微点交流论坛

标题: 老是跳病毒~~好麻烦 [打印本页]

作者: duoliuxing 时间: 2008-1-19 01:30 标题: 老是跳病毒~~好麻烦

日志
为什么老是跳病毒出来，之前还修改时间，换了很多杀软貌似都不制本，巨麻烦……

作者: duoliuxing 时间: 2008-1-19 01:40
时间处理结果木马名称木马进程名木马文件创建者
2008-01-19 01:34:00 处理成功未知木马 C:\WINDOWS\SYSTEM32\INTELDL.DLL C:\WINDOWS\TEMP\IXP000.TMP\SETUP.EXE
2008-01-19 01:34:00 处理成功未知木马 C:\WINDOWS\TEMP\IXP000.TMP\SETUP.EXE C:\WINDOWS\SYSTEM32\OKY.EXE
2008-01-19 01:33:59 处理成功未知木马 C:\WINDOWS\SYSTEM32\OKY.EXE C:\WINDOWS\SYSTEM32\WSCRIPT.EXE
2008-01-19 01:15:15 处理成功 Trojan-Downloader.Win32.Delf.ibp C:\WINDOWS\FIREFOXUPDATER.EXE C:\WINDOWS\SYSTEM32\FTP.EXE
2008-01-19 01:15:13 处理成功未知木马 C:\WINDOWS\SYSTEM32\OEMFLASH.EXE C:\WINDOWS\LEE.EXE
2008-01-19 01:15:13 处理成功未知木马 C:\WINDOWS\SYSTEM32\REGOPENGL.EXE C:\WINDOWS\LEE.EXE
2008-01-19 01:15:12 处理成功未知木马 C:\WINDOWS\SYSTEM32\REGDISK.EXE C:\WINDOWS\LEE.EXE
2008-01-19 01:15:11 处理成功未知木马 C:\WINDOWS\SYSTEM32\ERSVGA.EXE C:\WINDOWS\LEE.EXE
2008-01-19 01:15:11 处理成功 Trojan-Downloader.Win32.Delf.ipx C:\WINDOWS\SYSTEM32\SAFEMERCY.DLL C:\WINDOWS\LEE.EXE
2008-01-19 01:15:09 处理成功未知木马 C:\WINDOWS\LEE.EXE C:\WINDOWS\SYSTEM32\FTP.EXE
2008-01-19 01:14:59 处理成功 Trojan-Downloader.Win32.Delf.ipx C:\WINDOWS\SYSTEM32\WINDOWSPOLICE.DLL C:\WINDOWS\LEE.EXE
2008-01-19 01:14:22 处理成功 Backdoor.Win32.Delf.cku C:\WINDOWS\SYSTEM32\CENTERSYSTEM.EXE C:\WINDOWS\LEE.EXE
2008-01-19 01:14:22 处理成功 Backdoor.Win32.Delf.cku C:\WINDOWS\SYSTEM32\JAZZSYSTEM.EXE C:\WINDOWS\LEE.EXE
2008-01-19 01:14:22 处理成功 Rootkit.Win32.Agent.pg C:\WINDOWS\SYSTEM32\VGAD3DDRIVER.SYS C:\WINDOWS\LEE.EXE
2008-01-19 01:14:22 处理成功 Rootkit.Win32.Agent.pg C:\WINDOWS\SYSTEM32\VGAD3DDRIVER.SYS C:\WINDOWS\LEE.EXE
2008-01-19 01:14:22 处理成功 Trojan-Downloader.Win32.Delf.ipx C:\WINDOWS\SYSTEM32\WATCHANTILAB.DLL C:\WINDOWS\LEE.EXE
2008-01-19 01:14:11 处理成功 Trojan-Downloader.Win32.Delf.ipx C:\WINDOWS\SYSTEM32\ASDTERDRIVER.DLL C:\WINDOWS\LEE.EXE
2008-01-19 01:14:01 处理成功 Backdoor.Win32.Delf.cku C:\WINDOWS\SYSTEM32\WINMEAT.EXE C:\WINDOWS\LEE.EXE
2008-01-19 01:14:01 处理成功 Backdoor.Win32.Delf.cku C:\WINDOWS\SYSTEM32\KEYMERCY.EXE C:\WINDOWS\LEE.EXE
2008-01-19 01:14:01 处理成功 Rootkit.Win32.Agent.pg C:\WINDOWS\SYSTEM32\VGAD3DDRIVER.SYS C:\WINDOWS\LEE.EXE
2008-01-19 01:13:57 处理成功 Trojan-Downloader.Win32.Delf.ipx C:\WINDOWS\SYSTEM32\POLICESAFE.DLL C:\WINDOWS\LEE.EXE
2008-01-19 01:13:52 处理成功 Trojan-Downloader.Win32.Delf.ipx C:\WINDOWS\SYSTEM32\CENTERREPORT.DLL C:\WINDOWS\LEE.EXE
2008-01-19 01:12:55 延时删除未知木马 C:\WINDOWS\SYSTEM32\LWISYS16_080117.DLL C:\WINDOWS\FIREFOXUPDATER.EXE
2008-01-19 01:12:52 处理成功未知木马 C:\WINDOWS\SYSTEM32\INF\SCRSYS16_080117.DLL C:\WINDOWS\FIREFOXUPDATER.EXE
2008-01-19 01:12:52 处理成功未知木马 C:\WINDOWS\SYSTEM32\INF\SCRSYS080117.SCR C:\WINDOWS\FIREFOXUPDATER.EXE
2008-01-19 01:12:52 处理成功未知木马 C:\WINDOWS\SYSTEM32\MWISYS32_080117.DLL C:\WINDOWS\SYSTEM\SSLXPES080117.EXE
2008-01-19 01:12:51 处理成功未知木马 C:\WINDOWS\SYSTEM\SSLXPES080117.EXE C:\WINDOWS\FIREFOXUPDATER.EXE
2008-01-19 01:12:51 处理成功未知木马 C:\WINDOWS\FIREFOXUPDATER.EXE C:\WINDOWS\SYSTEM32\FTP.EXE
2008-01-18 16:38:43 处理成功 Trojan-Downloader.Win32.Delf.ipx C:\WINDOWS\SYSTEM32\DATEMERCY.DLL C:\WINDOWS\SYSTEM32\WHO.EXE

作者: duoliuxing 时间: 2008-1-19 01:40
创建时间键名称原数据新数据创建者
2008-01-19 01:14:22 HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\OEMFLASH\ IMAGEPATH C:\WINDOWS\SYSTEM32\OEMFLASH.EXE C:\WINDOWS\LEE.EXE
2008-01-19 01:14:22 HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\REGOPENGL\ IMAGEPATH C:\WINDOWS\SYSTEM32\REGOPENGL.EXE C:\WINDOWS\LEE.EXE
2008-01-19 01:14:01 HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\REGDISK\ IMAGEPATH C:\WINDOWS\SYSTEM32\REGDISK.EXE C:\WINDOWS\LEE.EXE
2008-01-19 01:14:01 HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\ERSVGA\ IMAGEPATH C:\WINDOWS\SYSTEM32\ERSVGA.EXE C:\WINDOWS\LEE.EXE
2008-01-19 01:12:17 HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN\ MYUSERINIT C:\WINDOWS\SYSTEM32\INF\SVCHOSTS.EXE C:\WINDOWS\SYSTEM32\LWISYS16_080117.DLL START C:\WINDOWS\SYSTEM\SSLXPES080117.EXE
2008-01-18 17:04:45 HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE
2008-01-18 17:01:47 HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE
2008-01-18 16:51:13 HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SPUPDSVC\ IMAGEPATH C:\WINDOWS\SYSTEM32\SPUPDSVC.EXE C:\WINDOWS\SYSTEM32\SPUPDSVC.EXE
2008-01-18 16:41:04 HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE
2008-01-18 16:25:47 HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE
2008-01-18 16:21:18 HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SPUPDSVC\ IMAGEPATH C:\WINDOWS\SYSTEM32\SPUPDSVC.EXE C:\WINDOWS\SYSTEM32\SPUPDSVC.EXE
2008-01-18 16:11:05 HKCU\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\ CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE C:\WINDOWS\SYSTEM32\CTFMON.EXE

作者: Legend 时间: 2008-1-19 08:04
请楼主将技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）发送到support@micropoint.com.cn邮箱我们将做进一步的测试分析,请附上本贴链接以及超级，以便跟踪解决您的问题。

作者: wantcm 时间: 2008-1-19 08:53
请查找C:\WINDOWS\LEE.EXE，删除此文件。

作者: fengluandieqi 时间: 2008-1-19 10:13
我和你也是一样的问题 .玩着好好的游戏就被退出来了 ..而且微点还显示着有木马程序..程序起源者就是我的游戏程序.我的是QQ游戏和憋气游戏..想问是怎么回事呢？

作者: Legend 时间: 2008-1-19 10:20
fengluandieqi
请将您的游戏的安装程序或者具体下载链接、被报警的木马程序以及微点的技术支持信息压缩发送到 support@micropoint.com.cn 邮箱，并简要说明情况，我们具体测试分析后尽快给您回复，谢谢。

注：1)技术支持信息的生成操作: 微点主界面-->辅助功能-->生成技术支持信息。
2)按微点提示删除的文件会保存于[安全防护与策略|有害程序隔离]中，右键点击后选择“另存”，若报警提示删除，请先选择不删除，压缩后再处理。
3)发送时请在邮件中注明本帖链接，并在发送后请将您的邮箱地址通过论坛短消息发给我，便于我们及时跟踪处理。

作者: duoliuxing 时间: 2008-1-19 15:55
我已经发邮件给你们了在里面付了帖子地址，LEE这个文件删不掉的，一会还会再跳出来，然后在进程里出现……开N个CMD 接着狂跳病毒…………

作者: duoliuxing 时间: 2008-1-20 13:56
啊啊& 还没解决办法么....

