微点交流论坛

标题: [求助]exe文件被感染如何清除？ [打印本页]

作者: rongwei188 时间: 2008-12-6 10:31 标题: [求助]exe文件被感染如何清除？

前天我的同事电脑中毒了，nod不见了，使用CAD的时候很卡，我用360查了一下有21个木马，但是杀不掉，反复出现。我没办法，只好装微点试试。重启后杀掉木马了，但是绝大部分的exe都被感染了。只要点击感染的exe文件，会生成后缀为.EXE.exe的复制文件，过几秒钟，微点就报毒，我点删除，结果exe文件不见了。现在打开QQ，Office等应用软件，就会报毒。打开CAD没报。我想问一下，怎么又能清除病毒，而且不删除原EXE文件？

附上日志：

木马日志

Quote:

时间处理结果木马名称木马进程名木马文件创建者
2008-12-06 10:19:04 处理成功未知木马 G:\　　　.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 10:19:03 处理成功未知木马 G:\　　　.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 10:19:03 处理成功未知木马 C:\GO.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 10:19:02 处理成功未知木马 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
2008-12-06 10:18:56 处理成功未知木马 G:\　　　.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 10:18:55 处理成功未知木马 G:\　　　.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 10:18:54 处理成功未知木马 C:\GO.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 10:18:54 处理成功未知木马 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
2008-12-06 08:55:40 处理成功未知木马 G:\　　　.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:55:39 处理成功未知木马 G:\　　　.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:55:39 处理成功未知木马 C:\GO.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:55:38 处理成功未知木马 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE C:\PROGRAM FILES\QQ2007\QQMUSICUNINST.EXE
2008-12-06 08:53:39 处理成功未知木马 G:\　　　.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:53:38 处理成功未知木马 G:\　　　.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:53:38 处理成功未知木马 C:\GO.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:53:37 处理成功未知木马 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE C:\PROGRAM FILES\TENCENT\QQPLAYER\QQPLAYER.EXE
2008-12-06 08:51:26 处理成功未知木马 C:\GO.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:51:25 处理成功未知木马 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE C:\PROGRAM FILES\QQ2007\QQ.EXE
2008-12-05 20:54:30 处理成功未知木马 C:\GO.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-05 20:54:30 处理成功未知木马 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE C:\PROGRAM FILES\QQ2007\QQMUSIC.EXE
2008-12-05 17:29:43 处理成功未知木马 C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\COOL_GAMESETUP.EXE 192.168.123.5
2008-12-05 17:20:34 处理成功未知木马 C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\COOL_GAMESETUP.EXE 192.168.123.5
2008-12-05 17:11:03 处理成功未知木马 C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\COOL_GAMESETUP.EXE 192.168.123.5
2008-12-05 16:08:50 处理成功未知木马 C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\COOL_GAMESETUP.EXE 192.168.123.5
2008-12-05 15:47:49 处理成功未知木马 C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\COOL_GAMESETUP.EXE 192.168.123.5
2008-12-05 15:44:13 处理成功未知木马 C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\COOL_GAMESETUP.EXE 192.168.123.5
2008-12-05 15:19:24 处理成功未知木马 C:\GO.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-05 15:19:24 处理成功未知木马 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE \\192.168.123.62\PRINT$\COOL_GAMESETUP.EXE
2008-12-05 15:19:23 处理成功未知木马 \\192.168.123.62\PRINT$\COOL_GAMESETUP.EXE
2008-12-04 09:47:04 处理成功未知木马 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-04 09:29:14 处理成功未知木马 \\192.168.123.62\PRINT$\COOL_GAMESETUP.EXE
2008-12-04 09:25:23 处理成功未知木马 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-04 08:18:14 处理成功 Trojan-PSW.Win32.OnLineGames.czpo C:\WINDOWS\SYSTEM32\B71FE93.SYS
2008-12-04 08:18:09 处理成功 Trojan-PSW.Win32.OnLineGames.czpo C:\WINDOWS\SYSTEM32\6457AED.SYS
2008-12-03 22:43:52 处理成功未知木马 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE

蠕虫日志

Quote:

时间处理结果蠕虫名称蠕虫进程名蠕虫文件创建者
2008-12-06 10:18:45 处理成功未知木马 G:\　　　.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 10:18:45 处理成功未知木马 C:\GO.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 10:18:44 处理成功未知网络蠕虫 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\EXCEL.EXE
2008-12-06 08:55:31 处理成功未知木马 G:\　　　.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:55:31 处理成功未知木马 C:\GO.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:55:30 处理成功未知网络蠕虫 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE C:\PROGRAM FILES\QQ2007\QQMUSICUNINST.EXE
2008-12-06 08:53:20 处理成功未知木马 G:\　　　.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:53:20 处理成功未知木马 C:\GO.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:53:19 处理成功未知网络蠕虫 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE C:\PROGRAM FILES\TENCENT\QQPLAYER\QQPLAYER.EXE
2008-12-06 08:48:36 处理成功未知网络蠕虫 C:\WINDOWS\SYSTEM32\MACROMED\FLASH\UNINSTALL_PLUGIN.EXE E:\INSTALL_FLASH_PLAYER.EXE
2008-12-06 08:48:34 处理成功未知网络蠕虫 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\NSL2.TMP\NSPROCESS.DLL E:\INSTALL_FLASH_PLAYER.EXE
2008-12-06 08:48:34 处理成功未知网络蠕虫 C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\LOCAL SETTINGS\TEMP\NSL2.TMP\NSISARRAY.DLL E:\INSTALL_FLASH_PLAYER.EXE
2008-12-06 08:48:33 处理成功未知木马 C:\GO.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:48:32 处理成功未知网络蠕虫 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE E:\INSTALL_FLASH_PLAYER.EXE
2008-12-06 08:47:56 处理成功未知网络蠕虫 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE E:\WRAR370SC.EXE
2008-12-06 08:47:55 处理成功未知网络蠕虫 E:\WRAR370SC.EXE.EXE E:\WRAR370SC.EXE
2008-12-06 08:47:33 处理成功未知木马 C:\GO.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:47:32 处理成功未知网络蠕虫 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE E:\WRAR370SC(1).EXE
2008-12-06 08:47:32 处理成功未知木马 E:\WRAR370SC(1).EXE E:\WRAR370SC(1).EXE
2008-12-06 08:47:31 处理成功未知网络蠕虫 E:\WRAR370SC(1).EXE
2008-12-06 08:46:44 处理成功未知木马 C:\GO.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE
2008-12-06 08:46:43 处理成功未知网络蠕虫 C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE F:\KEYGEN注册机.EXE
2008-12-06 08:46:43 处理成功未知木马 F:\KEYGEN注册机.EXE F:\KEYGEN注册机.EXE
2008-12-06 08:46:42 处理成功未知网络蠕虫 F:\KEYGEN注册机.EXE

作者: rongwei188 时间: 2008-12-6 10:33
异常网络日志
有701条，都是差不多的，我只贴一部分。

Quote:

时间进程名路径及参数源IP 源端口目的IP 目的端口操作
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2405 192.168.123.50 445 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2406 192.168.123.61 445 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2404 192.168.123.50 445 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2402 192.168.123.61 139 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2403 192.168.123.82 445 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2401 192.168.123.50 139 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2400 192.168.123.50 139 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2388 192.168.123.82 139 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2396 192.168.123.85 445 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2399 192.168.124.11 445 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2397 192.168.123.13 445 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2398 192.168.123.234 445 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2395 192.168.124.11 139 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2391 192.168.123.234 139 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2394 192.168.123.13 139 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2393 192.168.123.85 139 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2392 192.168.123.49 445 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2390 192.168.123.194 445 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2389 192.168.123.49 139 阻断
2008-12-06 08:55:04 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2387 192.168.123.194 139 阻断
2008-12-06 08:55:03 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2386 192.168.123.12 445 阻断
2008-12-06 08:55:03 SUCHOST.EXE C:\WINDOWS\SYSTEM32\DRIVERS\SUCHOST.EXE 0.0.0.0 2385 192.168.124.10 445 阻断

作者: rongwei188 时间: 2008-12-6 10:40
运行QQ，报毒，删除木马，还可以用。office也可以了。

[ Last edited by rongwei188 on 2008-12-6 at 10:46 ]

作者: Legend 时间: 2008-12-6 10:42
请问楼主微点给您处理后您现在的系统上还有哪些异常，请您将微点的技术支持信息和报警文件给们发送到virus@micropoint.com.cn邮箱当中，以便我们具体分析。您也可以直接联系微点在线管理员（qq：383154254），让他帮您在线分析一下。

作者: rongwei188 时间: 2008-12-6 10:55
样本我已经在微点里面上报了。技术支持信息已发。
原来微点在杀毒的时候会生成一个备份文件，后缀为.exe.exe。
不过有的安装文件生成了备份文件，但是最后原文件和备份文件都被删除了。

作者: Legend 时间: 2008-12-6 10:57
请楼主直接联系微点在线管理员（qq：383154254），让他帮您在线分析一下。

作者: rongwei188 时间: 2008-12-6 10:58
微点还不错，可惜我们单位领导不太重视局域网安全，要不可以让整个单位都装上微点。不过我相信领导有一天会重视这方面的问题的。

作者: rongwei188 时间: 2008-12-6 11:01
我已经基本搞定了，谢谢！
不过这个病毒也挺损的。不但感染exe文件，还下载大量木马，还不断向局域网传播。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn