网上冲浪 | 反毒杀毒 | 菜鸟进阶 | 网络安全 | 实用技术 | 网络安全 | 操作系统 |
工具软件 | 电脑医院 | 网上赚钱 | 网页制作 | 网络营销 | 经典教程 | IT趣 谈 |
当前位置:IT快活林LinuxLinux应用

一个莫名其妙的故障,像木马不象病毒

一个莫名其妙的故障,像令人讨厌的电脑木马不像病毒由于这一个故障很久了,感觉上应该不是最近火热的机器狗,由于表面没什么大的
破坏,所以一直没理会.但今天[{$WriteTime}]实在忍无可忍,终于来论坛求助了.症状(Symptoms)如下:1,.EXE文件根本没有办法彻底删除,更准确地说,在资源管理器界面下DEL掉以后,直接或者间接刷新
一次,这一个.EXE文件又出来了.如果再删,则提示此文件正在使用或者是运行,不能
彻底删除.II.如果重新启动操作系统操作系统进入安全模式,可以彻底删除,再回到正常模式下也找不到该EXE文件,
应该是彻底删掉了.III.由于第一点的原因,每次我在删文件夹的时候,如果里面有EXE文件,必定删
不了,显示“目标文件夹不是空的”,被迫只能进安全模式下删.IV.金山毒霸我已经升级到最新版本2008.0III.09,不仅对异常的EXE文件扫描过,
而不能是且用全面杀毒扫描过整个计算机硬盘(Hard),都没有发现异常病毒或者是程序(Procedures)(Procedures).用金山操作操作系统清理
专家查看进程,也绝大部分的都是安全进程,未发现不明进程.对了,顺便说一句,清理专
家似乎也中招了,在连线状态下每次启动操作系统清理专家都会自动查看有没有新的升级
包,但发现新版本下载了100%后,却报告网络繁忙或者是故障不能更新.清理专家版
本是2008.0II.29.3V.我选了个我删不掉的EXE文件作为样本上传,另外,删掉再刷新后出来个.bak文件
也一起传给您们分析.附件UUCallIII.rar(I.74 MB)
2008-3-9 17:19, 下载次数: 19
感染后的一个即时通讯类程序(Procedures)(Procedures),比较小所以选他上传-------
上传一份清理专家的在线诊断报告.-------
==============================================================
  金山清理专家操作操作系统诊断报告该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================诊断时间:  2008-03-09, 17:30
诊断平台:  Windows XP [V.I.2600] Service Pack 2
IE版本:    Internet Explorer VVI.0.2180.2900
电脑物理计算机内存:  767(MB)
当前可以用计算机内存:    159(MB)
计算机硬盘(Hard)总大小:76(GB)
计算机硬盘(Hard)可以用空间:    7(GB)
清理专家版本:    2008,02,25,103
恶意软件(soft)库版本:  2008.0II.29.3
漏洞库版本:2008.0II.1VII.1
==============================================================
  启动操作系统文件夹位置
==============================================================Common Startup:C:\Documents and Settings\All Users\「开始」菜单\程序(Procedures)(Procedures)\启动操作系统
Startup: C:\Documents and Settings\Admin\「开始」菜单\程序(Procedures)(Procedures)\启动操作系统
Common Startup:%ALLUSERSPROFILE%\「开始」菜单\程序(Procedures)(Procedures)\启动操作系统==============================================================
  Host File
==============================================================12VII.0.0.1 localhost==============================================================
  操作操作系统服务
==============================================================该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services  [ccosm] [已启用]   <E:\soft\暴风影音\stormliv.exe /asservice>  [HidServ] [已禁用] <%SystemRoot%\System32\hidserv.dll>
==============================================================
  驱动程序(Procedures)(Procedures)
==============================================================该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services  [AliIde] [已启用]  <System32\DRIVERS\aliide.sys>  [dpti2o] [已启用]  <System32\DRIVERS\dpti2o.sys>  [npkcrypt] [已启用]<\??\C:\WINDOWS\system32\npkcrypt.sys>  [npkycryp] [已启用]<\??\C:\WINDOWS\system32\npkycryp.sys>
==============================================================
  IE扩展按钮
==============================================================该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions  [金山卓越]
  <{8DE0FCD4-5EB5-11D3-AD25-00002100131B}>    <url:http://www.joyo.com>  [金山毒霸网站]
  <{e1fc9760-7b95-49cd-80b9-8c9e41017b93}>    <url:http://www.duba.net>
==============================================================
  其他安全区域
==============================================================该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved  [显示摇曳 CPL 扩展]   <deskpan.dll>-------
2楼好快,IT快活林网站长?-------
建议将绿色标记的项目上传到病毒样本区确认,待确认结果出来后自会由毒霸来处理==============================================================
  启动操作系统文件夹位置
==============================================================Common Startup:C:\Documents and Settings\All Users\「开始」菜单\程序(Procedures)(Procedures)\启动操作系统
Startup: C:\Documents and Settings\Admin\「开始」菜单\程序(Procedures)(Procedures)\启动操作系统
Common Startup:%ALLUSERSPROFILE%\「开始」菜单\程序(Procedures)(Procedures)\启动操作系统==============================================================
  Host File
==============================================================12VII.0.0.1 localhost==============================================================
  操作操作系统服务
==============================================================该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services  [ccosm] [已启用]   <E:\soft\暴风影音\stormliv.exe /asservice>  [HidServ] [已禁用] <%SystemRoot%\System32\hidserv.dll>
==============================================================
  驱动程序(Procedures)(Procedures)
==============================================================该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services [AliIde] [已启用]  <System32\DRIVERS\aliide.sys>  [dpti2o] [已启用]  <System32\DRIVERS\dpti2o.sys>  [npkcrypt] [已启用]<\??\C:\WINDOWS\system32\npkcrypt.sys>  [npkycryp] [已启用]<\??\C:\WINDOWS\system32\npkycryp.sys>
==============================================================
  IE扩展按钮
==============================================================该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions  [金山卓越]
  <{8DE0FCD4-5EB5-11D3-AD25-00002100131B}>    <url:http://www.joyo.com>  [金山毒霸网站]
  <{e1fc9760-7b95-49cd-80b9-8c9e41017b93}>    <url:http://www.duba.net>
==============================================================
  其他安全区域
==============================================================该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved  [显示摇曳 CPL 扩展]   <deskpan.dll>-------
另外我的机器以前中过维金病毒操作操作系统重装过,那还是个新变种也是我来论坛发帖求助后毒霸的病毒库才又更新过.令人讨厌的电脑木马什么的以前也中过,不知道是不是因为后遗症什么的.-------
哦,知道了.-------
出问题了,这四个文件三个搜索不到,一个搜索到但不是在C盘.附图如下:附件2008030918051498IV.jpg(48.7 KB)
2008-3-9 18:13
搜索图,隐藏(Hide)和操作操作系统选项选取过了
20080309180443609.jpg(4IV.08 KB)
2008-3-9 18:13
这一个唯一被找到的文件不在C盘在我的QQ目录下
20080309180355578.jpg(10I.65 KB)
2008-3-9 18:13
C盘路径下没有这一个NP打头的文件
-------
我把我的QQlive目录里所有NP打头的文件都压缩了传过去了.谢您的提醒,在这里只附图不传文件了.附件2008030918210631II.jpg(9VI.77 KB)
2008-3-9 18:23
所有的NP开头的文件
-------
注意显示隐藏(Hide)文件,QQlive目录下的不用打包上传.-------
设置过的.附件2008030918401765VI.jpg(9IV.89 KB)
2008-3-9 18:41
-------
关键是三个文件搜不到很奇怪.难不成启动操作系统完自动销毁了?-------
有了些新的进展,基本可以确定肯定是一个危险的令人讨厌的电脑木马.过程如下,附图.
1,按照刚才选出的那四个可疑文件,我去注册表(Regedit)查,结果分别在下面的注册表(Regedit)项里.HKEY_USERS\S-1-5-21-57989841-1897051121-682003330-1003
\Software\Microsoft\Search Assistant\ACMru\5603HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AliIde
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\aliideHKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\AliIde
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Eventlog\System\aliide
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\AliIde
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Eventlog\System\aliide
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\dpti2o
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg
32\OpenSaveMRU\*HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\npkcrypt附件2008030922470656II.jpg(7II.27 KB)
2008-3-9 23:58
背后的文本文件显示的是注册表(Regedit)项路径
20080309224904218.jpg(7I.04 KB)
2008-3-9 23:58
背后的文本文件显示的是注册表(Regedit)项路径
2008030922503848IV.jpg(7III.25 KB)
2008-3-9 23:58
背后的文本文件显示的是注册表(Regedit)项路径
2008030922514501V.jpg(68 KB)
2008-3-9 23:58
背后的文本文件显示的是注册表(Regedit)项路径
2008030922535817I.jpg(6VII.38 KB)
2008-3-9 23:58
背后的文本文件显示的是注册表(Regedit)项路径
2008030922580562V.jpg(68.05 KB)
2008-3-9 23:58
背后的文本文件显示的是注册表(Regedit)项路径
-------
当我把注册表(Regedit)关于这四个文件的信息全彻底删除后,重新启动操作系统操作系统再运行清理专家,导出的诊断报告里就没有这四个启动操作系统项目了.不过当我运行了一个网络游戏(Game)(正规的网游,不是私
服)后,计算机硬盘(Hard)灯闪个不停读盘比以往厉害,按照从前的经验我知道这一个网络游戏(Game)的EXE
文件肯定是被染毒了的带毒EXE软件(soft).然后我退出这一个游戏(Game),再运行清理专家看诊断报
告,果然多出了个启动操作系统程序(Procedures)(Procedures).
==============================================================
  金山清理专家操作操作系统诊断报告
该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================
诊断时间:  2008-03-09, 23:12
诊断平台:  Windows XP [V.I.2600] Service Pack 2
IE版本:    Internet Explorer VVI.0.2180.2900
电脑物理计算机内存:  767(MB)
当前可以用计算机内存:    253(MB)
计算机硬盘(Hard)总大小:76(GB)
计算机硬盘(Hard)可以用空间:    10(GB)
清理专家版本:    2008,02,25,103
恶意软件(soft)库版本:  2008.0II.29.3
漏洞库版本:2008.0II.1VII.1
==============================================================
  启动操作系统文件夹位置
==============================================================
Common Startup:C:\Documents and Settings\All Users\「开始」菜单\程序(Procedures)(Procedures)\
启动操作系统
Startup: C:\Documents and Settings\Admin\「开始」菜单\程序(Procedures)(Procedures)\启动操作系统
Common Startup:%ALLUSERSPROFILE%\「开始」菜单\程序(Procedures)(Procedures)\启动操作系统
==============================================================
  Host File
==============================================================
12VII.0.0.1 localhost
==============================================================
  操作操作系统服务
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
  [ccosm] [已启用]   <E:\soft\暴风影音\stormliv.exe
/asservice>
  [HidServ] [已禁用] <%SystemRoot%\System32\hidserv.dll>==============================================================
  驱动程序(Procedures)(Procedures)
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
  [EagleNT] [已启用] <\??\C:\WINDOWS\system32
\drivers\EagleNT.sys>
  [mchInjDrv] [已禁用] <\??\C:\DOCUME~1\Admin\LOCALS~1
\Temp\mc2VI.tmp>
我于是用搜索,终于找到这一个EagleNT.sys,就在C盘的那个路径下,然而不能是很遗憾的是
,这一个文件根本没有办法复制,更根本没有办法压缩成.RAR.我试图用记事本打开,但仍然是拒绝访问.就是说,我不知道还能用什么办法能上传给您们分析.这一个EagleNT.sys最明显的是没有版本信息,别的SYS文件从右键属性那里都能看到版本信息.附件2008030923523540VI.jpg(8VI.44 KB)
2008-3-10 00:01
2008030923525006II.jpg(8V.97 KB)
2008-3-10 00:01
2008030923531259III.jpg(80.56 KB)
2008-3-10 00:01
20080309235402250.jpg(5VII.01 KB)
2008-3-10 00:01
2008030923542268VII.jpg(7VI.03 KB)
2008-3-10 00:01
-------
我用毒霸和附带的令人讨厌的电脑木马专杀都查过他,没有报告.附件20080310000628859.jpg(8II.48 KB)
2008-3-10 00:06
-------
我非常非常的惊讶,因为我重新启动操作系统操作系统后似乎一切又变了.这一个文件居然有了描述和可以压缩了.附件2008031000150815VI.jpg(78.77 KB)
2008-3-10 00:17
EagleNt.rar(1II.24 KB)
2008-3-10 00:17, 下载次数: 8EagleNtI.rar(1II.24 KB)
2008-3-10 00:17, 下载次数: 9
应该是一样的,我多压缩了一份-------
==============================================================
  金山清理专家操作操作系统诊断报告该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================诊断时间:  2008-03-10, 00:18
诊断平台:  Windows XP [V.I.2600] Service Pack 2
IE版本:    Internet Explorer VVI.0.2180.2900
电脑物理计算机内存:  767(MB)
当前可以用计算机内存:    214(MB)
计算机硬盘(Hard)总大小:76(GB)
计算机硬盘(Hard)可以用空间:    10(GB)
清理专家版本:    2008,02,25,103
恶意软件(soft)库版本:  2008.0II.29.3
漏洞库版本:2008.0II.1VII.1
==============================================================
  启动操作系统文件夹位置
==============================================================Common Startup:C:\Documents and Settings\All Users\「开始」菜单\程序(Procedures)(Procedures)\启动操作系统
Startup: C:\Documents and Settings\Admin\「开始」菜单\程序(Procedures)(Procedures)\启动操作系统
Common Startup:%ALLUSERSPROFILE%\「开始」菜单\程序(Procedures)(Procedures)\启动操作系统==============================================================
  Host File
==============================================================12VII.0.0.1 localhost==============================================================
  操作操作系统服务
==============================================================该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services  [ccosm] [已启用]   <E:\soft\暴风影音\stormliv.exe /asservice>  [HidServ] [已禁用] <%SystemRoot%\System32\hidserv.dll>-------
迷惑不解.可能再过几天,这一个东西又会换别的名字出来.-------
令人讨厌的电脑木马也是病毒!
[]作者:本站整理  来源:不祥