作者: jaber 时间: 2008-1-20 21:24
请将你的邮箱发短信息给LEGEND，并附本帖链接，帮你查询邮件是否收到！

作者: Legend 时间: 2008-1-25 17:49
请楼主升级微点到最新进行测试一下。

作者: qqrosicky 时间: 2008-1-25 20:54
一直以来都是匿名看贴，今天看到这位兄台的情况，不得不说一下

你确实是中毒了，微点狂报病毒是正常地，

因为我遇到过，进程里N多的CMD.EXE ATTRIB.EXE。
去百度查下吧！是盗号木马，盗qq的

作者: Legend 时间: 2008-1-28 17:49
请问楼主的问题是否已经解决，如果没有，请及时联系我们。

作者: qq2008444 时间: 2008-1-28 20:16
这个肯定是有守护进程的
你再删也没用
如果你不嫌麻烦就进PE删吧。。。

删完用 "sfc\scannow"
不过我一般直接重装了事。。。

作者: duoliuxing 时间: 2008-2-2 04:32
我晕了，低格分盘之后怎么还有....类似这样生成LEE.EXE OKY.EXE之类的后面或者木马。
创建时间文件名创建者
2008-02-02 04:12:25 C:\WINDOWS\FIREFOXUPDATER.EXE C:\WINDOWS\SYSTEM32\FTP.EXE
2008-02-02 04:04:49 C:\WINDOWS\SYSTEM32\DLLCACHE\FTP.EXE.NEW C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2008-02-02 04:04:44 C:\WINDOWS\SYSTEM32\FTP.EXE.NEW C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2008-02-02 04:04:39 C:\WINDOWS\SYSTEM32\FTP12.EXE C:\WINDOWS\EXPLORER.EXE
2008-02-02 04:04:00 C:\WINDOWS\SYSTEM32\DLLCACHE\FTP.EXE.NEW C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2008-02-02 04:03:55 C:\WINDOWS\SYSTEM32\FTP.EXE.NEW C:\WINDOWS\SYSTEM32\WINLOGON.EXE
2008-02-02 04:03:49 C:\WINDOWS\SYSTEM32\FTP12312.EXE C:\WINDOWS\EXPLORER.EXE
2008-02-02 04:02:01 C:\WINDOWS\SYSTEM32\DISKERS.EXE C:\WINDOWS\LEE.EXE
2008-02-02 04:02:01 C:\WINDOWS\SYSTEM32\JAZZKEY.EXE C:\WINDOWS\LEE.EXE
2008-02-02 04:02:00 C:\WINDOWS\SYSTEM32\DISKCDRIVER.SYS C:\WINDOWS\LEE.EXE
2008-02-02 04:02:00 C:\WINDOWS\SYSTEM32\ANTILABREPAIR.DLL C:\WINDOWS\LEE.EXE
2008-02-02 04:01:56 C:\WINDOWS\LEE.EXE C:\WINDOWS\SYSTEM32\FTP.EXE
2008-02-02 03:50:21 C:\WINDOWS\SYSTEM32\DISCOVERY.EXE C:\1022.EXE
2008-02-02 03:50:20 C:\PROGRAM FILES\MICROSOFT OFFICE\SYSTEM\DODOLOOK_7367.EXE C:\DODOLOOK367.EXE
2008-02-02 03:50:19 C:\SETUP1004.EXE C:\WINDOWS\SYSTEM32\FTP.EXE
2008-02-02 03:50:17 C:\1022.EXE C:\WINDOWS\SYSTEM32\FTP.EXE

作者: Legend 时间: 2008-2-2 08:51
请问楼主微点的具体版本？（微点主界面-->辅助功能-->关于）
您如果是试用版本，请您申请预升级进行测试一下，具体内容请浏览:
http://bbs.micropoint.com.cn/showthread.asp?tid=1445
您的此问题是否是每次开机都报警？还是报警一次之后就不再报警提示？
请您扫描一下系统漏洞是否有补丁没有安装，如果有，请您安装所有补丁。

也请楼主将C:\WINDOWS\SYSTEM32\FTP.EXE程序，连同技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）发送到support@micropoint.com.cn邮箱我们将做进一步的测试分析,请附上本贴链接，以便我们进行深入测试，跟踪解决您的问题。

楼主发送完后，请将您的邮箱地址通过论坛短消息发给我，也请附带此贴链接

作者: Legend 时间: 2008-2-2 09:25
楼主如果方便，请加入微点技术交流群 QQ: 1471553,直接联系全管理员帮您分析处理。

作者: duoliuxing 时间: 2008-2-3 00:27
群加不进拒绝加入~~，我的QQ是43844855
我已经发邮箱鸟~~

作者: keyoushi 时间: 2008-2-3 03:35
如果没有看错日志的话LZ的QQ应该是中招了呵呵,建议这么解决:
1.彻底卸载QQ,清理注册表和参与文件,这个MS很多软件都可以做到;
2.安装并使用AVG,安全模式查杀木马.正常模式下当然也可以,微点和它可以兼容的.使用AVG的粉碎器粉碎粉碎病毒驱动,或者用冰刃强制删除病毒驱动.
3.用WINDOWS清理助手清理下流氓,因为QQ木马往往和流氓结伴同行呵呵.
4.最好SRE个报告上来看看,因为微点从理论上而言属于内核级软件,或者说HIPS软件,它没有搞定的东东,是值得看一下的撒~

作者: AngelsFly 时间: 2008-2-3 14:40
群不允许加入唉。。3个群都是具体怎么加呢？

作者: Legend 时间: 2008-2-3 14:43
可以直接加微点管理员：383154254

作者: Legend 时间: 2008-2-14 11:46
请问楼主问题是否已经解决？如果没有，请及时联系我们。

作者: Legend 时间: 2008-2-18 11:51
由于没有收到楼主进一步的反馈信息，本主题暂作关闭处理，如有问题，请另开新帖讨论。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn