实版看来是中木马了
有的木马影响机器速度,有的木马盗窃信息。
如果不重装,还是要注意安全
建议装个保险箱啥的东西,能有效查到监视键盘录入的程序
或者不从键盘输入,多次输入删除再输入,或者用券商的软键盘输入等
加大安全力度
#*P# #*P#
建议重装,装好后装杀毒软件和360之类。 如果需要,我可以QQ远程协助操作
04项目里的那个ming9b090423.exe肯定是病毒,除了软件修复外,最好要手工将病毒文件删除,你最好在桌面——开始——搜索——文件或文件夹那里输入ming9b090423.exe后点搜索,等搜索结果出来后在右边显示的那个ming9b090423.exe上左键点一下,按delelte键删除.然后再用HiJackThis v2.0绿色汉化版扫描多一次,看看还有没有那些可疑的东东
时间:2009年08月24日
超级巡警团队监测到木马下载者Worm.Win32.AutoRun.afcb正在传播,该病毒运行后会将自身复制到系统目录下并删除自己;修改注册表项 以随机启动病毒体;镜像劫持各大杀毒软件;下载大量木马到TEMP文件夹下并运行;修改注册表以修改IE首页;将病毒体添加为系统服务。超级巡警建议用户 使用超级巡警来防御查杀此类木马。同时提醒广大用户及时更新病毒库,对该程序进行有效地查杀。
一、病毒相关分析
病毒标签:
病毒名称:Trojan-Downloader.Win32.Geral.cjt
病毒类型:木马类
危险等级:3
感染平台:windows
病毒大小:59,636字节
S H A 1 :6c30930f869d813f6ae0e775f4f51c56faabc9aa
加壳类型:upack
开发工具:delphi
病毒行为:
1、释放病毒副本:
释放ming9b090423.exe、nb9ming32c090423.dll释放到%windir%\system下,并设置其属性为隐藏;
释放ming9atmpdf0.exe、6to4.dll到%system%下。
2、将各种杀毒软件劫持scvhost.exe,阻止杀软的运行 Ras.exe,Rav.exe,RavMon.exe,RavMonD.exe,RavStub.exe,RavTask.exe,RegClean.exe,rfwcfg.exe,RfwMain.exe,rfwProxy.exe,rfwsrv.exe,RsAgent.exe,Rsaupd.exe,runiep.exe,safelive.exe,scan32.exe,shcfg32.exe,SmartUp.exe,SREng.exe,symlcsvc.exe,SysSafe.exe,TrojanDetector.exe,Trojanwall.exe,TrojDie.kxp,UIHost.exe,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.exe,WoptiClean.exe,xsweep.exe,Syscheck2.exe,findt25.exe,SREngPS.exe,smartassistant.exe,rfwolusr.exe,AutoGuarder.exe,arvmon.exe,ravt8.exe,killhidepid.exe,kvfw.exe,syscheck.exe,IsHelp.exe,RavStore.exe,ToolsUp.exe,RavCopy.exe,36safebox.exe,safebank.exe,safeboxTray.exe,36hotfix.exe,AntiArp.exe,RsMain.exe,RSTray.exe,ScanFrm.exe,rsnetsvr.exe。
3、添加注册表项来随机自启动:
注册表项:HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer un
数值名称:ming9bstart
数值数据:C:\WINDOWS\system\ming9b090423.exe
4、修改注册表项来篡改IE首页:
注册表项:HKCU\Software\Microsoft\Internet Explorer\Main
数值名称:Start Page
数值数据:http://www.114****s.com/
5、修改注册表项来到达无法显示隐藏文件
注册表项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
数值名称:CheckedValue
数值数据:0
6、注册系统服务:
将6to4.dll注入IE进程,并注册为系统服务6to4,以此达到随机启动且能进程隐藏。
7、下载大量木马到TEMP文件夹下:
访问http://www.114****s.com/msn/qq.txt获取下载列表,然后下载大量木马并运行。
8、将衍生出来的大量的DLL文件注入各个进程。
9、删除病毒自身文件。
二、解决方案
推荐方案:安装超级巡警进行全面病毒查杀。超级巡警用户请升级到最新病毒库,并进行全盘扫描。
超级巡警下载地址:http://www.sucop.com/2009/0214/4.html 。
手工清除方法:
1、断开网络,防止杀毒过程中重新下载新的病毒
2、结束病毒进程:
iexplore.exe
3、使用超级巡警修复被木马映象劫持的所有项。
4、使用超级巡警暴力文件删除器删除病毒文件:
删除%windir%\system下的ming9b090423.exe、nb9ming32c090423.dll;
删除%system%下的ming9atmpdf0.exe、6to4.dll;
删除%system%下当日创建的带隐藏属性且是长字符串的dll文件。
注意:在删除过程中请选上删除对应延迟删除信息、不删除有数字签名的文件、删除前强制卸载模块。
5、删除启动项:
注册表项:HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer un
数值名称:ming9bstart
数值数据:C:\WINDOWS\system\ming9b090423.exe
6、修改注册表项来恢复隐藏文件:
注册表项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
数值名称:CheckedValue
数值数据:1
然后在文件夹选项中的查看里面选上显示所有文件和文件夹。
7、修改注册表来恢复IE首页:
注册表项:HKCU\Software\Microsoft\Internet Explorer\Main
数值名称:Start Page
数值数据:about:blank
8、删除系统服务6to4:
打开超级巡警工具箱,选择服务管理,删除服务6to4。
9、重启计算机。
三、安全建议
1、立即安装或更新防病毒软件并对内存和硬盘全面扫描(推荐安装超级巡警)。
2、根据实际安全级别需要适当考虑选用防火墙,并进行正确的设置。
3、使用超级巡警的补丁检查功能,及时安装系统补丁。
4、不要随意共享文件或文件夹,共享前应先设置好权限,另外建议共享文件不要设置为可写或可控制。
5、禁用或删除不必要的的帐号,对管理员帐号设置一个强壮的密码。
6、禁用不必要的服务。
7、及时更新常用软件,尤其是聊天工具。
8、不要使用IE内核的浏览器。
9、不要随便打开不明来历的电子邮件,尤其是邮件附件。
10、不要随意下载不安全网站的文件并运行。
11、做好系统和重要数据的备份,以便能够进行系统和数据灾难恢复。
注: %System% 是一个可变路径,在windows95/98/me中该变量是指%Windir%\System,在WindowsNT/2000/XP/2003/VISTA中该变量指%Windir%
\System32。其它:
%SystemDrive% 系统安装的磁盘分区
%SystemRoot% = %Windir% WINDODWS系统目录
%ProgramFiles% 应用程序默认安装目录
%AppData% 应用程序数据目录
%CommonProgramFiles% 公用文件目录
%HomePath% 当前活动用户目录
%Temp% =%Tmp% 当前活动用户临时目录
%DriveLetter% 逻辑驱动器分区
病毒名称:Trojan-Downloader.Win32.Geral.cjt
病毒行为:
1、释放病毒副本:
释放ming9b090423.exe、nb9ming32c090423.dll释放到%windir%\system下,并设置其属性为隐藏;
释放ming9atmpdf0.exe、6to4.dll到%system%下。
2、将各种杀毒软件劫持scvhost.exe,阻止杀软的运行 Ras.exe,Rav.exe,RavMon.exe,RavMonD.exe,RavStub.exe,RavTask.exe,RegClean.exe,rfwcfg.exe,RfwMain.exe,rfwProxy.exe,rfwsrv.exe,RsAgent.exe,Rsaupd.exe,runiep.exe,safelive.exe,scan32.exe,shcfg32.exe,SmartUp.exe,SREng.exe,symlcsvc.exe,SysSafe.exe,TrojanDetector.exe,Trojanwall.exe,TrojDie.kxp,UIHost.exe,UmxAgent.exe,UmxAttachment.exe,UmxCfg.exe,UmxFwHlp.exe,UmxPol.exe,UpLive.exe,WoptiClean.exe,xsweep.exe,Syscheck2.exe,findt25.exe,SREngPS.exe,smartassistant.exe,rfwolusr.exe,AutoGuarder.exe,arvmon.exe,ravt8.exe,killhidepid.exe,kvfw.exe,syscheck.exe,IsHelp.exe,RavStore.exe,ToolsUp.exe,RavCopy.exe,36safebox.exe,safebank.exe,safeboxTray.exe,36hotfix.exe,AntiArp.exe,RsMain.exe,RSTray.exe,ScanFrm.exe,rsnetsvr.exe。
3、添加注册表项来随机自启动:
注册表项:HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer un
数值名称:ming9bstart
数值数据:C:\WINDOWS\system\ming9b090423.exe
4、修改注册表项来篡改IE首页:
注册表项:HKCU\Software\Microsoft\Internet Explorer\Main
解决方案
http://www.sucop.com/2009/0827/825.html
刚才直接贴,说要审核,所以再发个网址,实版自己去看解决方案吧
实版,第一个f2和全部的18的选项也要修复,奇怪,刚才你的贴图看不到了,现在又出来了
实版电脑里用那个软件扫描出来明显的病毒是3个:
第一个F2的,
04里的ming9b090423.exe,
还有23选项里的第一个。
23选项里的第二个3waresrv.exe 感觉也是病毒
呵呵都是电脑高手佩服 学习#*d1*# #*d1*# 看盘更棒#*d1*#
#*d1*# #*d1*#
原帖由 pwsh 于 2009-11-12 20:12 发表 http://bbs.macd.cn/static/image/common/back.gif
04项目里的那个ming9b090423.exe肯定是病毒,除了软件修复外,最好要手工将病毒文件删除,你最好在桌面——开始——搜索——文件或文件夹那里输入ming9b090423.exe后点搜索,等搜索结果出来后在右边显示的那个m ...
那个ming9b090423.exe病毒,桌面——开始——搜索——文件或文件夹里没有找到啊。#*31*# #*31*#
[ 本帖最后由 实发 于 2009-11-13 00:23 编辑 ]
原帖由 实发 于 2009-11-13 01:03 发表 http://bbs.macd.cn/static/image/common/back.gif
我再贴一次。
我再次感谢 pwsh 大力帮助!#*19*# #*19*#
现在电脑比昨天好多了。时间长了还是死机,死机后是变蓝屏带字码。
Hijackthis是用来分析系统进程的,用来杀毒可是力不从心啊。所以我还是建议18老大,进入Windows的安全模式杀毒,这样才能杀干净。
理由
1.ming9b090423.exe 这肯定是母病毒随机产生的文件,根本杀不完,名字都是随便起的。
2.不少木马经常会伪装成为合法的进程并显示在Hijackthis里面,很难辨认。尤其是在正常开机的情况下,很多进程都会合法启动。
3.即便是最好的专业杀毒软件也对对正常开机情况下的病毒杀不干净,病毒会持续复制。
解决办法 1.
重装系统,并装正版杀毒软件,比如卡巴之类的,一年也就是几十块。
解决办法2.
a,重启电脑
b,然后按F8
c,选择进入 带网络的安全模式
d,搜索并下载一些 免费在线杀毒软件并下载安装
e,安装成功后,重复a,b,c
f,杀毒
有些变态的木马,可能会繁殖到现存的杀毒软件里面,所以去安全模式杀毒是唯一的选择。安全模式的特点就是什么都不启动,不管是不是病毒。
备注:进入安全模式 和 免费在线杀毒软件可以在百度搜索到,很多写的比我好。
看18老大帖子两年多了,可不能让他因为电脑坏了不发帖子亚,哈哈
释放ming9b090423.exe、nb9ming32c090423.dll释放到%windir%\system下,并设置其属性为隐藏
这个是隐藏文件,用搜索不行
打开资源管理器,点工具》文件夹选项》查看
在显示隐藏文件和文件夹选项前打钩
再搜索就可以找到
一般来说手工删除病毒,先用Hijackthis强行中止正在运行的病毒进程
然后在Hijackthis中清除病毒写入注册表的自启动项
最后根据病毒特征找到所有的病毒文件并删除,就算手动删除干净了。
实版说好一些的原因是清理了注册表后,有些病毒文件成了僵尸。不过病毒没有清理干净,很快会重新释放新的病毒文件,那是情况又会加重。
实版肯定之前运行过杀毒软件。因为系统感染病毒后破坏了系统文件。杀毒软件在杀毒后,只是清除了病毒文件,但是没有修复系统文件,由于系统文件遭到破坏,就容易出现死机故障。
最彻底的办法还是重装,呵呵
手工删除要了解病毒特征,并采用相应的办法,办法不到位就删不干净
如果知道受损的系统文件,有些可以用复制干净的同类型的的操作系统文件覆盖解决
原帖由 实发 于 2009-11-13 01:14 发表 http://bbs.macd.cn/static/image/common/back.gif
我再次感谢 pwsh 大力帮助!#*19*# #*19*#
现在电脑比昨天好多了。时间长了还是死机,死机后是变蓝屏带字码。
不知道提示的字码是什么?有可能病毒已经将您电脑的系统文件更改了,中毒太深,即使杀毒恐怕也难以恢复了,还是重装系统吧,然后在qq远程协助安杀毒软件!
重新做系统,安装金山毒霸(D版的很多#*22*# )+360安全卫士,然后再做个一键恢复,一劳永逸啊
原帖由 实发 于 2009-11-12 23:14 发表 http://bbs.macd.cn/static/image/common/back.gif
那个ming9b090423.exe病毒,桌面——开始——搜索——文件或文件夹里没有找到啊。#*31*# #*31*#
简单点可以下载一个叫“ICESWORD(冰刃)”的软件,打开后点击“文件”,界面就像资源管理器一样
按照文件路径是C:\WINDOWS\system\ming9b090423.exe 应该可以找到这玩意(包括隐藏的病毒都可以找到),可以喀嚓掉了。
[ 本帖最后由 myrush 于 2009-11-13 09:21 编辑 ]
原帖由 实发 于 2009-11-13 01:03 发表 http://bbs.macd.cn/static/image/common/back.gif
我再贴一次。
f3和F2那2个也要再次修复,还有你用5893和5892楼里的链接的杀软来杀一次
原帖由 实发 于 2009-11-13 01:14 发表 http://bbs.macd.cn/static/image/common/back.gif
我再次感谢 pwsh 大力帮助!#*19*# #*19*#
现在电脑比昨天好多了。时间长了还是死机,死机后是变蓝屏带字码。
蓝屏上stop后面的代码是什么?还有是否出现.sys后缀的文件名?将它们记下来发上来,我下午要上班,明天来看。有数码相机的话,直接将蓝屏的画面拍下来发上来。
f2和f3里的那个rund1132.exe是病毒,正常的文件名应该是rundll32.exe,2个ll是e文字母的才是系统的文件,2个数字11的是病毒冒充的
[ 本帖最后由 pwsh 于 2009-11-13 09:28 编辑 ]