无忧启动论坛

 找回密码
 注册
搜索
最纯净的「微PE装机优盘」UEPON大师作品系统gho:最纯净好用系统下载站数据恢复、数据保护、视频编辑
Win To Go 极致利器(IXUNCIS固态U盘)无忧启动网成立20周年!广告联系 QQ:184822951 微信:wuyouceo
查看: 7734|回复: 33

[求助] 中木马了,c盘根目录一直产生setup.exe 大家帮帮忙

[复制链接]
发表于 2017-5-17 12:24:44 | 显示全部楼层 |阅读模式
本帖最后由 2010无忧 于 2017-5-17 12:28 编辑

电脑中木马了,c盘根目录一直产生setup.exe  文件 ,频率大概一小时一次。下面是eset杀毒软件的截图,用eset全盘查杀却杀毒到其他病毒。也换过其他杀毒软件,如诺顿 ,卡巴斯基,360,火绒剑,大蜘蛛,都扫描不出来木马文件,只有setup.exe 产生时会有提示。电脑暂时不能重装系统,大家帮帮忙 ,有没有扫描办法把木马母体给找出来,谢谢了。
QQ拼音截图未命名.png
用Procmon软件监控发现是系统explorer.exe进程创建的 1.png
发表于 2017-5-17 12:46:49 | 显示全部楼层
帮顶,
很少用杀毒,一般都是事先防备,wimboot+vhd+ewf方式做系统
回复

使用道具 举报

发表于 2017-5-17 13:00:26 | 显示全部楼层
试试
诺顿强力清除器.rar (3.16 MB, 下载次数: 81)

点评

谢谢 ,使用后也没有查杀到,只扫描到一些误杀的文件  详情 回复 发表于 2017-5-17 15:00
回复

使用道具 举报

发表于 2017-5-17 13:33:58 | 显示全部楼层
小红伞
回复

使用道具 举报

发表于 2017-5-17 14:38:22 | 显示全部楼层
explore.exe的问题 就试着看explorer.exe是不是被串改了。换回原版的试试
回复

使用道具 举报

 楼主| 发表于 2017-5-17 15:00:17 | 显示全部楼层

谢谢  ,使用后也没有查杀到,只扫描到一些误杀的文件
回复

使用道具 举报

发表于 2017-5-17 16:00:04 | 显示全部楼层
我可能会尝试用个笨办法,新建空文本改名为setup.exe放到C盘根目录,看看会怎么样

点评

这样能有啥作用  详情 回复 发表于 2017-5-17 16:44
回复

使用道具 举报

发表于 2017-5-17 16:12:25 来自手机 | 显示全部楼层
看看explorer调用的dll有哪个不正常,估计就是篡改主页搜索引擎。

点评

也看了explorer调用的dll都是微软自己的,可能是木马发作时才调用吧,平常看不到  详情 回复 发表于 2017-5-17 16:45
回复

使用道具 举报

 楼主| 发表于 2017-5-17 16:44:05 | 显示全部楼层
helloman 发表于 2017-5-17 16:00
我可能会尝试用个笨办法,新建空文本改名为setup.exe放到C盘根目录,看看会怎么样

这样能有啥作用

点评

看看还能生成这个文件不?后面怎么做其实我还没有想好  详情 回复 发表于 2017-5-17 16:54
回复

使用道具 举报

 楼主| 发表于 2017-5-17 16:45:10 | 显示全部楼层
窄口牛 发表于 2017-5-17 16:12
看看explorer调用的dll有哪个不正常,估计就是篡改主页搜索引擎。

也看了explorer调用的dll都是微软自己的,可能是木马发作时才调用吧,平常看不到
回复

使用道具 举报

发表于 2017-5-17 16:54:25 | 显示全部楼层

看看还能生成这个文件不?后面怎么做其实我还没有想好
回复

使用道具 举报

发表于 2017-5-17 18:15:25 来自手机 | 显示全部楼层
有签名才是微软自己的,查查看。
回复

使用道具 举报

发表于 2017-5-17 20:42:11 | 显示全部楼层
应该是调用explorer的方法创建的,所以都没发现什么
不如试试创建一个setup.exe的空白记事本文件,改只读。
回复

使用道具 举报

发表于 2017-5-17 22:00:04 | 显示全部楼层
在PE下安装杀毒软件,升级查杀,是比较了的方法。
带毒杀毒,问题比较多。
回复

使用道具 举报

发表于 2017-5-17 22:30:28 | 显示全部楼层
论坛上好像有一个杀毒PE http://bbs.wuyou.net/forum.php?mod=viewthread&tid=319181 .病毒在运行,可能不好处理.
回复

使用道具 举报

发表于 2017-5-18 11:06:36 | 显示全部楼层
资源管理器被强X进了DLL,任务管理器结束一下资源管理器再重新运行资源管理器看看!~
回复

使用道具 举报

 楼主| 发表于 2017-5-18 12:07:21 | 显示全部楼层
frg521 发表于 2017-5-17 18:03
系统进程桌面,绝对是加载了dll文件,比起驱动级别容易找到,用监控,记录完整开机确认病毒已经创建或者访 ...

又试了几个杀毒软件  也不行。用你的办法 重新开机的时候可以保存记录,但是重启前删除setup.exe 后重启不会立马生成setup.exe 文件,这样的记录也有用吗
回复

使用道具 举报

发表于 2017-5-18 12:26:44 | 显示全部楼层
建议使用微点主动防御软件看看,官方有试用版。使用前卸载其他杀毒软件!

点评

也许是我运气差 ,装了微点主动防御 重启就蓝屏 安全模式卸载后恢复正常,继续换别的杀软试试  详情 回复 发表于 2017-5-18 13:39
谢谢,试试看吧  详情 回复 发表于 2017-5-18 12:33
回复

使用道具 举报

 楼主| 发表于 2017-5-18 12:33:00 | 显示全部楼层
gtc 发表于 2017-5-18 12:26
建议使用微点主动防御软件看看,官方有试用版。使用前卸载其他杀毒软件!

谢谢,试试看吧
回复

使用道具 举报

发表于 2017-5-18 12:37:49 | 显示全部楼层
本帖最后由 freesoft00 于 2017-5-18 12:42 编辑

http://download.eset.com.cn/download/sysinspector/
使用sysinspector工具生成一份日志上来。帮你看一下。
https://download.eset.com/downlo ... HS/SysInspector.exe
https://download.eset.com/downlo ... HS/SysInspector.exe

点评

非常感谢  详情 回复 发表于 2017-5-18 13:23
回复

使用道具 举报

 楼主| 发表于 2017-5-18 13:23:52 | 显示全部楼层
本帖最后由 2010无忧 于 2017-5-18 14:31 编辑

freesoft00 发表于 2017-5-18 12:37[/url]
http://download.eset.com.cn/download/sysinspector/
使用sysinspector工具生成一份日志上来。帮你看一下 ...[/quote]

非常感谢   
回复

使用道具 举报

 楼主| 发表于 2017-5-18 13:39:42 | 显示全部楼层
gtc 发表于 2017-5-18 12:26
建议使用微点主动防御软件看看,官方有试用版。使用前卸载其他杀毒软件!

也许是我运气差  ,装了微点主动防御   重启就蓝屏   安全模式卸载后恢复正常,继续换别的杀软试试
回复

使用道具 举报

 楼主| 发表于 2017-5-18 13:51:52 | 显示全部楼层
frg521 发表于 2017-5-18 13:49
小偷还没有偷东西,监控就算没有意义?有用

好的  等下木马出现后   我操作
回复

使用道具 举报

发表于 2017-5-18 14:10:00 | 显示全部楼层
不好意思。日志中我个人没有看到有什么太大的异常。

rs的远程控制软件是你自己安装的吗?如果是这个文件没有什么问题
c:\windows\syswow64\rserver30\rserver3.exe

下面这两个文件未知
c:\windows\syswow64\tiltwheelmouse.exe
c:\windows\system32\sncactivexviewer_g6.ocx

下面这两个我这里系统也没有
c:\windows\system32\spool\prtprocs\x64\kobzqabp.dll
c:\windows\system32\spool\drivers\x64\3\kobzqabc.dll

skype应该也是你自己安装的。这个文件未知
c:\windows\pss\skype.lnk.startup

你可以试试把上面的软件改名(不删除改名,有问题可以更改回来)。然后重启试试。


TeamViewer远程控制软件,这个在吾爱破解看到有被远程入侵的。最好设置复制的密码。

点评

好的 谢谢 我试试 ,rs远程是自己安装的 skype也是  详情 回复 发表于 2017-5-18 14:16
回复

使用道具 举报

 楼主| 发表于 2017-5-18 14:10:59 | 显示全部楼层
frg521 发表于 2017-5-18 13:55
硬盘别太小,看下剩余空间别用完了,完了监控自己停止,指系统盘

谢谢  ,你开始不是说第二次重启  记录保存后几秒 就可以关掉了吗  ,还是要一直开着?
回复

使用道具 举报

 楼主| 发表于 2017-5-18 14:16:50 | 显示全部楼层
本帖最后由 2010无忧 于 2017-5-18 14:24 编辑
freesoft00 发表于 2017-5-18 14:10
不好意思。日志中我个人没有看到有什么太大的异常。

rs的远程控制软件是你自己安装的吗?如果是这个文件 ...


好的  谢谢      ,rs远程是自己安装的  skype也是,sncactivexviewer_g6.ocx 是song摄像头的一个插件 应该没问题,tiltwheelmouse.exe没在你写的目录找到,在c:\windows\system32\
下面有一个。 下面两个dll是一个老式打印机的驱动。我把tiltwheelmouse.exe 备份一下  ,删除试试看
回复

使用道具 举报

发表于 2017-5-18 15:25:08 来自手机 | 显示全部楼层
tiltwheelmouse.exe是不是模拟鼠标啥的,据说是微软签名文件。

点评

好像是微软的文件  详情 回复 发表于 2017-5-18 15:36
回复

使用道具 举报

 楼主| 发表于 2017-5-18 15:36:38 | 显示全部楼层
窄口牛 发表于 2017-5-18 15:25
tiltwheelmouse.exe是不是模拟鼠标啥的,据说是微软签名文件。

好像是微软的文件
回复

使用道具 举报

发表于 2017-5-18 16:07:31 | 显示全部楼层
扫描不出来可疑文件。那么也可以试试使用bootice或winhex,截取磁盘的mbr和pbr上来,看一下是否是mbr病毒。

点评

麻烦给看一下 谢谢了  详情 回复 发表于 2017-5-18 17:18
回复

使用道具 举报

 楼主| 发表于 2017-5-18 17:18:56 | 显示全部楼层
freesoft00 发表于 2017-5-18 16:07
扫描不出来可疑文件。那么也可以试试使用bootice或winhex,截取磁盘的mbr和pbr上来,看一下是否是mbr病毒。

mbr pbr.rar (5.65 KB, 下载次数: 5)

点评

这两处同样没有问题。 你的电脑是服务器吗?如果能从新启动,可以试试启动到安全模式,然后观察一下是否还有可疑文件生成,如果没有了,那么说明就是在这些正常启动项里面有可疑文件。可以在进一步禁用各个启动项,  详情 回复 发表于 2017-5-18 19:31
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2021-1-23 03:46

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表