微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 微点主动防御软件 » 微点无法彻底杀掉的木马!(2)  

作者:
标题: 微点无法彻底杀掉的木马!(2)
savor911
注册用户





积分 68
发帖 68
注册 2006-9-20
#1  微点无法彻底杀掉的木马!(1)

前天卡巴提示发现木马,杀不掉老跳出红色报警框,后来卡巴的图标就不见了,运行不了,也卸载不掉。电脑重启后进不了系统界面!
     断网,安全模式下用木马克星、360safe、超级兔子、恶意软件清理助手等查杀,发现很多的恶意插件。其中有个4199的插件删除了又会出现,好像会死灰复燃。
     用微点提示有木马,删除了过一会儿又出来了,只能隔离。
     这个木马好像专门针对卡巴的!即使将卡巴的文件删除了重新安装,卡巴也运行不了!

[ Last edited by savor911 on 2007-4-5 at 14:50 ]

附件 1: 未命名.jpg (2007-4-5 14:44, 162.24 K,下载次数: 62)


※ ※ ※ 本文纯属【savor911】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-5 14:44
查看资料  发短消息   编辑帖子
savor911
注册用户





积分 68
发帖 68
注册 2006-9-20
#2  微点无法彻底杀掉的木马!(2)

===============================================
启动项目:
C:\PROGRAM FILES\PCBOOST\PCBOOST.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\Documents and Settings\user\「开始」菜单\程序\启动\desktop.ini
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\desktop.ini
===============================================
系统服务列表:
Abiosdsk
abp480n5
system32\drivers\ac97intc.sys
system32\DRIVERS\ACPI.sys
ACPIEC
adpu160m
system32\drivers\aec.sys
\SystemRoot\System32\drivers\afd.sys
system32\DRIVERS\agp440.sys
Aha154x
aic78u2
aic78xx
%SystemRoot%\system32\svchost.exe -k LocalService
%SystemRoot%\System32\alg.exe
AliIde
amsint
%SystemRoot%\system32\svchost.exe -k netsvcs
asc
asc3350p
asc3550
system32\DRIVERS\asyncmac.sys
system32\DRIVERS\atapi.sys
Atdisk
system32\DRIVERS\atmarpc.sys
%SystemRoot%\System32\svchost.exe -k netsvcs
system32\DRIVERS\audstub.sys
"C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r
BattC
Beep
%SystemRoot%\system32\svchost.exe -k netsvcs
%SystemRoot%\system32\svchost.exe -k netsvcs
cbidf2k
cd20xrnt
Cdaudio
Cdfs
system32\DRIVERS\cdrom.sys
Changer
%SystemRoot%\system32\cisvc.exe
%SystemRoot%\system32\clipsrv.exe
CmdIde
C:\WINDOWS\system32\dllhost.exe /Processid:{02D4B3F1-FD88-11D1-960D-00805FC79235}
ContentFilter
ContentIndex
Cpqarray
%SystemRoot%\system32\svchost.exe -k netsvcs
dac2w2k
dac960nt
%SystemRoot%\system32\svchost -k DcomLaunch
%SystemRoot%\system32\svchost.exe -k netsvcs
system32\DRIVERS\disk.sys
%SystemRoot%\System32\dmadmin.exe /com
System32\drivers\dmboot.sys
System32\drivers\dmio.sys
System32\drivers\dmload.sys
%SystemRoot%\System32\svchost.exe -k netsvcs
system32\drivers\DMusic.sys
%SystemRoot%\system32\svchost.exe -k NetworkService
system32\DRIVERS\Dot4.sys
system32\DRIVERS\Dot4Prt.sys
system32\DRIVERS\dot4usb.sys
dpti2o
system32\drivers\drmkaud.sys
E0C92203
system32\DRIVERS\EPPSCAN.sys
%SystemRoot%\system32\services.exe
C:\WINDOWS\system32\svchost.exe -k netsvcs
Fastfat
%SystemRoot%\System32\svchost.exe -k netsvcs
system32\DRIVERS\fdc.sys
Fips
system32\DRIVERS\flpydisk.sys
system32\DRIVERS\fltMgr.sys
system32\DRIVERS\fsvga.sys
Fs_Rec
system32\DRIVERS\ftdisk.sys
system32\DRIVERS\gameenum.sys
system32\DRIVERS\msgpc.sys
%SystemRoot%\System32\svchost.exe -k netsvcs
%SystemRoot%\System32\svchost.exe -k netsvcs
hpn
System32\Drivers\HTTP.sys
%SystemRoot%\System32\svchost.exe -k HTTPFilter
i2omgmt
i2omp
system32\DRIVERS\i8042prt.sys
system32\DRIVERS\imapi.sys
C:\WINDOWS\system32\imapi.exe
inetaccs
ini910u
Inport
system32\DRIVERS\intelide.sys
system32\DRIVERS\Ip6Fw.sys
system32\DRIVERS\ipfltdrv.sys
system32\DRIVERS\ipinip.sys
system32\DRIVERS\ipnat.sys
system32\DRIVERS\ipsec.sys
system32\DRIVERS\irenum.sys
ISAPISearch
system32\DRIVERS\isapnp.sys
system32\DRIVERS\kbdclass.sys
system32\drivers\kl1.sys
system32\drivers\kmixer.sys
KSecDD
%SystemRoot%\system32\svchost.exe -k netsvcs
%SystemRoot%\system32\svchost.exe -k netsvcs
lbrtfdc
ldap
LicenseService
%SystemRoot%\system32\svchost.exe -k LocalService
%SystemRoot%\system32\svchost.exe -k netsvcs
mnmdd
C:\WINDOWS\system32\mnmsrvc.exe
Modem
system32\DRIVERS\mouclass.sys
MountMgr
system32\drivers\mp110001.sys
system32\drivers\mp110002.sys
system32\drivers\mp110003.sys
system32\drivers\mp110004.sys
system32\drivers\mp110005.sys
system32\drivers\mp110006.sys
system32\drivers\mp110007.sys
system32\drivers\mp110008.sys
system32\drivers\mp110009.sys
system32\drivers\mp110010.sys
system32\drivers\mp110011.sys
system32\drivers\mp110012.sys
system32\drivers\mp110013.sys
C:\Program Files\Micropoint\MPSVC.exe
mraid35x
system32\DRIVERS\mrxdav.sys
system32\DRIVERS\mrxsmb.sys
C:\WINDOWS\system32\msdtc.exe
Msfs
C:\WINDOWS\system32\msiexec.exe /V
system32\drivers\MSKSSRV.sys
system32\drivers\MSPCLOCK.sys
system32\drivers\MSPQM.sys
system32\DRIVERS\mssmbios.sys
system32\drivers\msmpu401.sys
Mup
NDIS
system32\DRIVERS\ndistapi.sys
system32\DRIVERS\ndisuio.sys
system32\DRIVERS\ndiswan.sys
NDProxy
system32\DRIVERS\netbios.sys
system32\DRIVERS\netbt.sys
%SystemRoot%\system32\netdde.exe
%SystemRoot%\system32\netdde.exe
%SystemRoot%\system32\lsass.exe
%SystemRoot%\System32\svchost.exe -k netsvcs
%SystemRoot%\system32\svchost.exe -k netsvcs
Npfs
\??\C:\Program Files\Tencent\npkcrypt.sys
Ntfs
%SystemRoot%\system32\lsass.exe
%SystemRoot%\system32\svchost.exe -k netsvcs
Null
system32\DRIVERS\nv4_mini.sys
system32\DRIVERS\nwlnkflt.sys
system32\DRIVERS\nwlnkfwd.sys
system32\DRIVERS\parport.sys
PartMgr
ParVdm
system32\DRIVERS\pci.sys
PCIDump
PCIIde
Pcmcia
PDCOMP
PDFRAME
PDRELI
PDRFRAME
perc2
perc2hib
PerfDisk
PerfNet
PerfOS
PerfProc
system32\drivers\pfc.sys
%SystemRoot%\system32\services.exe
C:\WINDOWS\system32\HPZipm12.exe
%SystemRoot%\system32\lsass.exe
system32\DRIVERS\raspptp.sys
system32\DRIVERS\processr.sys
%SystemRoot%\system32\lsass.exe
system32\DRIVERS\psched.sys
system32\DRIVERS\ptilink.sys
C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\icmx\vpwk.dll,Service -s
ql1080
Ql10wnt
ql12160
ql1240
ql1280
system32\DRIVERS\rasacd.sys
%SystemRoot%\system32\svchost.exe -k netsvcs
system32\DRIVERS\rasl2tp.sys
%SystemRoot%\system32\svchost.exe -k netsvcs
system32\DRIVERS\raspppoe.sys
system32\DRIVERS\raspti.sys
system32\DRIVERS\rdbss.sys
System32\DRIVERS\RDPCDD.sys
RDPDD
system32\DRIVERS\rdpdr.sys
RDPNP
RDPWD
C:\WINDOWS\system32\sessmgr.exe
system32\DRIVERS\redbook.sys
%SystemRoot%\system32\svchost.exe -k netsvcs
%SystemRoot%\system32\svchost.exe -k LocalService
%SystemRoot%\system32\locator.exe
%SystemRoot%\system32\svchost -k rpcss
system32\drivers\RsBoot.sys
%SystemRoot%\system32\rsvp.exe
system32\DRIVERS\RTL8139.SYS
%SystemRoot%\system32\lsass.exe
%SystemRoot%\System32\SCardSvr.exe
%SystemRoot%\System32\svchost.exe -k netsvcs
Scsiscan
system32\DRIVERS\secdrv.sys
%SystemRoot%\System32\svchost.exe -k netsvcs
%SystemRoot%\system32\svchost.exe -k netsvcs
system32\DRIVERS\serenum.sys
system32\DRIVERS\serial.sys
Sfloppy
%SystemRoot%\system32\svchost.exe -k netsvcs
%SystemRoot%\System32\svchost.exe -k netsvcs
Simbad
Sparrow
system32\drivers\splitter.sys
%SystemRoot%\system32\spoolsv.exe
\SystemRoot\system32\DRIVERS\sr.sys
%SystemRoot%\system32\svchost.exe -k netsvcs
system32\DRIVERS\srv.sys
%SystemRoot%\system32\svchost.exe -k LocalService
%SystemRoot%\system32\svchost.exe -k imgsvc
system32\DRIVERS\swenum.sys
system32\drivers\swmidi.sys
C:\WINDOWS\system32\dllhost.exe /Processid:{851633B3-4C97-44AA-80B2-8A575D9629F6}
symc810
symc8xx
sym_hi
sym_u3
system32\drivers\sysaudio.sys
%SystemRoot%\system32\smlogsvc.exe
%SystemRoot%\System32\svchost.exe -k netsvcs
system32\DRIVERS\tcpip.sys
TDPIPE
TDTCP
system32\DRIVERS\termdd.sys
%SystemRoot%\System32\svchost -k DComLaunch
%SystemRoot%\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\tlntsvr.exe
TosIde
%SystemRoot%\system32\svchost.exe -k netsvcs
TSDDD
Udfs
ultra
C:\WINDOWS\system32\wdfmgr.exe
system32\DRIVERS\update.sys
%SystemRoot%\system32\svchost.exe -k LocalService
%SystemRoot%\System32\ups.exe
system32\DRIVERS\usbhub.sys
system32\DRIVERS\usbscan.sys
system32\DRIVERS\USBSTOR.SYS
system32\DRIVERS\usbuhci.sys
\SystemRoot\System32\drivers\vga.sys
ViaIde
VolSnap
%SystemRoot%\System32\vssvc.exe
Vxd
%SystemRoot%\System32\svchost.exe -k netsvcs
W3SVC
system32\DRIVERS\wanarp.sys
WDICA
system32\drivers\wdmaud.sys
%SystemRoot%\system32\svchost.exe -k LocalService
WebPrint
%systemroot%\system32\svchost.exe -k netsvcs
Winsock
WinSock2
WinTrust
%SystemRoot%\System32\svchost.exe -k netsvcs
%SystemRoot%\System32\svchost.exe -k netsvcs
WmiApRpl
C:\WINDOWS\system32\wbem\wmiapsrv.exe
WS2IFSL
%SystemRoot%\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\cwgu\jdny.dll,Service
%systemroot%\system32\svchost.exe -k netsvcs
%SystemRoot%\System32\svchost.exe -k netsvcs
\??\C:\WINDOWS\system32\Drivers\xFileMgr.sys
%SystemRoot%\System32\svchost.exe -k netsvcs
{14F55EF2-584A-4FD3-8098-810DEBB10CE1}
{DE394F54-75CB-4DB2-AB63-4CFC2EFF5BB0}

※ ※ ※ 本文纯属【savor911】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-5 14:50
查看资料  发短消息   编辑帖子
savor911
注册用户





积分 68
发帖 68
注册 2006-9-20
#3  

请老大帮满分析一下:是否还存在木马?怎么彻底查杀?
谢谢!!!

※ ※ ※ 本文纯属【savor911】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-5 14:50
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#4  

请把您的微点软件的系统自启动信息与微点安装目录下的mp6目录导出压缩发到support@micropoint.com.cn我们具体分析下

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2007-4-5 14:53
查看资料  发短消息   编辑帖子
savor911
注册用户





积分 68
发帖 68
注册 2006-9-20
#5  



  Quote:
Originally posted by Legend at 2007-4-5 14:53:
请把您的微点软件的系统自启动信息与微点安装目录下的mp6目录导出压缩发到support@micropoint.com.cn我们具体分析下

已发送给你!

※ ※ ※ 本文纯属【savor911】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-5 15:27
查看资料  发短消息   编辑帖子
Paxson
高级用户





积分 593
发帖 591
注册 2006-5-11
来自 China CD
#6  

C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\cwgu\jdny.dll,Service
是什么哦? 可以进入微点的主界面看看 自启动的其他程序有哪些

※ ※ ※ 本文纯属【Paxson】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

东方微点“反病毒技术交流”群:630086、1471553 、16998902
论坛:http://bbs.micropoint.com.cn/
2007-4-5 17:20
查看资料  发短消息  QQ   编辑帖子
hortra
注册用户





积分 127
发帖 117
注册 2007-1-11
#7  

好像我在别人的机子上也碰到这个问题,楼主可以考虑用卡巴斯基在安全模式下杀毒。
如果卡巴斯基卸载不了  在安全模式下设置卡巴斯基不自动启动。

我们的情况是 卡巴斯基一个劲报毒,最后就报死了,也删不掉,一直就是那种杀猪的声音,之后卡巴斯基退也退不出。但是重新安装卡巴斯基升级以后,在安全模式下解决了问题。

本来打算用微点的,结果在那个机子上装微点以后无法正常启动。老板的机子,不说要给微点发份报告了。

※ ※ ※ 本文纯属【hortra】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-5 19:26
查看资料  发送邮件  发短消息   编辑帖子
savor911
注册用户





积分 68
发帖 68
注册 2006-9-20
#8  

00045BC8.MPHT 病毒样本已上传!

※ ※ ※ 本文纯属【savor911】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2007-4-6 09:02
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号