微点交流论坛

标题: 装了微点中毒，微点杀不掉，重启则报发现木马！ [打印本页]

作者: sunny3120 时间: 2008-9-8 23:15 标题: 装了微点中毒，微点杀不掉，重启则报发现木马！

装了微点中毒，微点杀不掉，第1次重启木马被再次生成，再重启微点又报木马，如此反复。

装了微点09月07日中毒，微点杀掉了一部分后，
发现双击打开磁盘被改为打开一个通讯簿程序，右击磁盘打开也一样。微点诊断无可疑程序。
然后启用kv2008移动版杀了一些autorun病毒后，打开磁盘正常了。

9月8日重启后微点又报QHBN31.DLL为木马，按提示删除，用了几十分钟后无法上网(网络没有问题，另一台未中毒的电脑可以上网)，网络无法修复，用ping命令时提示ping.exe打开失败(好像是加裁什么DLL失败造成，未截图，忘了)，重启后微点再报QHBN31.DLL木马，按提示删除，但删除失败，提示“延迟删除文件”。

重启电脑，重启后在未出现桌面及开始菜单就出现加裁QHBN31.DLL失败信息(估计此时QHBN31.DLL已被微点删除了)，按确定后，正常，但发现QHBN31.DLL还是在C:\WINDOWS\system32目录里(估计另一个程序又再次生成了QHBN31.DLL，因为系统未加裁到此DLL，所以微点没有报)，系统启动后会自动弹出一个标题为“通讯簿-主标识"(路径为“C:\WINDOWS\system\llzjy080908.exe”)的程序。

发现木马QHBN31.DLL -- 确定删除 -- 删除失败 -- 第1次重启 -- 提示加裁QHBN31.DLL(木马)失败 -- 第二次重启 -- 微点再报发现木马QHBN31.DLL

如此反复，微点就是拿这个病毒没办法。

[ Last edited by sunny3120 on 2008-9-9 at 09:30 ]

附件 1: 1.删除失败.木马日志.JPG (2008-9-8 23:15, 248.36 K,下载次数： 24)

附件 2: 2.程序启动日志.JPG (2008-9-8 23:15, 225.67 K,下载次数： 14)

作者: sunny3120 时间: 2008-9-8 23:17
发现未知木马.JPG

附件 1: 4.发现未知木马.JPG (2008-9-8 23:17, 19.16 K,下载次数： 26)

作者: sunny3120 时间: 2008-9-8 23:17
清除失败 2.JPG

附件 1: 5.发现未知木马，清除失败 2.JPG (2008-9-8 23:17, 17.14 K,下载次数： 46)

作者: sunny3120 时间: 2008-9-8 23:18
第1次重启后未出现桌面及开始菜单就出现加裁DLL失败信息.JPG

附件 1: 6.重启后未出现桌面及开始菜单就出现加裁DLL失败信息.JPG (2008-9-8 23:18, 8.92 K,下载次数： 23)

作者: sunny3120 时间: 2008-9-8 23:19
开机会弹出这个通讯簿，07日时双击打开某个磁盘也是弹出这个，后来用用kV2008移动版杀了一些autorun病毒后，打开磁盘正常了。

附件 1: 7.开机会弹出这个通讯簿，07日时双击打开某个磁盘也是弹出这个，后来用用kV2008.JPG (2008-9-8 23:19, 32.69 K,下载次数： 42)

作者: sunny3120 时间: 2008-9-8 23:20
kv2008移动版杀掉的病毒.JPG

附件 1: kv2008移动版杀掉的病毒.JPG (2008-9-8 23:20, 73.85 K,下载次数： 54)

作者: sunny3120 时间: 2008-9-8 23:22
木马日志2，按时间排列

附件 1: 删除失败.JPG (2008-9-8 23:22, 240.75 K,下载次数： 20)

作者: sunny3120 时间: 2008-9-8 23:22
手动删除DLL失败.JPG

附件 1: 手动删除DLL失败.JPG (2008-9-8 23:22, 80.78 K,下载次数： 54)

作者: Legend 时间: 2008-9-8 23:28
请您将以下文件和技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）一起压缩后发送到support@micropoint.com.cn我们帮您分析处理一下。

C:\WINDOWS\SYSTEM\ZJJ32DLA.DLL
C:\WINDOWS\SETUP_2008013.EXE
C:\WINDOWS\13.EXE

请在来信的内容中附上这个帖子的网址，方便我们帮您查收确认处理，谢谢。

作者: sunny3120 时间: 2008-9-8 23:28
发现木马QHBN31.DLL -- 确定删除 -- 删除失败 -- 第1次重启 -- 提示加裁QHBN31.DLL(木马)失败 -- 第二次重启 -- 微点再报发现木马QHBN31.DLL

不知道是重启后微点也没成功删除木马QHBN31.DLL？

还是没有对生成这个木马QHBN31.DLL的程序不作为(主动防卸？因为生成时此DLL未被加裁？如果是的话，微点也太不智能了吧？这样的话永远也杀不掉了！)？

希望微点能做得更好！

[ Last edited by sunny3120 on 2008-9-9 at 09:33 ]

作者: sunny3120 时间: 2008-9-8 23:47

Quote:

Originally posted by Legend at 2008-9-8 23:28:
请您将以下文件和技术支持信息（微点主界面-->辅助功能-->生成技术支持信息）一起压缩后发送到support@micropoint.com.cn我们帮您分析处理一下。

C:\WINDOWS\SYSTEM\ZJJ32DLA.DLL
C:\WI ...

已发，谢谢！

作者: Legend 时间: 2008-9-8 23:48
感谢您的支持与反馈，我们收到后会尽快进行分析处理的。

作者: gudan 时间: 2008-9-9 00:54
一个治标不治本的方法，文件被删除后创建一个同名目录，切换一个用户使用cipher /e directory对此目录进行efs加密，前提是分区是ntfs的，这样切换到另一个用户不管病毒具有什么权限都是无法删除的，更不要说运行了。

作者: sunny3120 时间: 2008-9-9 09:23

Quote:

Originally posted by sunny3120 at 2008-9-8 23:15:
装了微点中毒，微点杀不掉，第1次重启木马被再次生成，再重启微点又报木马，如此反复。

装了微点09月07日中毒，微点杀掉了一部分后，
发现双击打开磁盘被改为打开一个通讯簿程序，右击磁盘打开也一样。微点诊 ...

另外，还有一个现象忘了说了，就是IE主页被撰改，
我改为空白页后，用微点把IE主页锁定和保护，但打开IE时还是发现主页又被改回病毒指定的网页了。
微点对IE主页的锁定和保护好像根本就不起作用的？

现在在公司上班，电脑在家暂时载不了图。

注：IE6.0，补丁基本上都打了(有可能最近一二十天如有新补丁则还没有打)。

作者: sunny3120 时间: 2008-9-9 09:26

Quote:

Originally posted by gudan at 2008-9-9 00:54:
一个治标不治本的方法，文件被删除后创建一个同名目录，切换一个用户使用cipher /e directory对此目录进行efs加密，前提是分区是ntfs的，这样切换到另一个用户不管病毒具有什么权限都是无法删除的，更不要说运行了。

方法也许可行，就是比较麻烦呀，哈哈。谢谢

作者: images 时间: 2008-9-9 09:41

Quote:

Originally posted by sunny3120 at 2008-9-8 23:22:
手动删除DLL失败.JPG

这个时候应该已经被微点拦截了这个文件的所有操作，所以你手动时不允许删除。

作者: 老毛 时间: 2008-9-9 09:56

Quote:

Originally posted by sunny3120 at 2008-9-9 09:23:

另外，还有一个现象忘了说了，就是IE主页被撰改，
我改为空白页后，用微点把IE主页锁定和保护，但打开IE时还是发现主页又被改回病毒指定的网页了。[ ...

新建一个ie的快捷方式试试看。或者直接找到iexplorer.exe直接双击试试看。

作者: sunny3120 时间: 2008-9-9 10:40

Quote:

Originally posted by images at 2008-9-9 09:41:

这个时候应该已经被微点拦截了这个文件的所有操作，所以你手动时不允许删除。

如果是第2次重启后微点报木马后时，可能是微点拦截了；

但第1次重启后，微点未报木马或病毒时，也无法删除、无法复制这个DLL，难道这时也是微点拦截了？

作者: images 时间: 2008-9-9 11:28
“第1次重启 -- 提示加裁QHBN31.DLL(木马)失败”应该这个时候文件已经不存在或者被锁定。你可以去隔离区里面看下这个时间段内是否有文件被删除到隔离区了。
至于后面你去看目录的时候文件又出现，则可能是另一个程序再次生成了这个文件。

作者: sunny3120 时间: 2008-9-9 20:16
改为空白页后，用微点把IE主页锁定和保护

附件 1: 11.IE主页用微点锁定.JPG (2008-9-9 20:16, 149.14 K,下载次数： 41)

作者: sunny3120 时间: 2008-9-9 20:21
只要一重启电脑，就会发现主页又被改回病毒指定的网页，这时用微点修复IE主页为空白页根本不起作用(先取消锁定再修复也不行)！！！！

取消锁定后，手动在IE设置里倒是可以把主页改为空白页，然后用微点锁定保护后IE主页后暂时正常了，但只要电脑一重启主页就会被更改！！

[ Last edited by sunny3120 on 2008-9-9 at 20:22 ]

附件 1: 12.一重启后IE主页又被撰改，用微点修复却修复不了.JPG (2008-9-9 20:21, 147.86 K,下载次数： 35)

作者: sunny3120 时间: 2008-9-9 20:27

Quote:

Originally posted by images at 2008-9-9 11:28:
“第1次重启 -- 提示加裁QHBN31.DLL(木马)失败”应该这个时候文件已经不存在或者被锁定。你可以去隔离区里面看下这个时间段内是否有文件被删除到隔离区了。
至于后面你去看目录的时候文件又出现，则可能是另一个 ...

看了，有害程序隔离区里根本没有QHBN31.DLL木马(见图)，看来重启后还是删除失败呀！！

附件 1: 13.有害程序隔离区里根本没有QHBN31.DLL木马，看来重启后还是删除失败！.JPG (2008-9-9 20:27, 215.25 K,下载次数： 40)

作者: sunny3120 时间: 2008-9-9 20:31

Quote:

Originally posted by 老毛 at 2008-9-9 09:56:

新建一个ie的快捷方式试试看。或者直接找到iexplorer.exe直接双击试试看。

试了，不行，只要一重启电脑，主页就又被改回病毒指定的网页了。

作者: 327081701 时间: 2008-9-10 13:08
你才遇到啊，我早就遇到了。对于某些木马和部分传统病毒微点有时候无能为力，所以要配两套杀软。即使是在防御方面微点有时做得也不是很完美的，因为某些病毒以DLL加载以后删不掉（在WINDOWS下），其实只要启动DOS环境就能轻易清除的，希望微点快点改进。

作者: baijian_8d 时间: 2008-9-10 13:37
有个“HBservices”的木马很牛B的。

360safe专门做了个专杀工具才清掉的。

我用兵刃、syscheck,360的强制删除器都删不掉。

兵刃启动失败，syscheck启动提示无法加载驱动，添加到删除启动项中也不行。

本来还有一招的，就是用winpe，进入虚拟系统，直接删除恶意文件的。不过忙，就没有试了。

安全软件做出来就有被过的一天，就要看是20天过一次，50天过一次，还是像某杀软，2天过一次，呵呵。

作者: Legend 时间: 2008-9-11 14:50
楼主是否有qq的联系方式，如果有，请联系微点在线群管理员QQ:383154254帮您在线分析处理下。

作者: sunny3120 时间: 2008-9-11 15:02

Quote:

Originally posted by Legend at 2008-9-11 14:50:
楼主是否有qq的联系方式，如果有，请联系微点在线群管理员QQ:383154254帮您在线分析处理下。

有的，2 2 8 0 7 2 5 2 6。
昨晚加了QQ：466248167，但没有回应。
白天要上班不能使用QQ，只有晚上才有空，而且中毒的电脑也不在公司。

抱歉昨天邮件要求的文件不小心没发送到，晚上回去重新发过。

[ Last edited by sunny3120 on 2008-9-11 at 19:24 ]

作者: sunny3120 时间: 2008-9-11 19:29
KV2008杀到病毒但清除不了

附件 1: 15.KV2008杀到病毒但清除不了.JPG (2008-9-11 19:29, 58.33 K,下载次数： 47)

作者: sunny3120 时间: 2008-9-11 19:30
安全模式下 KV2008也清除不了

附件 1: 16 安全模式下KV2008杀到病毒但清除不了.JPG (2008-9-11 19:30, 56.96 K,下载次数： 67)

作者: sunny3120 时间: 2008-9-11 19:31
安全模式也下无法删除、无法复制！所以无法上报！而且这个文件微点没报毒。

附件 1: 17 安全模式也下无法删除、无法复制！所以无法上报.JPG (2008-9-11 19:31, 61.81 K,下载次数： 23)

作者: sunny3120 时间: 2008-9-11 19:32
加载在system进程中

附件 1: 18 加载在system进程中.JPG (2008-9-11 19:32, 184.2 K,下载次数： 39)

作者: sunny3120 时间: 2008-9-11 19:32
今天 kv2008 杀掉一个

附件 1: 19 kv2008 杀掉一个.JPG (2008-9-11 19:32, 61.14 K,下载次数： 45)

作者: sunny3120 时间: 2008-9-11 19:36
手动设置IE主页为空白页后， IE主页及注册表用微点锁定并保护起来。

附件 1: 20 IE主页及注册表用微点锁定并保护.JPG (2008-9-11 19:36, 167.58 K,下载次数： 55)

作者: sunny3120 时间: 2008-9-11 19:46
.电脑重启后IE主页已被修改，微点保护无效。

附件 1: 21.电脑重启后IE主页已被修改，微点保护无效。.JPG (2008-9-11 19:46, 168.77 K,下载次数： 50)

作者: sunny3120 时间: 2008-9-11 20:13
用IceSword冰刃无法找到glrry.sys

[ Last edited by sunny3120 on 2008-9-11 at 20:37 ]

附件 1: 22 用IceSword冰刃无法找到glrry.sys.JPG (2008-9-11 20:13, 191.78 K,下载次数： 44)

作者: sunny3120 时间: 2008-9-11 20:34
用微点删除glrry.sys自启动失败，
尝试用微点删除glrry.sys自启动及删除文件，删除文件失败！

[ Last edited by sunny3120 on 2008-9-11 at 20:42 ]

附件 1: 24 删除自启动失败，尝试用微点删除glrry.sys自启动及删除文件，删除文件失败！.JPG (2008-9-11 20:34, 222.64 K,下载次数： 55)

作者: Legend 时间: 2008-9-11 20:49
谢谢您的反馈，您的短消息已经看到，收到您的邮件后我们会具体分析。

作者: sunny3120 时间: 2008-9-11 20:55
尝试用微点删除glrry.sys自启动及删除文件，删除文件失败！
提示重启后自动删除，但电脑重启后，glrry.sys文件及自启动信息均还在，且无法复制!

附件 1: 25 电脑重启后，glrry.sys文件及自启动信息均还在，无法复制!.JPG (2008-9-11 20:55, 239.95 K,下载次数： 40)

作者: sunny3120 时间: 2008-9-12 01:12
问题已解决，
glrry.sys和QHBN31.DLL均已手动删除，IE主页问题也已解决。

感谢微点管理员(QQ：466248167)的远程协助！

作者: pingpaiji 时间: 2008-9-15 09:36
能否说下他是怎么帮你删除的

作者: sunny3120 时间: 2008-9-16 10:37

Quote:

Originally posted by pingpaiji at 2008-9-15 09:36:
能否说下他是怎么帮你删除的

IE主页他帮我手动改了注册表。

我们可以用工具handleEx或Process Explorer(同一个公司的产品，Process Explorer功能似乎要更多一点)强制解除glrry.sys和QHBN31.DLL的句柄(close handle)，然后就可以对glrry.sys和QHBN31.DLL复制和删除等操作了。

Process Explorer之前电脑上就有，同事推荐的，只是那么强的功能，没有好好利用呀，好像比IceSword冰刃强很多的说(冰刃无法找到glrry.sys，瑞星卡卡等一般工具更是连QHBN31.DLL都找不到) :)。。。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn