微点交流论坛

标题: EXE文件感染了？ [打印本页]

作者: hds_ss 时间: 2008-5-30 14:06 标题: EXE文件感染了？

单位的一台电脑，所有EXE文件都中招了，安装微点后提示杀了几个木马和蠕虫后，就再也没有动静了。现在的问题是所有的EXE都不行了，双击后提示一些未知木马后就把我这个EXE文件删除，想请超版帮忙，有没有办法来恢复所有的EXE文件？我把蠕虫和木马日记发上来，请帮我看看!谢谢！
木马日记
时间处理结果木马名称木马进程名木马文件创建者
2008-05-30 11:34:26 处理成功未知后门程序 D:\CMOAS\CMOAS\OPERATE.EXE D:\CMOAS\CMOAS\OPERATE.EXE
2008-05-30 11:34:26 处理成功未知后门程序 C:\WINDOWS\UNINSTALL\RUNDL132.EXE C:\WINDOWS\LOGO1_.EXE
2008-05-30 11:34:26 处理成功未知后门程序 C:\WINDOWS\LOGO1_.EXE D:\CMOAS\CMOAS\OPERATE.EXE
2008-05-30 11:34:25 处理成功未知后门程序 D:\CMOAS\CMOAS\OPERATE.EXE D:\CMOAS\CMOAS\OPERATE.EXE
2008-05-30 11:34:25 处理成功未知后门程序 D:\CMOAS\CMOAS\OPERATE.EXE
2008-05-30 11:34:09 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE D:\CMOAS\CMOAS\OPERATE.EXE
2008-05-22 14:07:09 处理成功未知木马 E:\新建文件夹\TOOLS\GHOSTEXP.EXE E:\新建文件夹\TOOLS\GHOSTEXP.EXE
2008-05-22 14:07:09 处理成功未知木马 C:\WINDOWS\UNINSTALL\RUNDL132.EXE C:\WINDOWS\LOGO1_.EXE
2008-05-22 14:07:08 处理成功未知木马 C:\WINDOWS\LOGO1_.EXE E:\新建文件夹\TOOLS\GHOSTEXP.EXE
2008-05-22 14:07:07 处理成功未知木马 E:\新建文件夹\TOOLS\GHOSTEXP.EXE E:\新建文件夹\TOOLS\GHOSTEXP.EXE
2008-05-22 14:07:07 处理成功未知木马 E:\新建文件夹\TOOLS\GHOSTEXP.EXE
2008-05-22 14:06:45 处理成功 Worm.Win32.Vikings.dua C:\WINDOWS\RICHDLL.DLL C:\WINDOWS\LOGO1_.EXE
2008-05-22 14:06:35 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE E:\新建文件夹\TOOLS\GHOSTEXP.EXE
2008-05-22 14:06:25 处理成功 Worm.Win32.Vikings.lup C:\WINDOWS\LOGO1_.EXE E:\新建文件夹\TOOLS\GHOST.EXE
2008-05-22 14:06:22 处理成功 Worm.Win32.Vikings.lup C:\WINDOWS\UNINSTALL\RUNDL132.EXE E:\新建文件夹\TOOLS\GHOST.EXE
2008-05-22 14:06:16 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE E:\新建文件夹\TOOLS\GHOST.EXE
2008-05-22 13:50:04 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE D:\BCT\Y2KFIXI.EXE
2008-05-22 13:49:53 处理成功 Worm.Win32.Vikings.lup C:\WINDOWS\LOGO1_.EXE D:\BCT\SETUP.EXE
2008-05-22 13:49:50 处理成功 Worm.Win32.Vikings.lup C:\WINDOWS\UNINSTALL\RUNDL132.EXE D:\BCT\SETUP.EXE
2008-05-22 13:49:43 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE D:\BCT\SETUP.EXE
2008-05-22 13:49:34 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE D:\BCT\_ISDEL.EXE
2008-05-15 14:59:57 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE E:\12\OFFICEXP 在 132.235.49.9 上\OFFICEXP\INSTMSI.EXE
2008-05-15 14:59:49 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE E:\12\OFFICEXP 在 132.235.49.9 上\OFFICEXP\INSTMSIW.EXE
2008-05-15 14:59:19 处理成功未知间谍软件 E:\12\OFFICEXP 在 132.235.49.9 上\OFFICEXP\SETUP.EXE E:\12\OFFICEXP 在 132.235.49.9 上\OFFICEXP\SETUP.EXE
2008-05-15 14:59:18 处理成功未知间谍软件 C:\WINDOWS\UNINSTALL\RUNDL132.EXE C:\WINDOWS\LOGO1_.EXE
2008-05-15 14:59:18 处理成功未知间谍软件 C:\WINDOWS\LOGO1_.EXE E:\12\OFFICEXP 在 132.235.49.9 上\OFFICEXP\SETUP.EXE
2008-05-15 14:59:07 处理成功未知间谍软件 E:\12\OFFICEXP 在 132.235.49.9 上\OFFICEXP\SETUP.EXE E:\12\OFFICEXP 在 132.235.49.9 上\OFFICEXP\SETUP.EXE
2008-05-15 14:59:07 处理成功未知间谍软件 E:\12\OFFICEXP 在 132.235.49.9 上\OFFICEXP\SETUP.EXE
2008-05-15 14:58:49 处理成功 Worm.Win32.Vikings.dua C:\WINDOWS\RICHDLL.DLL C:\WINDOWS\LOGO1_.EXE
2008-05-15 14:58:25 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE E:\12\OFFICEXP 在 132.235.49.9 上\OFFICEXP\SETUP.EXE
2008-05-15 13:06:36 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE11\POWERPNT.EXE
2008-05-15 13:00:14 处理成功未知间谍软件 C:\WINDOWS\UNINSTALL\RUNDL132.EXE C:\WINDOWS\LOGO1_.EXE
2008-05-15 13:00:14 处理成功未知木马 C:\WINDOWS\LOGO1_.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE
2008-05-15 13:00:03 处理成功 Worm.Win32.Vikings.dua C:\WINDOWS\RICHDLL.DLL C:\WINDOWS\LOGO1_.EXE
2008-05-14 15:21:08 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE
2008-05-14 15:20:59 处理成功未知木马 C:\WINDOWS\LOGO1_.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE
2008-05-14 15:20:56 处理成功未知木马 C:\WINDOWS\UNINSTALL\RUNDL132.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE
2008-05-14 15:18:02 处理成功未知间谍软件 C:\WINDOWS\UNINSTALL\RUNDL132.EXE C:\WINDOWS\LOGO1_.EXE
2008-05-14 15:18:02 处理成功未知间谍软件 C:\WINDOWS\LOGO1_.EXE C:\PROGRAM FILES\RADMIN\RADMIN.EXE
2008-05-14 15:17:50 处理成功 Worm.Win32.Vikings.dua C:\WINDOWS\RICHDLL.DLL C:\WINDOWS\LOGO1_.EXE
2008-05-14 15:17:21 处理成功未知间谍软件 C:\WINDOWS\UNINSTALL\RUNDL132.EXE C:\WINDOWS\LOGO1_.EXE
2008-05-14 15:17:21 处理成功未知间谍软件 C:\WINDOWS\LOGO1_.EXE C:\PROGRAM FILES\ADOBE\ACROBAT 6.0\READER\ACRORD32.EXE
2008-05-14 15:16:52 处理成功 Worm.Win32.Vikings.dua C:\WINDOWS\RICHDLL.DLL C:\WINDOWS\LOGO1_.EXE
2008-05-14 15:16:15 处理成功未知木马 E:\WINRAR.EXE.EXE
2008-05-14 15:16:06 处理成功 Worm.Win32.Vikings.jgn C:\WINDOWS\LOGO1_.EXE E:\WINRAR.EXE.EXE
2008-05-14 15:16:03 处理成功 Worm.Win32.Vikings.jgn C:\WINDOWS\UNINSTALL\RUNDL132.EXE E:\WINRAR.EXE.EXE
2008-05-14 15:15:38 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\WRITECAN.EXE
2008-05-14 15:15:33 处理成功未知木马 C:\WINDOWS\LOGO1_.EXE C:\PROGRAM FILES\RISING\RAV\WRITECAN.EXE
2008-05-14 15:14:57 处理成功未知木马 C:\WINDOWS\UNINSTALL\RUNDL132.EXE C:\PROGRAM FILES\RISING\RAV\WRITECAN.EXE
2008-05-14 15:13:56 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\RAVDOS.EXE
2008-05-14 15:13:52 处理成功未知木马 C:\WINDOWS\LOGO1_.EXE C:\PROGRAM FILES\RISING\RAV\RAVDOS.EXE
2008-05-14 15:13:49 处理成功未知木马 C:\WINDOWS\UNINSTALL\RUNDL132.EXE C:\PROGRAM FILES\RISING\RAV\RAVDOS.EXE
2008-05-14 15:13:10 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE E:\12\OFFICEXP 在 132.235.49.9 上\MSO.EXE
2008-05-14 15:13:04 处理成功未知木马 C:\WINDOWS\LOGO1_.EXE E:\12\OFFICEXP 在 132.235.49.9 上\MSO.EXE
2008-05-14 15:12:59 处理成功未知木马 C:\WINDOWS\UNINSTALL\RUNDL132.EXE E:\12\OFFICEXP 在 132.235.49.9 上\MSO.EXE
2008-05-14 15:12:29 处理成功 Worm.Win32.Delf.aa E:\GAMESETUP.EXE.EXE E:\GAMESETUP.EXE
2008-05-14 15:12:29 处理成功未知木马 C:\WINDOWS\LOGO1_.EXE E:\GAMESETUP.EXE
2008-05-14 15:12:29 处理成功未知木马 C:\WINDOWS\UNINSTALL\RUNDL132.EXE E:\GAMESETUP.EXE
2008-05-14 15:08:58 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\UPDATE\CCENTER.EXE
2008-05-14 15:08:40 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\INBUILD.EXE
2008-05-14 15:08:34 处理成功未知木马 C:\WINDOWS\LOGO1_.EXE C:\PROGRAM FILES\RISING\RAV\INBUILD.EXE
2008-05-14 15:08:34 处理成功未知木马 C:\WINDOWS\UNINSTALL\RUNDL132.EXE C:\PROGRAM FILES\RISING\RAV\INBUILD.EXE
2008-05-14 15:08:25 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
2008-05-14 15:08:17 处理成功未知木马 C:\WINDOWS\LOGO1_.EXE C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
2008-05-14 15:08:00 处理成功未知木马 C:\WINDOWS\UNINSTALL\RUNDL132.EXE C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
2008-05-14 15:07:47 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\UPDATE\RAVSERVICE.EXE
2008-05-14 15:07:09 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\UPDATE\SETUP.EXE
2008-05-14 15:06:55 处理成功未知木马 C:\WINDOWS\LOGO1_.EXE C:\PROGRAM FILES\RISING\RAV\UPDATE\SETUP.EXE
2008-05-14 15:06:43 处理成功未知木马 C:\WINDOWS\UNINSTALL\RUNDL132.EXE C:\PROGRAM FILES\RISING\RAV\UPDATE\SETUP.EXE
2008-05-14 15:06:07 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\RSAGENT.EXE
2008-05-14 15:06:00 处理成功 Worm.Win32.Vikings.dua C:\WINDOWS\RICHDLL.DLL C:\WINDOWS\LOGO1_.EXE
2008-05-14 15:05:58 处理成功 Worm.Win32.Vikings.dua C:\WINDOWS\RICHDLL.DLL C:\WINDOWS\LOGO1_.EXE
2008-05-14 15:05:57 处理成功未知木马 C:\WINDOWS\UNINSTALL\RUNDL132.EXE C:\WINDOWS\LOGO1_.EXE
2008-05-14 15:05:57 处理成功未知木马 C:\WINDOWS\LOGO1_.EXE C:\PROGRAM FILES\RISING\RAV\RAV.EXE
2008-05-14 15:05:43 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\RAV.EXE

作者: hds_ss 时间: 2008-5-30 14:07
蠕虫日记
时间处理结果蠕虫名称蠕虫进程名蠕虫文件创建者
2008-05-30 11:34:08 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE D:\CMOAS\CMOAS\OPERATE.EXE
2008-05-22 14:06:45 处理成功 Worm.Win32.Vikings.dua C:\WINDOWS\RICHDLL.DLL C:\WINDOWS\LOGO1_.EXE
2008-05-22 14:06:35 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE E:\新建文件夹\TOOLS\GHOSTEXP.EXE
2008-05-22 14:06:25 处理成功 Worm.Win32.Vikings.lup C:\WINDOWS\LOGO1_.EXE E:\新建文件夹\TOOLS\GHOST.EXE
2008-05-22 14:06:22 处理成功 Worm.Win32.Vikings.lup C:\WINDOWS\UNINSTALL\RUNDL132.EXE E:\新建文件夹\TOOLS\GHOST.EXE
2008-05-22 14:06:16 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE E:\新建文件夹\TOOLS\GHOST.EXE
2008-05-22 13:50:04 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE D:\BCT\Y2KFIXI.EXE
2008-05-22 13:49:53 处理成功 Worm.Win32.Vikings.lup C:\WINDOWS\LOGO1_.EXE D:\BCT\SETUP.EXE
2008-05-22 13:49:50 处理成功 Worm.Win32.Vikings.lup C:\WINDOWS\UNINSTALL\RUNDL132.EXE D:\BCT\SETUP.EXE
2008-05-22 13:49:43 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE D:\BCT\SETUP.EXE
2008-05-22 13:49:34 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE D:\BCT\_ISDEL.EXE
2008-05-15 14:59:57 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE E:\12\OFFICEXP 在 132.235.49.9 上\OFFICEXP\INSTMSI.EXE
2008-05-15 14:59:49 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE E:\12\OFFICEXP 在 132.235.49.9 上\OFFICEXP\INSTMSIW.EXE
2008-05-15 14:58:49 处理成功 Worm.Win32.Vikings.dua C:\WINDOWS\RICHDLL.DLL C:\WINDOWS\LOGO1_.EXE
2008-05-15 14:58:25 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE E:\12\OFFICEXP 在 132.235.49.9 上\OFFICEXP\SETUP.EXE
2008-05-15 13:06:36 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE11\POWERPNT.EXE
2008-05-15 13:00:03 处理成功 Worm.Win32.Vikings.dua C:\WINDOWS\RICHDLL.DLL C:\WINDOWS\LOGO1_.EXE
2008-05-14 15:21:08 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE11\WINWORD.EXE
2008-05-14 15:17:50 处理成功 Worm.Win32.Vikings.dua C:\WINDOWS\RICHDLL.DLL C:\WINDOWS\LOGO1_.EXE
2008-05-14 15:16:52 处理成功 Worm.Win32.Vikings.dua C:\WINDOWS\RICHDLL.DLL C:\WINDOWS\LOGO1_.EXE
2008-05-14 15:16:06 处理成功 Worm.Win32.Vikings.jgn C:\WINDOWS\LOGO1_.EXE E:\WINRAR.EXE.EXE
2008-05-14 15:16:03 处理成功 Worm.Win32.Vikings.jgn C:\WINDOWS\UNINSTALL\RUNDL132.EXE E:\WINRAR.EXE.EXE
2008-05-14 15:15:38 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\WRITECAN.EXE
2008-05-14 15:13:56 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\RAVDOS.EXE
2008-05-14 15:13:10 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE E:\12\OFFICEXP 在 132.235.49.9 上\MSO.EXE
2008-05-14 15:12:29 处理成功 Worm.Win32.Delf.aa E:\GAMESETUP.EXE.EXE E:\GAMESETUP.EXE
2008-05-14 15:08:58 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\UPDATE\CCENTER.EXE
2008-05-14 15:08:40 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\INBUILD.EXE
2008-05-14 15:08:25 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
2008-05-14 15:07:47 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\UPDATE\RAVSERVICE.EXE
2008-05-14 15:07:09 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\UPDATE\SETUP.EXE
2008-05-14 15:06:07 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\RSAGENT.EXE
2008-05-14 15:06:00 处理成功 Worm.Win32.Vikings.dua C:\WINDOWS\RICHDLL.DLL C:\WINDOWS\LOGO1_.EXE
2008-05-14 15:05:43 处理成功 Worm.Win32.Delf.aa C:\WINDOWS\SYSTEM32\SPOCLSV.EXE C:\PROGRAM FILES\RISING\RAV\RAV.EXE

作者: threeswords 时间: 2008-5-30 14:13
肯定是exe文件被感染
微点暂时没有办法清除干净

只能先装个带扫描的杀软
建议在安全模式下扫描全盘

作者: hds_ss 时间: 2008-5-30 14:19
从这上面的信息能不能看出此病毒是如何感染的，或说病毒的运行过程？

作者: qian8123 时间: 2008-5-30 14:51
用绿色版本的江民扫描下了，可以到中天论坛看看

作者: y0365 时间: 2008-5-30 15:25
从你发的日志看，楼主在安装微点前已经感染了viking，建议下载专杀工具对所有exe文件进行清毒。

作者: hds_ss 时间: 2008-5-30 15:46
谢谢各位了，看来微点还是应该早点把扫描功能放出来！

作者: 小鬼当家 时间: 2008-5-31 18:24
文件都感染了，换个杀软扫描彻底杀查一下吧。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn