求助 - 求救開機就中毒又殺不掉....Trojan-Downloader.Win32.Agent.bdd

2007-03-22, 12:55 PM

我用卡巴但是最近開機就出現

C:\WINDOWS\system32\zmgev.dll;
C:\WINDOWS\SYSTEM32\DRIVERS\PEUVA.SYS
已被病毒 Trojan-Downloader.Win32.Agent.bdd 感染;
無法刪除，物件已攔截將在系統啟動時刪除

慘的是殺不掉就連進入安全模式也不行

不知重灌有沒有效....救命阿....

plunderer · 2007-03-22, 01:13 PM

兩個辦法:
1.執行 regedit 進入登錄檔, 搜尋 zmgev.dll 及 PEUVA.SYS, 將找到的鍵及值全部刪除(若無法刪除, 試試以安全模式登入再刪), 然後重開機, 直接刪除那兩個檔案

2 用 HiJackThis 掃描
http://www.trendsecure.com/portal/en...ackThis_v2.exe
把 log 貼上來

john860504 · 2007-03-22, 05:06 PM

你有把卡巴斯基更新嗎? 每天都要喔! 這樣病毒就會被刪掉電腦也慢慢好了~ 我家電腦也就是這樣

2007-03-25, 11:02 AM

請問一下啥是把 log 貼上來
是這個嗎

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 上午 10:57:11, on 2007/3/25
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Google\Google Updater\GoogleUpdater.exe
C:\Program Files\Common Files\Filseclab\FilMsg.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\楊奇儒\My Documents\HiJackThis_v2.exe

O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: ALiBaBar - {0A1375E1-56C2-11D6-8E45-8933A0FB5235} - C:\PROGRA~1\ALiBaBar\ALiBaBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user')
O8 - Extra context menu item: &使用迅雷下載 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下載全部鏈接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: 運行迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: 運行迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe
O14 - IERESET.INF: START_PAGE_URL=tw.yahoo.com
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/regist...007/OL2006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{13BE1E3E-5978-42F5-9C39-0E9DF8EF1E64}: NameServer = 210.200.211.193 210.200.211.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{87890998-4964-4B79-91E3-3BCB9231A394}: NameServer = 210.200.211.225,210.200.211.193
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Network IPSEC Connections (8NASCAR) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

--
End of file - 3689 bytes

plunderer · 2007-03-25, 02:00 PM

你之前有清理過? 看起來只有
O23 - Service: Network IPSEC Connections (8NASCAR) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE (file missing)
不正常, 但檔案已被刪除

可能有其他隱藏的程序, 檔案, 服務, 鍵值, 這些在正常模式下都看不見

用 BlackLight 掃描看看, 若發現有隱藏的檔案, 可在步驟2 將其更名, 重開機後再手動刪除更名後的檔案 (*.ren)
https://europe.f-secure.com/exclude/...ght/blbeta.exe

但rootkit 的登錄檔鍵值還是必須在安全模式下手動清理, 此時可參照 BlackLight 掃描後的 log, 看是哪些檔名

但有另一種可能,就是安全模式下也會載入 rookit, 如此即使在安全模式下, 依然找不到其鍵值, 那就必須以另一帳戶登入安全模式來清除

不知道 · 2007-03-25, 06:54 PM

引用:

轉貼自微風論壇-amosme 發表

[防毒防駭]norton 不夠看.卡巴靠邊站..史上最強全方位防護軟體

【軟體名稱】：avast! v4.7
【軟體分類】：病毒防治
【軟體性質】：專業版
【檔案大小】：10.52mb
【放置空間】：官網直接載點如下 :
【繁體下載點】：http://files.avast.com/iavs4pro/setupchtpro.exe
【簡體下載點】：http://files.avast.com/iavs4pro/setupchspro.exe
【英文版下載點】：http://www.avast.com/eng/download-avast-home.html
[面版下載](官方網站) http:/http://www.avast.com/eng/skins.html
【軟體介紹】：avast是一套可以清除
蠕蟲型病毒、木馬程式、間諜程式、廣告軟體等等惡意程式的軟體，
功能強大而且完全免費。它的使用非常簡單，啟動之後只要按下「Start scanning」就行了。
Virus bulletin的 VB100% 獎就拿了15次，另外不僅得到了2005年ICA實驗室認證還得到了微軟的穩定性認證。

看到很多朋友說沒聽過這套軟體.特此說明.它是歐洲的防毒軟體.要知到這套軟體其他資訊.請用google搜尋就有一堆關於它的一些資訊.還有呀.我明明就有提供繁體中文版的載點..一直跟我說英文版不會用是怎樣? =.=" 補充說明.它可以跟NOD32共存不會衝到.卡巴雞雞跟MA的那套不可以跟它共存..不然一定當.(相衝).還有呀.它雖然沒有所謂的防火牆.但它的啟髮式觸動偵測攔截比內建XP的防火牆更猛. [12/22補述]

試試這套吧
小弟試的結果還不錯

<參考>

2007-03-22, 12:55 PM	#1
bi_510 榮譽勳章勳章總數 UID - 在線等級: 文章: n/a 精華:	求助 - 求救開機就中毒又殺不掉....Trojan-Downloader.Win32.Agent.bdd 我用卡巴但是最近開機就出現 C:\WINDOWS\system32\zmgev.dll; C:\WINDOWS\SYSTEM32\DRIVERS\PEUVA.SYS 已被病毒 Trojan-Downloader.Win32.Agent.bdd 感染; 無法刪除，物件已攔截將在系統啟動時刪除慘的是殺不掉就連進入安全模式也不行不知重灌有沒有效....救命阿....
bi_510 榮譽勳章勳章總數 UID - 在線等級: 文章: n/a 精華:
	送花文章: 0, 收花文章: 0 篇, 收花: 0 次

2007-03-22, 01:13 PM	#2 (permalink)
plunderer 長老會員榮譽勳章勳章總數8 UID - 74024 在線等級: 註冊日期: 2003-05-31 文章: 1399 精華: 0 現金: 507220 金幣資產: 608580 金幣	兩個辦法: 1.執行 regedit 進入登錄檔, 搜尋 zmgev.dll 及 PEUVA.SYS, 將找到的鍵及值全部刪除(若無法刪除, 試試以安全模式登入再刪), 然後重開機, 直接刪除那兩個檔案 2 用 HiJackThis 掃描 http://www.trendsecure.com/portal/en...ackThis_v2.exe 把 log 貼上來
	__________________ 刑天舞干戚
	送花文章: 6, 收花文章: 575 篇, 收花: 1747 次

2007-03-22, 05:06 PM	#3 (permalink)
john860504 註冊會員榮譽勳章勳章總數10 UID - 254469 在線等級: 註冊日期: 2006-09-28 文章: 1963 精華: 0 現金: 229 金幣資產: 25619251 金幣	你有把卡巴斯基更新嗎? 每天都要喔! 這樣病毒就會被刪掉電腦也慢慢好了~ 我家電腦也就是這樣

	送花文章: 821, 收花文章: 1183 篇, 收花: 3054 次

2007-03-25, 11:02 AM	#4 (permalink)
bi_510 榮譽勳章勳章總數 UID - 在線等級: 文章: n/a 精華:	請問一下啥是把 log 貼上來是這個嗎 Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 上午 10:57:11, on 2007/3/25 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Google\Google Updater\GoogleUpdater.exe C:\Program Files\Common Files\Filseclab\FilMsg.exe C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe C:\Program Files\Raxco\PerfectDisk\PDSched.exe C:\WINDOWS\explorer.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Documents and Settings\楊奇儒\My Documents\HiJackThis_v2.exe O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: ALiBaBar - {0A1375E1-56C2-11D6-8E45-8933A0FB5235} - C:\PROGRA~1\ALiBaBar\ALiBaBar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user') O8 - Extra context menu item: &使用迅雷下載 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm O8 - Extra context menu item: &使用迅雷下載全部鏈接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm O8 - Extra context menu item: 匯出至 Microsoft Excel(&X) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: 運行迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe O9 - Extra 'Tools' menuitem: 運行迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe O14 - IERESET.INF: START_PAGE_URL=tw.yahoo.com O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/regist...007/OL2006.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{13BE1E3E-5978-42F5-9C39-0E9DF8EF1E64}: NameServer = 210.200.211.193 210.200.211.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{87890998-4964-4B79-91E3-3BCB9231A394}: NameServer = 210.200.211.225,210.200.211.193 O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: Network IPSEC Connections (8NASCAR) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE (file missing) O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe -- End of file - 3689 bytes
bi_510 榮譽勳章勳章總數 UID - 在線等級: 文章: n/a 精華:
	送花文章: 0, 收花文章: 0 篇, 收花: 0 次

2007-03-25, 02:00 PM	#5 (permalink)
plunderer 長老會員榮譽勳章勳章總數8 UID - 74024 在線等級: 註冊日期: 2003-05-31 文章: 1399 精華: 0 現金: 507220 金幣資產: 608580 金幣	你之前有清理過? 看起來只有 O23 - Service: Network IPSEC Connections (8NASCAR) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLL2000.EXE (file missing) 不正常, 但檔案已被刪除可能有其他隱藏的程序, 檔案, 服務, 鍵值, 這些在正常模式下都看不見用 BlackLight 掃描看看, 若發現有隱藏的檔案, 可在步驟2 將其更名, 重開機後再手動刪除更名後的檔案 (*.ren) https://europe.f-secure.com/exclude/...ght/blbeta.exe 但rootkit 的登錄檔鍵值還是必須在安全模式下手動清理, 此時可參照 BlackLight 掃描後的 log, 看是哪些檔名但有另一種可能,就是安全模式下也會載入 rookit, 如此即使在安全模式下, 依然找不到其鍵值, 那就必須以另一帳戶登入安全模式來清除

	送花文章: 6, 收花文章: 575 篇, 收花: 1747 次

Google 提供的廣告