论坛首页 >> 木马专家2009 专区 >> 举报木马及恶意网站 >> 返回 >> [求助]超强木马杀我于无...

akill         用户等级:论坛游民   注册:2009-3-10 16:06:55

主题: [求助]超强木马杀我于无...  2009-3-10 16:14:14          楼主 555。。。885！各位路过的大虾，都是出来闯荡江湖的，救人一命胜造七级浮屠~，感激的话先不说了，说一下我的遭遇：     这属于突发事件，昨晚我在正常上网（健康网站），刚才还可以点击图片，突然弹出对话框说出于安全考虑该图片打不开，就那意思，刚刚我还能打开相同的图片的，回去接着打刚才打开过的图片也都打不开了~ ===================下面是重点：============================     接着我的“木马专家”不停的弹出对话框，说xxxxxxx修改我的进程，第一个是微软的，下面好几个也都是微软的，接着是其他的，事后我总结规律发现他修改的都是我的开始菜单里面的安装程序的进程。     刚开始他修改进程的时候我看公司是微软的，所以点的“允许”，刚点完一个接着弹出下一个，然后又点了几个允许，出现的太快，感觉事情不对，于是想从开始菜单打开杀毒软件，结果==============开始菜单中的项目只有根目录，里面的子目录都空了，然后接着又有了，是一个接着一个的空了又变回来的变化，“木马专家”也在不停的弹出不同的对话框，就开始几个我点的允许，后面的我都点的阻止，点了好长时间还是出现，于是立马重启计算机，进入安全模式杀毒，小红伞没有查出病毒，“木马专家”查出三个木马，后面附我的杀毒软件的监视日志。等杀完毒已经凌晨两三点了，我就关机睡觉了。     等今天早上正常模式开机一看，“木马专家”也不开机启动了，就去设置里看，开机启动这一项自动取消了；然后瑞星防火墙也不见了，于是手动打开，但是在右边现实时间的任务栏却看不到图标，小红伞的图表也没有，修复了一下小红伞，图表是有了，可是伞却是关着的，撑不开了，第一选项AntiVirGuard（好像是实时监控），以前是自动开启的，偶尔关闭了，点一下还是会开始的，可是这次，后面的选项变成“unknown”和“help”了，我的小红伞可是每天都自动更新的，病毒库也是最新的，号称只有从进程才会关闭的小红伞也打不开了。。。而且我每次打开一个程序，就会弹出一个报告，我猜会不会是昨晚他把我的开始菜单里面的程序都捆绑了木马，每次运行程序木马也跟着运行呢？后面附图片。希望过路英雄帮小弟分析分析，在下感激不尽，高分相送。    （我用的是360安全浏览器，小红伞杀毒软件免费版，木马专家，瑞星防火墙阿里旺旺版）     谁能帮帮我！！！ 以下是我“木马专家”3月9号全天的监控日志 ==================================================================== 开始指定扫描U:\... 指定扫描U:\扫描完成. 扫描文件535个 发现木马0个. IE首页允许修改为: IE首页允许修改为:http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home 允许系统新增加启动项目: [eEye Windows Animated Cursor Patch Checker.lnk]  IE首页拒绝修改为: IE首页拒绝修改为: 核心启动中发现木马! 已经清除 EXE执行程序关联被更改,已经修复. COM执行程序关联被更改,已经修复. 核心启动中发现木马! 已经清除 EXE执行程序关联被更改,已经修复. COM执行程序关联被更改,已经修复. IE首页拒绝修改为: IE首页拒绝修改为: 阻止系统新增加启动项目: [switch]  c:\windows\system32\壁纸自动换.exe 阻止系统新增加启动项目: [SoundMan]  SOUNDMAN.EXE 阻止系统新增加启动项目: [NvCplDaemon]  RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup 阻止系统新增加启动项目: [nwiz]  nwiz.exe /install 阻止系统新增加启动项目: [CorelDRAW Graphics Suite 11b]  D:\Program Files\CoreDRAW\Languages\CS\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=031409 serial=DR12CNR-7083906-HXW lang=CS 阻止系统新增加启动项目: [NVMixerTray]  "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe" 阻止系统新增加启动项目: [TkBellExe]  "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot 阻止系统新增加启动项目: [avgnt]  "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min 阻止系统新增加启动项目: [木马专家]  C:\Program Files\T Expert 2009\mmzj.exe 阻止系统新增加启动项目: [RFWTray]  "C:\Program Files\Rising\RFW\RsTray.exe" -system 阻止系统新增加启动项目: [SecNotifier]  C:\Program Files\Sucop\SecPlugin\SecNotifier.exe 阻止系统新增加启动项目: [ctfmon.exe]  C:\WINDOWS\system32\ctfmon.exe 阻止系统新增加启动项目: [DAEMON Tools]  "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 阻止系统新增加启动项目: [EPSON Stylus Photo R290 Series]  C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICKP.EXE /FU "C:\WINDOWS\TEMP\E_SB0.tmp" /EF "HKCU" 阻止系统新增加启动项目: [{AEB6717E-7E19-11d0-97EE-00C04FD91972}]  shell32.dll 阻止系统新增加启动项目: [{7EA763EC-EE25-4D54-9F83-8A085CD17B47}]  C:\WINDOWS\system32\neanmjec.dll 阻止系统新增加启动项目: [{2E555936-7CA9-4F59-9209-1ADE35931462}]  C:\WINDOWS\system32\ielllpjm.dll 阻止系统新增加启动项目: [{C6410332-70E2-451E-A7ED-886DB5C92BCF}]  C:\WINDOWS\system32\cmkhgjji.dll 阻止系统新增加启动项目: [{BE9DEA3A-893C-43F3-BC33-99574575A9F0}]  C:\Program Files\Internet Explorer\PowerDn.Rel 阻止系统新增加启动项目: [{C9D54859-3914-432C-8F6E-B4796A9D528D}]  C:\WINDOWS\system32\cpdlkolp.dll 允许系统新增加启动项目: [{AB10618B-4D8C-4E85-8CA9-36F8725C741A}]  C:\WINDOWS\system32\abhgmhob.dll 阻止系统新增加启动项目: [{B578A852-EC18-4B24-B5BB-23EBB93D17AD}]  C:\WINDOWS\system32\blnoaoli.dll 阻止系统新增加启动项目: [{2C22D049-501B-42E5-A976-DDF6688483BF}]  C:\WINDOWS\system32\iciidgkp.dll 阻止系统新增加启动项目: [{6B4C1270-B296-4E65-B489-4756C762333B}]  C:\WINDOWS\system32\mbkching.dll 阻止系统新增加启动项目: [{D5FDB597-980A-44BC-A0E7-2675969D5366}]  C:\WINDOWS\system32\dlfdblpn.dll 阻止系统新增加启动项目: [{57ACC657-2CF2-4BCC-B91F-E6687B483C71}]  C:\WINDOWS\system32\lnaccmln.dll 阻止系统新增加启动项目: [{8AA5EE21-8B3F-46E1-8301-697F02E9DA65}]  C:\WINDOWS\system32\oaaleeih.dll 阻止系统新增加启动项目: [{E78BB2A2-D693-4BA5-AB0B-C46FA2340308}]  C:\WINDOWS\system32\enobbiai.dll 阻止系统新增加启动项目: [{97147E15-AEDF-40CD-986D-7A7BB81457DF}]  C:\WINDOWS\system32\pnhknehl.dll 阻止系统新增加启动项目: [{50C9AB58-0967-4897-8529-8B9302A911E8}]  C:\WINDOWS\system32\lgcpablo.dll 阻止系统新增加启动项目: [{B17F68A1-B262-48BF-ABE9-26D848D92EA3}]  C:\WINDOWS\system32\bhnfmoah.dll 阻止系统新增加启动项目: [{FDBC3642-B739-4E89-BD57-06630457C0EC}]  C:\WINDOWS\system32\fdbcjmki.dll 阻止系统新增加启动项目: [{5EE25AA2-C474-4960-8AC7-FE034F79364B}]  C:\WINDOWS\system32\leeilaai.dll 阻止系统新增加启动项目: [AppInit_DLLs]  anifix1.dll abhgmhob.dll,iciidgkp.dll,mbkching.dll,cpdlkolp.dll 阻止系统新增加启动项目: [{0A0DDBD3-6641-40B9-873F-BBDD26D6C14E}]  D:\Program Files\eMule\modules\IE2EM.dll 阻止系统新增加启动项目: [{3049C3E9-B461-4BC5-8870-4C09146192CA}]  C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll 阻止系统新增加启动项目: [{38038D50-8A48-44C2-945F-D2F23F771410}]  D:\PROGRA~1\支付宝~1\Toolbar\YANTIF~1.DLL 阻止系统新增加启动项目: [{889D2FEB-5411-4565-8998-1DD2C5261283}]  C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll 阻止系统新增加启动项目: [{BE9DEA3A-893C-43F3-BC33-99574575A9F0}]  C:\Program Files\Internet Explorer\PowerDn.Rel 阻止系统新增加启动项目: [{C2EB616C-BFB0-4361-A02C-588F869A0E97}]  C:\Program Files\Sucop\SecPlugin\SecPlugin.dll 阻止系统新增加启动项目: [eEye Windows Animated Cursor Patch Checker.lnk]  阻止系统新增加服务项目: [Adobe LM Service]  "C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe" 阻止系统新增加服务项目: [Alerter]  C:\WINDOWS\system32\svchost.exe -k LocalService 阻止系统新增加服务项目: [ALG]  C:\WINDOWS\System32\alg.exe 阻止系统新增加服务项目: [AntiVirScheduler]  "C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe" 阻止系统新增加服务项目: [AntiVirService]  "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe" 阻止系统新增加服务项目: [AppMgmt]  C:\WINDOWS\system32\svchost.exe -k netsvcs 阻止系统新增加服务项目: [aspnet_state]  C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe 阻止系统新增加启动项目: [ctfmon.exe]  C:\WINDOWS\system32\ctfmon.exe 阻止系统新增加启动项目: [TkBellExe]  "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot 开始扫描硬盘分区C: ... 硬盘分区C:\扫描完成. 开始扫描硬盘分区D: ... 硬盘分区D:\扫描完成. 开始扫描硬盘分区E: ... 硬盘分区E:\扫描完成. 开始扫描硬盘分区F: ... 硬盘分区F:\扫描完成. 开始扫描硬盘分区G: ... 硬盘分区G:\扫描完成. 开始扫描硬盘分区H: ... 硬盘分区H:\扫描完成. 开始扫描硬盘分区J: ... 硬盘中发现:->Trojan-PSW.Win32.OnLineGames #86111 J:\Program Files\PPLive\PPH.dll 木马在硬盘清除成功! 硬盘分区J:\扫描完成. 开始扫描硬盘分区K: ... 硬盘中发现:->{智能分析}Upack壳类木马 K:\002系统维护\卡巴斯基\卡巴斯基各版本通用破译器\卡巴斯基各版本通用破译器.exe 木马在硬盘清除成功! 硬盘分区K:\扫描完成. 开始扫描硬盘分区L: ... 硬盘分区L:\扫描完成. 开始扫描硬盘分区M: ... 硬盘分区M:\扫描完成. 开始扫描硬盘分区N: ... 硬盘中发现:->QQ盗号木马 #12340 N:\System Volume Information\_restore{448323AA-C6C6-413B-BA01-7C1B1B7D65E8}\RP1\A0000450.exe 木马在硬盘清除成功! 硬盘分区N:\扫描完成. 开始扫描硬盘分区O: ... 硬盘分区O:\扫描完成. 开始扫描硬盘分区P: ... 硬盘分区P:\扫描完成. 扫描文件290401个 发现木马3个. :::建议您立即清空[隔离仓库]彻底清除被隔离的木马文件:::

akill      用户等级:论坛游民   注册:2009-3-10 16:06:55

Re:[求助]超强木马杀我于无形...  2009-3-10 17:00:22         第楼 逛了一圈，发现基本都是枫哥一个人忙活，真是千手观音啊~也希望能帮帮我。。。

枫      用户等级:精灵王   注册:2005-1-9 15:11:13

Re:[求助]超强木马杀我于无形...  2009-3-10 18:41:32         第楼 好像是中了木马群,比较麻烦了.准备做好还原系统的准备. ------------------签名------------------- 论坛管理员 Beyond工作室

*快速回复   默认支持UBB,如果你不希望   支持UBB或要其它功能你可   以用高级回复进行编辑

标题     内容