作者lcjjaff (回忆忆起回忆)
看板AntiVirus
标题Re: [中毒] 两只木马我不知道怎麽删(求救)
时间Sat Aug 16 18:25:03 2008
※ 引述《OoShiunoO (Shiun)》之铭言:
: PO文请使用下列格式并将有要求的档案附上
: 资料越详细才有办法了解情况并作适当处理
: 1.问题描述:
: 请在下面说明碰到的中毒情形,越详细越好(可贴图说明):
: 我电脑很弱,今天卡巴一直出现这个木马的警告视窗,而且我ㄧ关掉,警
: 告视窗又跳出来了,就是这个Trojan-GameThief.Win32.OnLineGames.sdbj
: 它好像跟两个档案有关,我不会删,烦请各位解救(扫毒报告有详细内容)
: 我想我的问题应该很easy,麻烦大家顺手救我一下吧~卸卸@_@
: C:\WINDOWS\system32\zxdtye.dll
: C:\WINDOWS\system32\ghjsw.dll
: 4.报告连结:
: 请将扫描报告(log)贴於下方 (上面的全要)
: Combofix :http://sun.cis.scu.edu.tw/~92a39/upload/31895.txt
: Hijackthis:http://sun.cis.scu.edu.tw/~92a39/upload/31896.txt
: SRENG :http://sun.cis.scu.edu.tw/~92a39/upload/31897.txt
: 扫毒报告 :http://kotuha.com/file/Naxid-kp.html
复制~~内之文字(不能缺,不能断行喔!),
贴到笔记本里,将档案名称存为 CFScript.txt
然後将这个档案拉到Combofix里(如下图所示)
http://img.photobucket.com/albums/v666/sUBs/CFScript.gif
跑完後(如果要求重开机就重开吧)
重新开机看有无好转吧
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rootkit::
C:\WINDOWS\system32\Msxhxuc.exe
C:\WINDOWS\system32\Msjixucx.exe
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"xsbvgzd"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=""
Driver::
360tray
Fessery
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
--
有挂Rootkit XD
看起来应该没有这麽容易 囧rz
※ 编辑: lcjjaff 来自: 140.112.63.194 (08/16 18:43)
1F:推 OoShiunoO:大大,我照你的方法做了,现在问题变成只有这个还一直 08/16 20:17
2F:→ OoShiunoO:跳出警告视窗 c:\windows\system32\ghjsw.dll (它还在) 08/16 20:19
3F:→ lcjjaff:把combofix跑完的log上传上来,新扫Sreng上来 08/16 20:19
4F:→ OoShiunoO:其他好像没问题了吧...我是否应该再做一些log档来分析? 08/16 20:20
5F:→ lcjjaff:你要再重新做一次系统分析阿XD不然我不知道哪些被干掉哪些 08/16 20:27
6F:→ lcjjaff:还活着阿XD 08/16 20:27
第二次脚本,操作一样。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
file::
C:\WINDOWS\system32\drivers\iexigub.sys
C:\WINDOWS\system32\xsbvgzd.dll
C:\WINDOWS\system32\ghjsw.dll
C:\WINDOWS\system32\Msxhxuc.exe
Driver::
Mshixuc
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
跑完应该就可以了,然後有空要去扫毒,我大多只有砍机码,残档没有删
※ 编辑: lcjjaff 来自: 140.112.63.194 (08/16 20:36)