Board logo

标题: 微点查出病毒了,不能根除病毒吗 [打印本页]
作者: f117tuiyile     时间: 2008-4-4 22:49    标题: 微点查出病毒了,不能根除病毒吗

时间        处理结果        病毒名称        病毒进程名        病毒文件创建者
2008-04-04 22:16:29        处理成功        未知病毒        C:\WINNT\SYSTEM32\SSS0.EXE        C:\WINNT\SYSTEM32\FTP.EXE


时间        处理结果        木马名称        木马进程名        木马文件创建者
2008-04-04 22:16:24        处理成功        未知木马        C:\WINNT\SYSTEM32\INTERNE.EXE        C:\WINNT\SYSTEM32\SSS0.EXE
2008-04-04 22:16:24        处理成功        未知木马        C:\WINNT\SOUNDMAN.EXE        C:\WINNT\SYSTEM32\SSS0.EXE
2008-04-04 22:16:23        处理成功        未知木马        C:\WINNT\SYSTEM32\SSS0.EXE        C:\WINNT\SYSTEM32\FTP.EXE


时间        处理结果        可疑程序进程名        可疑程序文件创建者        描述
2008-04-04 22:16:12        阻止        C:\WINNT\SYSTEM32\SSS0.EXE        C:\WINNT\SYSTEM32\FTP.EXE        试图修改系统时间


这个SSS0。EXE老是出现。我的是影子系统,所以记录不多。怎么回事,网上能查到的信息不多,用了一些WIN清理工具也还是不行,心里可别扭了,机子里藏了一个反复出现的病毒。
作者: Legend     时间: 2008-4-4 22:52
请问楼主在做什么的时候经常会出现报警提示?请楼主将技术支持信息(微点主界面-->辅助功能-->生成技术支持信息)发送到support@micropoint.com.cn邮箱我们将做进一步的测试分析,请附上本贴链接,以便我们进行深入测试,跟踪解决您的问题。
作者: f117tuiyile     时间: 2008-4-4 22:54
上网哦,我把信息发你邮箱
作者: f117tuiyile     时间: 2008-4-4 23:07
会是磁碟机吗
作者: qq200878     时间: 2008-4-5 10:12
应该是病毒穿透了影子,而微点无法绕过影子删除造成的,微点是行为分析,存在一定的时间差,等微点判定为病毒时,病毒已经写入了.而影子一被穿透,所以重启后还会有
作者: dsl5     时间: 2008-4-5 10:40
是FTP.EXE没有连带清理好,导致不断删除了SSS0.EXE又生成,楼主把FTP.EXE发给微点分析下!

楼主可以尝试采用微点的静默模式处理,过一会再转回弹框模式看看问题能不能够解决。

[ Last edited by dsl5 on 2008-4-5 at 10:41 ]
作者: f117tuiyile     时间: 2008-4-5 11:39
静默模式处理?找不到。弹框模式也找不到。


我这个是深度的WIN2000,在安装好系统之后,用Trojan Hunter 5.0来扫描系统以及其他分区,结果把系统自带的记事本给删除了,还有一个压缩解压程序,WINRAR吧,也被感染了,两个木马,五处地方。现在我的用的记事本是网上下载的
作者: f117tuiyile     时间: 2008-4-5 11:45
C:\WINNT\HELP\BAI.BAT.有害程序隔离里还出现这个了,连同SSS0.EXE等一些文件一同被隔离的。
作者: 雨泽     时间: 2008-4-5 11:52
我这个是深度的WIN2000,在安装好系统之后,用Trojan Hunter 5.0来扫描系统以及其他分区,结果把系统自带的记事本给删除了,还有一个压缩解压程序,WINRAR吧,也被 ... [/quote]


你的2K哪下的,有深度的GHOST WIN2000吗?
作者: f117tuiyile     时间: 2008-4-5 11:55
对,网上下的,深度论坛的链接,深度最新出的。ISO的,不过里面包含GHOS的WIN2000的。
作者: f117tuiyile     时间: 2008-4-5 12:01
因为原先我的系统安装了一键还原,所以用深度提供的那个安装工具不能安装。我在网上下载的GHOST,从一键还原菜单里进入DOS,启动GHOST安装的,搞了好久。
作者: geoexp     时间: 2008-4-5 16:20
我虚拟机的病毒也是每次重启都提示,选择删除下次重启还是老样子。
虚拟机是VM5.5的,XP  Sp2,微点测试版本。
作者: 津津有味     时间: 2008-4-5 16:25
微点一时无法解决的话!楼主可以试试用别的杀软查杀看能不能查杀掉!
作者: dsl5     时间: 2008-4-5 16:29


  Quote:
Originally posted by f117tuiyile at 2008-4-5 11:39:
静默模式处理?找不到。弹框模式也找不到。


我这个是深度的WIN2000,在安装好系统之后,用Trojan Hunter 5.0来扫描系统以及其他分区,结果把系统自带的记事本给删除了,还有一个压缩解压程序,WINRAR吧,也被 ...

在微点的“设置”选项那里,把那个自动处理,静默模式打上钩,然后保存设置即可!如果后面病毒再发作,则不用提醒用户自动处理!
作者: 雨泽     时间: 2008-4-5 20:32


  Quote:
Originally posted by f117tuiyile at 2008-4-5 11:55:
对,网上下的,深度论坛的链接,深度最新出的。ISO的,不过里面包含GHOS的WIN2000的。

深度进不了啊,没法注册,:(好象要什么邀请码,我没有,注册不了,也没法下载啊:lol:

楼主给我个链接吧:D
作者: lotei     时间: 2008-4-7 14:20
楼主是2000的系统不知道补丁是否已经打上了!看起来貌似溢出用调用ftp下载病毒文件在执行时候被拦截了,本身ftp出问题的可能性不大。建议楼主打好2000的安全补丁看看。
作者: f117tuiyile     时间: 2008-4-7 21:05
溢出?死机吗?当时没有死机的感觉,正常使用的,开qq游戏,打牌的时候也报
作者: f117tuiyile     时间: 2008-4-7 21:06
我这个问题解决了未?
作者: dsl5     时间: 2008-4-7 22:04
楼主根据日志的路径C:\WINNT\SYSTEM32\FTP.EXE把FTP.EXE压缩发给微点分析下
作者: f117tuiyile     时间: 2008-4-8 15:59
3楼 回复:sss0.exe木马用最新的360查不出!!! 发表于 2008-03-22 10:24
现象

机器非常卡。基本不能动。只能看电影

59.34.197.188 21

203.208.37.104 80

ftp.exe

cmd.exe

qoq.exe

syssave.exe

ping.exe

soundman.exe

sss0.exe

其实主要是ftp.exe和cmd.exe还有soundman.exe

后面都是带出来的~

最后其实就是最关键的东西

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]

"EnableDCOM"="N"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Rpc]

"DCOM Protocols"=hex(7):6e,00,63,00,61,00,63,00,6e,00,5f,00,73,00,70,00,78,00, 00,00,6e,00,63,00,61,00,63,00,6e,00,5f,00,6e,00,62,00,5f,00,6e,00,62,00,00, 00,6e,00,63,00,61,00,63,00,6e,00,5f,00,6e,00,62,00,5f,00,69,00,70,00,78,00, 00,00,00,00

关135口。

结束

用的是135口

过去关闭server默认共享的方式已经不行了

特点会建立一个new1的新用户。

封我上面提供的2个ip

导我提供的注册表

切记重起注册表才会失效~意味你要去还原~

重点去还原前。 一定要所有机器重起。断网。

135交叉感梁。。。非常快非常快。

快到你想不到。

我21号早上6点发现问题。花了2个小时找IP

一直很奇怪为什么2个IP封了后来还是会出

后来进程一上来netstat才知道是内网135的问题

如果你们把三波的口都关了。也许有用。

但一般人我想不装共享服务。打完补丁也就了事了。

破坏力非常非常大。。。。请大家一定要把135关了

版主快置顶。

不行也要封IP和进程~!!!!!

如果已经关了135的朋友。就不要说了~你们不会有事

我仅仅是提醒没关的朋友。让大家过个好周末~!

按以往的经验。打完补丁和不装共享服务重来是没有过这么大破坏力的~





我只提醒需要的朋友就这样~!

谁TM嘴践就给我滚蛋



补一句cmd.exe不要关的原因是为我发现原来iscsiclt连ccdisk需要用cmd.否则你会发现连不上

也是。命令行的东西肯定要跑这个。我是手动出盘的。相信不少人是。



其实最重要补一句的是。。2003服务器也会中。关键是密码不能是空口令。或者弱口令。

不要认为不重要的服务器。有杀毒。没有共享服务就OK

确实N波135这种RPC漏洞早已结束。谁也不会再注意这个。

但是事实这个是前所未有的杀伤力。

我今天上午睡了4小时就被电话摇起来搞定这事。并不是要说什么。

只是希望同行能过一个好周末~大家加油吧~!
作者: jason1974     时间: 2008-4-11 13:16
我的机器也出现了楼主的问题
我用的是深度的之缘2000系统

多次删除无效
用nod32 和360安全卫士查杀都没有查出

木马名称:Trojan-Dropper.Win32.Agent.mxk
程序:c:\WINNT\SYSTEM32\SSS0.EXE是木马程序
作者: jason1974     时间: 2008-4-11 13:17
上传相关图片



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn