(恢复了系统,算是解决)中了N深的毒..搞了一下午沒清完....能者進來幫幫看一下..

sansa520 · 发表于 2007-4-11 20:21:32

Logfile of HijackThis v1.99.1
Scan saved at 下午 07:00:41, on 2007/4/11
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\NComputer\bootsrv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\SYSTEM32\RUNDLL2KXP.EXE
C:\WINDOWS\Explorer.exe
C:\WINDOWS\AdsNT.exe
C:\WINDOWS\system32\AlxUp.exe
C:\CMailServer\CMailServer.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAAP.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\CAP4RSK.EXE
C:\WINDOWS\system32\spool\drivers\w32x86\3\CAP4SWK.EXE
C:\Program Files\PeanutHull3\PhMain.exe
D:\ip\winpip.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\PeanutHull3\PhCore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\MEI~1.SER\LOCALS~1\Temp\Rar$EX16.438\HijackThis.exe

中毒了..用威金(清了一堆)專殺配合卡巴(清了N個)+熊貓專殺(清了2345個)清理得差不多了...
但卡巴還有兩個清不掉

C:\WINDOWS\system32\waktz.dll

C:\WINDOWS\system32\drivers\ityly.sys

網上找不到相關的資料..因為是這臺做來文件服務器的..而且裝的是繁體系統..重做系統不好搞..

想打包這兩個文件做樣本都不行..安全模式下也試過..都提示此文件正在使用中..

[ 本帖最后由 sansa520 于 2007-4-13 04:59 PM 编辑 ]

ccc000 · 发表于 2007-4-11 21:08:36

进入pe删除，我都是用pe手动杀毒的，如果还不行，就用光盘pe

wang6610 · 发表于 2007-4-11 21:11:04

先找到这两干净的文件。重启在dos或pe下替换。

大雨落幽燕 · 发表于 2007-4-11 21:32:11

waktz.dll可以反注册掉吗？SYS在安全模式下删除不掉，一定是被当作虚拟驱动了。

大雨落幽燕 · 发表于 2007-4-11 21:48:28

还是用PE删吧，简单，就几个个文件：
RUNDLL2KXP.EXE
waktz.dll
ityly.sys
C:\WINDOWS\AdsNT.exe
C:\WINDOWS\system32\AlxUp.exe

弄潮儿-NET · 发表于 2007-4-11 21:54:13

怎么我就没毒中呢？楼主去哪中的毒？让我中一下好不

ali88home · 发表于 2007-4-11 22:12:32

gdisk 1 /y /mbr "重新初始化主引导记录 (/MBR)"
gdisk 1 /del /all "删除所有硬盘分区"
跟它病毒同归于尽，拼了:lol 让病毒知道你不是好欺负的，ghost吧！;P

jzql · 发表于 2007-4-11 22:13:10

用PE怎么删除病毒，请教一下，请说得详细一些，我是新手！

pandorak · 发表于 2007-4-11 22:57:48

提示: 作者被禁止或删除内容自动屏蔽

dgxhls · 发表于 2007-4-11 23:10:09

大侠天天打鹰，没想到今天被鹰啄了眼。

6618 · 发表于 2007-4-11 23:58:11

原帖由 大雨落幽燕 于 2007-4-11 09:48 PM 发表
还是用PE删吧，简单，就几个个文件：
RUNDLL2KXP.EXE
waktz.dll
ityly.sys
C:\WINDOWS\AdsNT.exe
C:\WINDOWS\system32\AlxUp.exe

同意，删掉这几个东东，再在注册表限制这几个EXE的运行。

6618 · 发表于 2007-4-12 00:00:14

如果还搞不定，用SRENG扫个日志上来。:lol

sansa520 · 发表于 2007-4-12 00:59:16

我服了。。没时间再杀毒了。。我把服务器。。还有内网的电脑全部GHOST还原了。。
搞到刚刚才回来。。。。累死了。。。。
先谢谢几位了。。不过我有预感。。。这次病毒没清干净。。。

静观其变了。。

sansa520 · 发表于 2007-4-12 01:04:27

汗了。。第一次碰到这么多的毒。。。三个一起杀。。。木马一大堆。。。
在我接手那间公司前那里已经搞得乱七八糟了。。因为那台文件服务器存的文件比较多。。
而且多数的马跟毒都出自那些文件里。所以不敢乱来。。要不然我早就FORMAT了。。。
忘了把每台机的日志扫一份了。。

[ 本帖最后由 sansa520 于 2007-4-12 01:07 AM 编辑 ]

arboby · 发表于 2007-4-12 13:31:18

原帖由 pandorak 于 2007-4-11 10:57 PM 发表

那有毒敢毒你啊！
躲都来不及，被你抓去当宠物养多郁闷啊！

^_^哈哈，不要把人笑死要被判刑的。
[UserJS ExtraLinks Img] back.gif

xintong123 · 发表于 2007-4-13 09:30:26

再装一次系统啊，我现在碰到这样的情况，实在是不想去杀了的，哪个叫自己平时没有做好防备的准备啊。

guo43 · 发表于 2007-4-14 00:21:06

用这个办法行不行:
先建立一个文件夹,找到这两个病毒文件,右键剪切并粘贴到刚才建立的文件夹里,重新用杀毒软件查杀.你看是不是全杀掉了?

		自动登录	找回密码
密码			注册

pandorak pandorak 当前离线积分 53999 IP卡狗仔卡	发表于 2007-4-11 22:57:48 \| 显示全部楼层 ---> 升级权限提示: 作者被禁止或删除内容自动屏蔽
pandorak pandorak 当前离线积分 53999 IP卡狗仔卡
	回复使用道具举报显身卡

(恢复了系统,算是解决)中了N深的毒..搞了一下午沒清完....能者進來幫幫看一下..

评分

浏览过的版块