Software 版 (精华区)

发信人: zfhit (森林小魔), 信区: Software
标  题: [合集] 系统中木马了怎么办？
发信站: 哈工大紫丁香 (Mon Aug 23 19:53:54 2004), 站内

────────────────────────────────────────
  Yarrow (西洋蓍草)                于  (Sun Aug 22 20:09:28 2004)  说道:

用瑞星杀了几遍，木马客星删了几变也都不好使，重起了好几遍也不管用

我要崩溃了，谁能告诉我该怎么办？

EXPLORRER.EXE 程序设置为自启动
在内存中发现木马.
木马文件名EXPLORRER.EXE
在内存中发现木马.
木马文件名 EXPLORRER.EXE
木马生成日期：2004-8-21 16:17:20
修改木马文件名为:C:\WINDOWS\SYSTEM32\explorrer.exe_iparmor
请重新启动计算机，才可以彻底清除木马.




────────────────────────────────────────
  Yarrow (西洋蓍草)                于  (Sun Aug 22 20:12:03 2004)  说道:


[20:12:27] 210.87.131.126试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:27] 24.57.33.222试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:28] 219.95.37.237试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:29] 203.187.125.177试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:29] 218.82.80.33试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:30] 210.87.131.126试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:30] 219.197.148.89试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:31] 60.22.198.126试图连接本机的18412端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:32] 221.233.139.86试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:33] 222.157.133.192试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:34] 202.120.117.13试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:35] 203.187.125.177试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:35] 218.82.80.33试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:36] 210.77.223.218试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:36] 210.87.131.126试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:37] 219.93.88.21试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:37] 202.120.117.13试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:37] 221.4.151.194试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:40] 222.157.133.192试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:40] 222.138.227.63试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:40] 221.4.151.194试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:41] 222.138.227.63试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:41] 61.50.230.140试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:42] 210.77.223.218试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:42] 218.106.101.234试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:43] 219.93.88.21试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:44] 222.138.227.63试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:44] 202.120.117.13试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:44] 222.138.227.63试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:45] 61.50.230.140试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:46] 218.106.101.234试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:46] 221.4.151.194试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:46] 211.160.91.23试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:46] 218.18.91.64试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:47] 218.80.17.243试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:49] 222.138.227.63试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:49] 211.160.91.23试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:50] 218.80.17.243试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:50] 222.138.227.63试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:50] 219.147.5.13试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。

[20:12:50] 61.50.230.140试图连接本机的18538端口，
           TCP标志：S，
           该操作被拒绝。


这是中木马的症状吗我该怎样彻底解决这个问题？请高手帮忙！
！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！！

【 在 Yarrow (西洋蓍草) 的大作中提到: 】
: 用瑞星杀了几遍，木马客星删了几变也都不好使，重起了好几遍也不管用
: 我要崩溃了，谁能告诉我该怎么办？
: EXPLORRER.EXE 程序设置为自启动
: ...................



────────────────────────────────────────
  trijif (牛钝)                    于  (Sun Aug 22 20:31:32 2004)  说道:

开始--运行输入 msconfig (xp的)回车

切换到启动项，看看里面有没有EXPLORRER.EXE这一个有的话把钩去了,确定--重启


【 在 Yarrow (西洋蓍草) 的大作中提到: 】
: 用瑞星杀了几遍，木马客星删了几变也都不好使，重起了好几遍也不管用
: 我要崩溃了，谁能告诉我该怎么办？
: EXPLORRER.EXE 程序设置为自启动
: ...................



────────────────────────────────────────
  Yarrow (西洋蓍草)                于  (Sun Aug 22 20:41:16 2004)  说道:

上网的时候cpu被占用100%，输入msconfig没有反映

【 在 trijif (牛钝) 的大作中提到: 】
: 开始--运行输入 msconfig (xp的)回车
: 切换到启动项，看看里面有没有EXPLORRER.EXE这一个有的话把钩去了,确定--重启




────────────────────────────────────────
  Yarrow (西洋蓍草)                于  (Sun Aug 22 20:47:35 2004)  说道:

又试了几遍终于打开了，

有几次一会儿就关闭了，木马客星也出现过类似的状况，看来对explorrer.exe

不利的东西都会被关闭啊
【 在 trijif (牛钝) 的大作中提到: 】
: 开始--运行输入 msconfig (xp的)回车
: 切换到启动项，看看里面有没有EXPLORRER.EXE这一个有的话把钩去了,确定--重启




────────────────────────────────────────
  Yarrow (西洋蓍草)                于  (Sun Aug 22 21:13:11 2004)  说道:

取消了也没用重新启动的时候，它自动又生成一个带勾的真服了
【 在 trijif (牛钝) 的大作中提到: 】
: 开始--运行输入 msconfig (xp的)回车
: 切换到启动项，看看里面有没有EXPLORRER.EXE这一个有的话把钩去了,确定--重启




────────────────────────────────────────
  trijif (牛钝)                    于  (Sun Aug 22 21:20:00 2004)  说道:

重启按F8进入安全模式，然后到c盘系统目录下，把你刚才说的那个木马文件C:\WINDOWS\SYSTEM32\explorrer.exe 删除

试试


【 在 Yarrow (西洋蓍草) 的大作中提到: 】
: 取消了也没用重新启动的时候，它自动又生成一个带勾的真服了




────────────────────────────────────────
  zfhit (森林小魔)                 于  (Sun Aug 22 21:44:09 2004)  说道:

  看看这个

我的电脑中了win32.hack.agobot.ge.274432,在c:windoes/system32/explorrer.exe的病
毒，怎么杀也杀不掉的，而且经常重新启动的 专家回复：

高波病毒。先下载KB823980、KB824146，断开网络，重启到安全模式下使用
http://download.rising.com.cn/zsgj/ravblaster.exe杀毒，最后安装补丁，上线时开
启反病毒实时监控。 MS04-011（KB835732）补丁（Windows 2000 简体中文版）。
http://download.microsoft.com/download/1/0/4/104ab4fe-660d-4d6d-b50a-ea4491dd7
fb2/Windows2000-KB835732-x86-CHS.EXE。 MS04-011（KB835732）补丁　（Windows XP 
简体中文版）。http://download.microsoft.com/download/f/a/4/fa45d805-82aa-4731-
8619-40319436a26d/WindowsXP-KB835732-x86-CHS.EXE。 MS04-012（KB828741）补丁　
（Windows 2000 简体中文版）。http://download.microsoft.com/download/7/4/0/7402
1cf0-1d7e-4858-82de-7a7da454cec6/Windows2000-KB828741-x86-CHS.EXE。 MS04-012（
KB828741）补丁　（Windows XP 简体中文版）。http://download.microsoft.com/downl
oad/5/b/7/5b7417ef-162d-441f-90e8-6d9ca1b6e660/WindowsXP-KB828741-x86-CHS.EXE
。  
 



【 在 Yarrow (西洋蓍草) 的大作中提到: 】
: 用瑞星杀了几遍，木马客星删了几变也都不好使，重起了好几遍也不管用
: 我要崩溃了，谁能告诉我该怎么办？
: EXPLORRER.EXE 程序设置为自启动
: ...................



────────────────────────────────────────
  Yarrow (西洋蓍草)                于  (Sun Aug 22 21:45:54 2004)  说道:

看来得重新装系统了
【 在 zfhit (森林小魔) 的大作中提到: 】
:   看看这个
: 我的电脑中了win32.hack.agobot.ge.274432,在c:windoes/system32/explorrer.exe的病
: 毒，怎么杀也杀不掉的，而且经常重新启动的 专家回复：
: ...................



────────────────────────────────────────
  Yarrow (西洋蓍草)                于  (Sun Aug 22 21:46:39 2004)  说道:

我没进不过安全模式，少开几个窗口那个程序能消停点，我以后小心操作相信问题不大
【 在 trijif (牛钝) 的大作中提到: 】
: 重启按F8进入安全模式，然后到c盘系统目录下，把你刚才说的那个木马文件C:\WINDOWS\SYSTEM32\explorrer.exe 删除
: 试试




────────────────────────────────────────
  zfhit (森林小魔)                 于  (Sun Aug 22 21:48:28 2004)  说道:

   晕 那怎么行呢，安全模式只加载必要的程序，病毒肯定是不会加载的，这下面打好补丁
杀好毒，就噢可了 ，看来你是被折腾得够惨的  

   其实这个用百度啊，google搜索一下就有答案 的 ，遇到棘手的问题不要乱来，搞得心烦就更划不来了 :D
【 在 Yarrow (西洋蓍草) 的大作中提到: 】
: 我没进不过安全模式，少开几个窗口那个程序能消停点，我以后小心操作相信问题不大




────────────────────────────────────────
  trijif (牛钝)                    于  (Sun Aug 22 21:52:50 2004)  说道:

进安全模式很简单的啊,操作也不复杂

这个不能将就


【 在 Yarrow (西洋蓍草) 的大作中提到: 】
: 我没进不过安全模式，少开几个窗口那个程序能消停点，我以后小心操作相信问题不大




────────────────────────────────────────
  Yarrow (西洋蓍草)                于  (Sun Aug 22 21:57:05 2004)  说道:

我们中的病毒貌似一样啊，等你杀光它们，告诉我方法吧哈哈

【 在 zfhit (森林小魔) 的大作中提到: 】
:    晕 那怎么行呢，安全模式只加载必要的程序，病毒肯定是不会加载的，这下面打好补丁
: 杀好毒，就噢可了 ，看来你是被折腾得够惨的  
:    其实这个用百度啊，google搜索一下就有答案 的 ，遇到棘手的问题不要乱来，搞得心烦就更划不来了 :D
: ...................



────────────────────────────────────────
  zfhit (森林小魔)                 于  (Sun Aug 22 22:00:45 2004)  说道:

   晕 我是搜索的解决办法给你看看有无帮助

我没有中毒  

再给你几个

注册表中 删除下面键值

O4 - HKLM\..\Run: [System Configurator32] systemcfg.exe
O4 - HKLM\..\Run: [Windstart] explorrer.exe
O4 - HKLM\..\RunServices: [System Configurator32] systemcfg.exe
O4 - HKLM\..\RunServices: [Windstart] explorrer.exe

关闭可写共享文件夹。

安装
→MS04-011（KB835732）补丁　（Windows 2000 简体中文版）
→MS04-011（KB835732）补丁　（Windows XP 简体中文版）
→MS04-012（KB828741）补丁　（Windows 2000 简体中文版）
→MS04-012（KB828741）补丁　（Windows XP 简体中文版）
 
注意下好补丁， 断开网络再处理

【 在 Yarrow (西洋蓍草) 的大作中提到: 】
: 我们中的病毒貌似一样啊，等你杀光它们，告诉我方法吧哈哈




────────────────────────────────────────
  Yarrow (西洋蓍草)                于  (Sun Aug 22 22:05:25 2004)  说道:

晕了，我只打开注册表和木马可行一样一会儿就自动消失了，那个病毒可真厉害啊

【 在 zfhit (森林小魔) 的大作中提到: 】
:    晕 我是搜索的解决办法给你看看有无帮助
: 我没有中毒  
: 再给你几个
: ...................



────────────────────────────────────────
  zfhit (森林小魔)                 于  (Sun Aug 22 22:06:11 2004)  说道:

    一个WINXP下清理的办法

先查找文件到EXPLORRER.EXE，再运行REGEDIT，查找所有EXPLORRER的键值并且全部删除，之后再通过任务管理器中止病毒运行，完了立即删除程序并清空回收站，重启。
我在重启之后看过任务管理器，没了。
用瑞星也杀不掉。


用瑞星的在线杀毒杀了这个病毒呢
。

已经确认是安哥病毒的一个变种。
你可以找找针对他的专杀工具试试 good luck
【 在 zfhit (森林小魔) 的大作中提到: 】
:    晕 我是搜索的解决办法给你看看有无帮助
: 我没有中毒  
: 再给你几个
: ...................



────────────────────────────────────────
  zfhit (森林小魔)                 于  (Sun Aug 22 22:08:12 2004)  说道:

   要进安全模式作这些，不然你需要先拔网线，杀病毒进程 ，再紧注册表

还有报告你的系统， 
【 在 Yarrow (西洋蓍草) 的大作中提到: 】
: 晕了，我只打开注册表和木马可行一样一会儿就自动消失了，那个病毒可真厉害啊




────────────────────────────────────────
  Yarrow (西洋蓍草)                于  (Mon Aug 23 19:00:00 2004)  说道:

晕了呵呵，不知道怎么弄的，我用搜索把explorrer.exe相关的三个文件找了出来，

删掉了两个 剩下explorrer.exe没删掉，后来又用木马客星杀了几遍后来也没管……

今早起机查任务和运行msconfig--启动都没看见explorrer.exe，再用木马客星扫描，

才确认木马已被彻底删除了



【 在 zfhit (森林小魔) 的大作中提到: 】
:    要进安全模式作这些，不然你需要先拔网线，杀病毒进程 ，再紧注册表
: 还有报告你的系统，