北京东八里庄危改项目:病毒mywow.dll和SRENG查出userinit.exe值被改问题

来源:百度文库 编辑:查人人中国名人网 时间:2024/04/28 19:03:14
mywow.dll木马,在system32目录下找到``用卡巴删除后开机仍会在启动项中杀到```安全模式下也是这样``

还有就是SRE日志
006-08-15,18:44:11

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理权限用户 - 完整功能

以下内容被选中:
所有的启动项目(包括注册表、启动文件夹、服务等)
浏览器加载项
正在运行的进程(包括进程模块信息)
文件关联

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><; C:\WINDOWS\system32\ctfmon.exe> [Microsoft Corporation]
<MSMSGS><; "C:\Program Files\Messenger\msmsgs.exe" /background> [Microsoft Corporation]
<MsnMsgr><; "C:\Program Files\MSN Messenger\msnmsgr.exe" /background> [Microsoft Corporation]
<SMSystemAnalyzer><; > []
<Super Rabbit Desktop Search><; > []
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><; > []
<run><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<StormCodec_Helper><; "d:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti> []
<KernelFaultCheck><%systemroot%\system32\dumprep 0 -k> []
<BigDogPath><C:\WINDOWS\VM_STI.EXE USB PC Camera 301P> []
<MSConfig><C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto> [Microsoft Corporation]
<KAVPersonal50><"d:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize> [Kaspersky Lab]
<ATIPTA><; C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe> [ATI Technologies, Inc.]
<DAEMON Tools><; "d:\Program Files\DAEMON Tools\daemon.exe" -lang 1033> [DT Soft Ltd.]
<KuGoo3><; ; D:\Program Files\KuGoo3\KuGoo.exe> []
<SoundMan><; SOUNDMAN.EXE> [Realtek Semiconductor Corp.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,,C:\WINDOWS\system32\explore.exe,C:\WINDOWS\system32\Launcher.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
<DLMon><> []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent]
<WinlogonNotify: AtiExtEvent><Ati2evxx.dll> []
==================================
启动文件夹
服务
[Adobe LM Service / Adobe LM Service]
<"C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"><Adobe Systems>
[Ati HotKey Poller / Ati HotKey Poller]
<C:\WINDOWS\system32\Ati2evxx.exe><N/A>
[ATI Smart / ATI Smart]
<C:\WINDOWS\system32\ati2sgag.exe><>
[kavsvc / kavsvc]
<"d:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe"><Kaspersky Lab>

c:\WINDOWS\SYSTEM32\MYWOW.DLL 是病毒
建议你安全模式下删除

兄弟 同命相连拉~~给你一个病毒报告~~
统计:
扫描开启时间: 2006-8-13 17:57:15
扫描结束时间: 2006-8-13 18:00:29

报告:
C:\WINDOWS\system32\systema.dll 感染了病毒 Trojan-PSW.Win32.Gamec.ar 2006-8-12 10:57:00
C:\WINDOWS\system32\systema.dll 感染了病毒 Trojan-PSW.Win32.Gamec.ar 2006-8-12 10:57:00
C:\WINDOWS\system32\systema.dll 已删除 2006-8-12 10:57:03
C:\WINDOWS\system32\systemc.exe 感染了病毒 Trojan-Downloader.Win32.Small.czl 2006-8-12 10:57:05
C:\WINDOWS\system32\systemc.exe 感染了病毒 Trojan-Downloader.Win32.Small.czl 2006-8-12 10:57:05
C:\WINDOWS\system32\mywow.dll 感染了病毒 Trojan-PSW.Win32.WOW.fc 2006-8-12 10:57:06
C:\WINDOWS\system32\systemc.exe 已删除 2006-8-12 10:57:06
C:\WINDOWS\system32\mywow.dll 感染了病毒 Trojan-PSW.Win32.WOW.fc 2006-8-12 10:57:06
C:\WINDOWS\system32\systeme.exe 感染了病毒 Trojan-PSW.Win32.Lmir.awg 2006-8-12 10:57:06
C:\WINDOWS\system32\mywow.dll 已删除 2006-8-12 10:57:07
C:\WINDOWS\system32\systeme.exe 感染了病毒 Trojan-PSW.Win32.Lmir.awg 2006-8-12 10:57:07
C:\WINDOWS\system32\systeme.exe 已删除 2006-8-12 10:57:08
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S1YB4PY3\url____[1].exe 感染了病毒 Trojan-Downloader.Win32.Small.czl 2006-8-12 10:57:23
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S1YB4PY3\url____[1].exe 感染了病毒 Trojan-Downloader.Win32.Small.czl 2006-8-12 10:57:23
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\W2F95JZF\Temps[1].exe 感染了病毒 Trojan-PSW.Win32.Lmir.awg 2006-8-12 10:57:23
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\S1YB4PY3\url____[1].exe 已删除 2006-8-12 10:57:24
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\W2F95JZF\Temps[1].exe 感染了病毒 Trojan-PSW.Win32.Lmir.awg 2006-8-12 10:57:24
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\W2F95JZF\Temps[1].exe 已删除 2006-8-12 10:57:25

报告:
C:\WINDOWS\system32\__delete_on_reboot__m_y_w_o_w_._d_l_l_ 感染了病毒 Trojan-PSW.Win32.WOW.fc 2006-8-13 17:58:35
C:\WINDOWS\system32\__delete_on_reboot__m_y_w_o_w_._d_l_l_ 已删除 2006-8-13 17:58:40

8月13日公布的最新未知木马

木马来源:未知
如何判断:
C:\WINDOWS\system32\explore.exe
C:\WINDOWS\system32\Launcher.exe
C:\WINDOWS\system32\mywow.dll
C:\WINDOWS\system32\systema.dll
C:\WINDOWS\system32\systemb.exe
C:\WINDOWS\system32\myztr.dll
C:\WINDOWS\system32\systemd.exe
电脑中发现以上文件者即中毒

大部分杀毒软件目前无法查杀,可找有经验的人手工查杀,注意修改密码.

目前还没有软件可以杀掉...但手工可以删除..

步骤:
Ctrl+Alt+Del,中止msime.exe

运行regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除{C54B4AFB-7A2A-6C3E-BA4D-C20F0294B728}项

HKEY_CLASSES_ROOT\CLSID\{C54B4AFB-7A2A-6C3E-BA4D-C20F0294B728}
删除

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit项目
默认应该是C:\WINDOWS\system32\userinit.exe,
删除后面的C:\WINDOWS\system32\explore.exe,C:\WINDOWS\system32\Launcher.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
删除{C54B4AFB-7A2A-6C3E-BA4D-C20F0294B728}

重新启动计算机,删除
C:\WINDOWS\system32\explore.exe
C:\WINDOWS\system32\Launcher.exe
C:\WINDOWS\system32\mywow.dll
C:\WINDOWS\system32\systema.dll
C:\WINDOWS\system32\systemb.exe
C:\WINDOWS\system32\myztr.dll
C:\WINDOWS\system32\systemd.exe

木马查杀完毕。

病毒mywow.dll和SRENG查出userinit.exe值被改问题 systema.dll和mywow.dll是什么?? 怎样杀掉木马mywow.dll????????????? mywow.dll 是什么文件啊~为什么删不掉 mywow.dll是什么文件?怎样完全删除? C:\WINDOWS\system32\mywow.dll 是什么东西? msdc32.dll查出是病毒,杀不了,怎么办? ntstub.dll查出是病毒,杀不了,怎么办? 用杀毒软件查出iexpress.dll是病毒,怎么杀毒? 我安装了卡巴斯基,查处一个MYWOW病毒,怎么办?