无忧启动论坛

 找回密码
 注册
搜索
一次装机 终生领工资最纯净的「微PE装机优盘」UEPON大师作品卡瑞飞系统和装机二合一超级U盘
诚聘PE工具开发技术员QQ:1607112133系统gho:最纯净好用系统下载站广告联系 QQ:184822951 微信:wuyouceo
楼主: 2010无忧

[求助] 中木马了,c盘根目录一直产生setup.exe 大家帮帮忙

[复制链接]
 楼主| 发表于 2017-5-18 13:23:52 | 显示全部楼层
本帖最后由 2010无忧 于 2017-5-18 14:31 编辑

freesoft00 发表于 2017-5-18 12:37[/url]
http://download.eset.com.cn/download/sysinspector/
使用sysinspector工具生成一份日志上来。帮你看一下 ...[/quote]

非常感谢   
回复

使用道具 举报

 楼主| 发表于 2017-5-18 13:39:42 | 显示全部楼层
gtc 发表于 2017-5-18 12:26
建议使用微点主动防御软件看看,官方有试用版。使用前卸载其他杀毒软件!

也许是我运气差  ,装了微点主动防御   重启就蓝屏   安全模式卸载后恢复正常,继续换别的杀软试试
回复

使用道具 举报

 楼主| 发表于 2017-5-18 13:51:52 | 显示全部楼层
frg521 发表于 2017-5-18 13:49
小偷还没有偷东西,监控就算没有意义?有用

好的  等下木马出现后   我操作
回复

使用道具 举报

发表于 2017-5-18 14:10:00 | 显示全部楼层
不好意思。日志中我个人没有看到有什么太大的异常。

rs的远程控制软件是你自己安装的吗?如果是这个文件没有什么问题
c:\windows\syswow64\rserver30\rserver3.exe

下面这两个文件未知
c:\windows\syswow64\tiltwheelmouse.exe
c:\windows\system32\sncactivexviewer_g6.ocx

下面这两个我这里系统也没有
c:\windows\system32\spool\prtprocs\x64\kobzqabp.dll
c:\windows\system32\spool\drivers\x64\3\kobzqabc.dll

skype应该也是你自己安装的。这个文件未知
c:\windows\pss\skype.lnk.startup

你可以试试把上面的软件改名(不删除改名,有问题可以更改回来)。然后重启试试。


TeamViewer远程控制软件,这个在吾爱破解看到有被远程入侵的。最好设置复制的密码。

点评

好的 谢谢 我试试 ,rs远程是自己安装的 skype也是  详情 回复 发表于 2017-5-18 14:16
回复

使用道具 举报

 楼主| 发表于 2017-5-18 14:10:59 | 显示全部楼层
frg521 发表于 2017-5-18 13:55
硬盘别太小,看下剩余空间别用完了,完了监控自己停止,指系统盘

谢谢  ,你开始不是说第二次重启  记录保存后几秒 就可以关掉了吗  ,还是要一直开着?
回复

使用道具 举报

 楼主| 发表于 2017-5-18 14:16:50 | 显示全部楼层
本帖最后由 2010无忧 于 2017-5-18 14:24 编辑
freesoft00 发表于 2017-5-18 14:10
不好意思。日志中我个人没有看到有什么太大的异常。

rs的远程控制软件是你自己安装的吗?如果是这个文件 ...


好的  谢谢      ,rs远程是自己安装的  skype也是,sncactivexviewer_g6.ocx 是song摄像头的一个插件 应该没问题,tiltwheelmouse.exe没在你写的目录找到,在c:\windows\system32\
下面有一个。 下面两个dll是一个老式打印机的驱动。我把tiltwheelmouse.exe 备份一下  ,删除试试看
回复

使用道具 举报

发表于 2017-5-18 15:25:08 来自手机 | 显示全部楼层
tiltwheelmouse.exe是不是模拟鼠标啥的,据说是微软签名文件。

点评

好像是微软的文件  详情 回复 发表于 2017-5-18 15:36
回复

使用道具 举报

 楼主| 发表于 2017-5-18 15:36:38 | 显示全部楼层
窄口牛 发表于 2017-5-18 15:25
tiltwheelmouse.exe是不是模拟鼠标啥的,据说是微软签名文件。

好像是微软的文件
回复

使用道具 举报

发表于 2017-5-18 16:07:31 | 显示全部楼层
扫描不出来可疑文件。那么也可以试试使用bootice或winhex,截取磁盘的mbr和pbr上来,看一下是否是mbr病毒。

点评

麻烦给看一下 谢谢了  详情 回复 发表于 2017-5-18 17:18
回复

使用道具 举报

 楼主| 发表于 2017-5-18 17:18:56 | 显示全部楼层
freesoft00 发表于 2017-5-18 16:07
扫描不出来可疑文件。那么也可以试试使用bootice或winhex,截取磁盘的mbr和pbr上来,看一下是否是mbr病毒。

mbr pbr.rar (5.65 KB, 下载次数: 5)

点评

这两处同样没有问题。 你的电脑是服务器吗?如果能从新启动,可以试试启动到安全模式,然后观察一下是否还有可疑文件生成,如果没有了,那么说明就是在这些正常启动项里面有可疑文件。可以在进一步禁用各个启动项,  详情 回复 发表于 2017-5-18 19:31
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持本站|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2019-3-22 14:42

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表