 时间: 2008-5-10 11:49
请楼主这几个文件以及微点的生成技术支持信息压缩发送到技术支持邮箱support@micropoint.com.cn，我们会有专业人员帮您分析，并将结果回复到您的邮箱，发送邮件时请复制本帖连接，便于我们跟踪处理您的问题。

作者: threeswords 时间: 2008-5-10 11:55
从楼主的日志看来微点删除了2次说明还有更上层的没有清除
网上查了下可能是由一个叫 acpidisk.sys 生成的
楼主可以在自启动信息里把这个驱动删除
也把那几个DLL文件都删除

楼主是不是关闭过微点？微点一般都能判断生成木马的上一级文件，一并删除的啊
奇怪

作者: 落木 时间: 2008-5-10 13:04
文件已发送
没有楼上说的acpidisk.sys
没有关闭过微点

作者: 落木 时间: 2008-5-10 20:01
超版，什么时候能分析好啊

作者: 落木 时间: 2008-5-10 20:25
在c:\windows\system32\drivers\有acpidisk.sys文件

作者: Legend 时间: 2008-5-10 20:50
请楼主通过论坛短消息将您的邮箱地址发给我，请附带此贴链接

作者: lotei 时间: 2008-5-11 11:37
该驱动文件注入系统进程中去了，是一个流氓软件，生成一些广告软件，楼主查查系统启动信息里面是否有acpidisk.sys驱动的自启动项，如果有点右键删除文件和自启动项，然后删除之前生成的dll文件即可彻底清除。

[ Last edited by lotei on 2008-5-11 at 12:08 ]

作者: qq200878 时间: 2008-5-11 12:13
微点不把流氓当病毒的确很麻烦

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn