标题:
紧急求助`~管理员请进~
[打印本页]
作者:
cmzx
时间:
2007-12-13 00:24
标题:
紧急求助`~管理员请进~
中了一个远程控制木马怎么也杀不掉~
该木马作者自称格式化硬盘也不行~
除非换主板~~
用微点弄了下~~结果还是在`~~
这个是病毒样本大家别下载哦~
这个是病毒样本大家别下载哦~[*url=http://www.***.]==病毒样本下载==[/url]
管理员帮帮想想办法`~~
[
Last edited by Legend on 2007-12-13 at 00:48
]
作者:
Legend
时间:
2007-12-13 00:46
请勿在本论坛发可疑文件连接,避免其他网友误点,下次请直接发到
virus@micropoint.com.cn
我们会具体测试分析。
谢谢您的反馈,请把您的微点软件辅助功能-生成技术支持信息导出复制到桌面压缩发到
support@micropoint.com.cn
我们具体测试分析下。
随信请注明您的具体情况,发送完请把您的邮箱地址用论坛短消息发给我,方便对您的问题的跟踪处理。
作者:
liang___xiao
时间:
2007-12-13 00:47
......
作者:
liang___xiao
时间:
2007-12-13 00:51
你也可以去"病毒王国"发帖子求助.里面高手多.
作者:
david1126103
时间:
2007-12-13 01:13
这是一个Rootkit,不过貌似很久以前的东西了
先在 %windir%\\system32\\wbem 目录下创建 wbemuppd.dll 文件
注入 winlogon 进程还创建 %windir%\\system32\\DRIVERS\USBEHCL.SYS ,并加载此驱动,此驱动使用了挂钩SSDT中的 NtDeviceIoControlFile 来隐藏连接和端口信息
楼主显示的那个信息应该是N卡驱动程序。。。
正确微点查杀见下图
不过微点好像少了报了一个,C盘根目录下生成了一个DLL
衍生物:
C:\BROWSER.DLL
原程序:
C:\DOCUMENTS AND SETTINGS\桌面\81_1800_0.EXE
手动删除了。。没事了
[
Last edited by david1126103 on 2007-12-13 at 01:21
]
作者:
cmzx1
时间:
2007-12-13 01:35
cmzx这个ID进不来换了个ID进来继续
我系统有备份的`~
还原了一下结果病毒还在~~
还是清理不掉~
生成了下微点点技术支持信息包,我丢上来~
管理员帮我研究下~~
这里下载技术支持信息包
作者:
Legend
时间:
2007-12-13 01:56
经分析您提供的技术支持信息中并无您所反馈的远程控制木马相关信息,可能与您已经还原系统有关;
谢谢您的反馈,您提供的可疑程序下载连接我们会具体测试分析。
作者:
Legend
时间:
2007-12-14 18:22
版主david1126103所说的那个程序是系统程序,所以微点是不会删除处理
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
