风云小站 » 『 求助专区 』 » 机子好像是中毒了,帮一下忙
本页主题: 机子好像是中毒了,帮一下忙 打印 | 加为IE收藏 | 复制链接 | 收藏主题 | 上一主题 | 下一主题

anson
擎云水苑|瓜瓜
级别: 超级会员


精华: 0
发帖: 3487
威望: 1566 点
风云币: 3225 元
专家分: 0 分
论坛群: 擎云水苑
在线时间:672(小时)
注册时间:2006-10-27
最后登录:2008-04-28

 机子好像是中毒了,帮一下忙

每次开机卡巴都报图1的样子
1

选择阻止了以后
好像是阻止了
如图2
2

但是进程里多了好多的ie进程
如图3
3

用avg 卡巴扫了也没发现有什么东西
又在安全模式下再做一遍
也没发现
都是全盘扫的
还有系统也重装了2次了
主页被改成了www。haokan123。com/了
郁闷阿........
希望有懂的帮一下忙
[ 此贴被anson在2007-01-17 16:38重新编辑 ]
本帖最近评分记录:
  • 风云币:5(cai504)
  • 顶端 Posted: 2007-01-16 13:49 | [楼 主]
    lfengnet
    还在努力中。。。
    级别: 资深会员


    精华: 0
    发帖: 566
    威望: 1184 点
    风云币: 3109 元
    专家分: 1 分
    在线时间:44(小时)
    注册时间:2006-11-22
    最后登录:2008-04-29

     

    浏览器被篡改了。还有你的ie有没有开那么多啊。没有的话多半有木马注入。解决的方法如下

      1.到C:\WINDOWS\system32下找到iexplore.exe 和 psinthk.dll 完全删除之。

      2、到注册表中,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run“mssysint”= iexplore.exe,删除其键值。

    还有svchost被其他的程序调用了。你的图看不出来被哪个程序调用。最好扫描一个系统日志才能判断。
    学习病毒分析的地方
    http://hi.baidu.com/teyqiu
    http://hi.baidu.com/nslog
    顶端 Posted: 2007-01-16 14:18 | 1 楼
    lfengnet
    还在努力中。。。
    级别: 资深会员


    精华: 0
    发帖: 566
    威望: 1184 点
    风云币: 3109 元
    专家分: 1 分
    在线时间:44(小时)
    注册时间:2006-11-22
    最后登录:2008-04-29

     

    Quote:
    引用第4楼anson2007-01-16 14:26发表的:



    1跟2里面的东西都没有找到阿.....



    如果你没有开ie浏览器。你的进程里面的iexplore有那么多吗?
    学习病毒分析的地方
    http://hi.baidu.com/teyqiu
    http://hi.baidu.com/nslog
    顶端 Posted: 2007-01-16 14:36 | 2 楼
    lfengnet
    还在努力中。。。
    级别: 资深会员


    精华: 0
    发帖: 566
    威望: 1184 点
    风云币: 3109 元
    专家分: 1 分
    在线时间:44(小时)
    注册时间:2006-11-22
    最后登录:2008-04-29

     

    Quote:
    引用第4楼anson2007-01-16 14:26发表的:



    1跟2里面的东西都没有找到阿.....


    那你没有开启IE浏览器时,你的进程中有那么多的IEXPLORE进程吗?
    学习病毒分析的地方
    http://hi.baidu.com/teyqiu
    http://hi.baidu.com/nslog
    顶端 Posted: 2007-01-16 14:40 | 3 楼
    lfengnet
    还在努力中。。。
    级别: 资深会员


    精华: 0
    发帖: 566
    威望: 1184 点
    风云币: 3109 元
    专家分: 1 分
    在线时间:44(小时)
    注册时间:2006-11-22
    最后登录:2008-04-29

     

    下面的你是用那个在上网啊?
    D:\green\GreenBrowserGB\GreenBrowser.exe
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE
    C:\Program Files\Internet Explorer\IEXPLORE.EXE

    这个日志看不全面请用下面的来扫描

    System Repair Engineer2.2.6.605★直接点击下载System Repair Engineer2★sreng2.rar

    http://www.kztechs.com/sreng/sreng2.zip
    [ 此贴被lfengnet在2007-01-17 13:12重新编辑 ]
    学习病毒分析的地方
    http://hi.baidu.com/teyqiu
    http://hi.baidu.com/nslog
    顶端 Posted: 2007-01-16 14:48 | 4 楼
    lfengnet
    还在努力中。。。
    级别: 资深会员


    精华: 0
    发帖: 566
    威望: 1184 点
    风云币: 3109 元
    专家分: 1 分
    在线时间:44(小时)
    注册时间:2006-11-22
    最后登录:2008-04-29

     

    Quote:
    引用第11楼anson2007-01-16 14:50发表的:
    D:greenGreenBrowserGBGreenBrowser.exe
    用这个


    在网上查了下。资料如下
    iexplore.exe进程--病毒
    系统进程--伪装的病毒iexplore.exe
    Trojan.PowerSpider.ac破坏方法:密码解霸V8.10。又称“密码结巴”
    偷用户各种密码,包含:游戏密码、局域网密码、腾讯QQ账号和密码、POP3密码、Win9x缓存密码及拨号账号等等。这个木马所偷密码的范围很广,对广大互联网用户的潜在威胁也巨大。
    现象:
    1.系统进程中有iexplore.exe运行,注意,是小写字母
    2.搜索该程序iexplore.exe,不是位于C盘下的PROGRAMME文件夹,而是WINDOWS\system32或者\windows文件夹。
    解决办法:
    1.到C:\\WINDOWS\\system32下找到iexplore.exe和psinthk.dll完全删除之。
    2.到注册表中,找到HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion
    \\Run“mssysint”=iexplore.exe,删除其键值
    学习病毒分析的地方
    http://hi.baidu.com/teyqiu
    http://hi.baidu.com/nslog
    顶端 Posted: 2007-01-16 15:02 | 5 楼
    lfengnet
    还在努力中。。。
    级别: 资深会员


    精华: 0
    发帖: 566
    威望: 1184 点
    风云币: 3109 元
    专家分: 1 分
    在线时间:44(小时)
    注册时间:2006-11-22
    最后登录:2008-04-29

     

    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <twin><C:\WINDOWS\system32\twunk32.exe> [N/A]
    [HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><C:\WINDOWS\system32\3DWIND~1.SCR> [N/A]

    .HLP Error. [C:\WINDOWS\winhlp32.exe %1]
    .INI Error. [C:\WINDOWS\NOTEPAD.EXE %1]
    .INF Error. [C:\WINDOWS\NOTEPAD.EXE %1]


    修复上述文件。重新启动在安全模式下删除文件

    C:\WINDOWS\system32\twunk32.exe
    C:\WINDOWS\system32\3DWIND~1.SCR

    再把QQ件删除了。把QQ安装目录也删除了。(要全部删除)
    学习病毒分析的地方
    http://hi.baidu.com/teyqiu
    http://hi.baidu.com/nslog
    顶端 Posted: 2007-01-16 15:09 | 6 楼
    lfengnet
    还在努力中。。。
    级别: 资深会员


    精华: 0
    发帖: 566
    威望: 1184 点
    风云币: 3109 元
    专家分: 1 分
    在线时间:44(小时)
    注册时间:2006-11-22
    最后登录:2008-04-29

     

    修复注册表启动
    点主界面 启动项目 -->注册表 ,找到有问题的,先点黑(选中),再点下面的“删除按钮”

    修复-系统
    点主界面
    点主界面 系统修复 ,找到有问题的,先点黑(选中),再点下面的“修复按钮”
    学习病毒分析的地方
    http://hi.baidu.com/teyqiu
    http://hi.baidu.com/nslog
    顶端 Posted: 2007-01-16 15:55 | 7 楼
    lfengnet
    还在努力中。。。
    级别: 资深会员


    精华: 0
    发帖: 566
    威望: 1184 点
    风云币: 3109 元
    专家分: 1 分
    在线时间:44(小时)
    注册时间:2006-11-22
    最后登录:2008-04-29

     

    Quote:
    引用第23楼anson2007-01-16 16:05发表的:


    能不能告诉一下我的机子中的是什么毒或是发生了什么事
    好下次遇到的时候自己会解决
    谢谢了
    .......

    病毒名称: Trojan-Downloader.Win32.Small.czl

    病毒类型: 木马

    最后要提醒注意的就是 卸载QQ。重新安装。因为QQ文件夹中的TIMPlatform.exe已被病毒覆盖
    [ 此贴被lfengnet在2007-01-17 11:31重新编辑 ]
    本帖最近评分记录:
  • 风云币:20(cai504)
  • 学习病毒分析的地方
    http://hi.baidu.com/teyqiu
    http://hi.baidu.com/nslog
    顶端 Posted: 2007-01-16 16:08 | 8 楼
    帖子浏览记录 版块浏览记录
    风云小站 » 『 求助专区 』
    感谢,曾经的版主
    Total 0.010376(s) query 7, Time now is:12-29 05:42, Gzip enabled 渝ICP备20004412号-1

    Powered by PHPWind v6.3.2 Certificate Code © 2003-07 PHPWind.com Corporation
    Skin by Chen Bo