Board logo

标题: 求求~怎么... [打印本页]
作者: 司空风灵     时间: 2007-2-12 09:19    标题: 求求~怎么...

上网的时候,中了N多病毒,其中有一个在
在硬盘中找到以下可疑程序:
C:\WINDOWS\system32\Setup\IIS.EXE
怎么老删除不掉?这个文件带来什么害处?
高手救救~~~
作者: terminus     时间: 2007-2-12 09:22
正常的IIS是internet information service,网页服务程序
你说的这个不清楚是什么.没有见过
作者: Legend     时间: 2007-2-12 09:31
您的情况可以把您的这个程序压缩发到virus@micropoint.com.cn我们具体测试分析下。
推荐安装微点主动防御软件,如果您已经安装可以把您的微点软件的系统自启动信息(系统分析中)及微点软件安装目录下的mp6目录压缩发到support@micropoint.com.cn我们具体分析。
作者: 司空风灵     时间: 2007-2-12 09:39
压缩?我在C盘都搜索过一次了,没有发现这样文件,可是兔仔却检测到,还有,我好像一上QQ,就会重启,55555555    救救 T_T
作者: 司空风灵     时间: 2007-2-12 09:45
其中有几个杀不掉啊?
在硬盘中找到以下可疑程序:
C:\WINDOWS\system32\CTFNOM.EXE
C:\WINDOWS\system32\Setup\IIS.EXE
网络软件安装情况:
熊猫烧香
怎么熊猫杀不掉?卡巴检测不到,兔仔才检测到,可是却杀不掉,还有CTFNOM好像不是可疑进程,我看过这个的属性了,是2006年10月创建的,但怎么兔仔会认为它是可疑进程?
作者: 司空风灵     时间: 2007-2-12 09:49
原来IIS都是原装就有的文件,兔仔难道错误辨认?
作者: terminus     时间: 2007-2-12 09:50
C:\WINDOWS\system32\CTFNOM.EXE
这个明显是模仿windows的输入法进程,正常的应该是ctfmon.exe
作者: 司空风灵     时间: 2007-2-12 09:55
那到底是不是恶意进程?
作者: terminus     时间: 2007-2-12 09:58
ctfnom-ctfnom.exe  -进程信息
进程文件:ctfnom 或者 ctfnom.exe

进程名称:ctfnom


描述:

ctfnom.exe is a part of WootBot Trojan. WootBot tries to steal the CD-keys from various games and send these keys to the specified location.
参考:CTDNOM.EXE


出品者: unknown

属于: unknown


系统进程:否

后台程序:否

使用网络:否

硬件相关:否

常见错误:未知n/a

内存使用:未知n/a

安全等级(0-5): 4(0无危险,5最危险)

间谍软件:否

广告软件:否

病毒:是

木马: 是
作者: Paxson     时间: 2007-2-12 10:04


  Quote:
Originally posted by 司空风灵 at 2007-2-12 09:39:
压缩?我在C盘都搜索过一次了,没有发现这样文件,可是兔仔却检测到,还有,我好像一上QQ,就会重启,55555555    救救 T_T

上q重启 是珊瑚虫或者你的聊天记录损坏 你可以删除了 再登陆应该就行了
作者: zqrsc     时间: 2007-2-12 10:06
请问楼主安装微点了吗? 建议您安装试试.

另:如果楼主具有一定手动处理能力 完全可以尝试在DOS 或 PE 系统下手动处理这几个文件.
请将这几个文件压缩打包 发送给官方.
作者: terminus     时间: 2007-2-12 10:06
楼上,Q程序损坏应该没有那么厉害的反应吧?
作者: 司空风灵     时间: 2007-2-12 10:07
参考:CTDNOM.EXE
出品者: unknown
属于: unknown
系统进程:否
后台程序:否
使用网络:否
硬件相关:否
常见错误:未知n/a
内存使用:未知n/a
安全等级(0-5): 4(0无危险,5最危险)
间谍软件:否
广告软件:否
病毒:是
木马: 是

那这个怎么才能删除?还有我的QQ群全部没有了,只有这个‘东方微点交流’群了。。
这是为什么?
作者: terminus     时间: 2007-2-12 10:11
在windows环境下如果不能删除或者提示正在使用,请在任务管理器中中止他的进程,看清楚,不要选错了.然后再进*://windows/system32/删除那个ctfnom.exe,看清楚字母,不要错删了系统程序.
作者: 司空风灵     时间: 2007-2-12 10:13
唉,我还是小学,我不会啊,本来是这样的,今天大早上网找头像,在百度进入了一个什么什么的动漫网,之后卡巴就检测到10多个病毒了,哪个网页真厉害~~我重装了QQ,上Q的时候会正常了吗?
作者: terminus     时间: 2007-2-12 10:14
网页可能有exp,加载了后台程序下载.猜测而已
作者: 司空风灵     时间: 2007-2-12 10:15
我刚才都删了一个CTFNOM.EXE这个程序了,大写字母,可是在回收站一个,唉?创建时间是06年10月?想,那可能不是这个,就把它还原了
作者: 司空风灵     时间: 2007-2-12 10:16
还有熊猫,怎么卸载都弄不走。用兔子,卸了一次又一次,重启后又还原...怎么办?
作者: 司空风灵     时间: 2007-2-12 10:20
大家快点回复,我急起来了
作者: terminus     时间: 2007-2-12 10:22
兔子不是专业杀毒,可以试一下国内杀毒厂商的专杀软件.
作者: 司空风灵     时间: 2007-2-12 13:30
不,兔子是专检测那些非法的进程,我刚才都用卡巴全盘杀2次,都找不到,兔子才检测到,可是兔子卸不了熊猫烧香的插件,卸了重启后又还原~~



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn