返回列表 发帖
Hahahahahacn

Rank: 4

UID
54924 
帖子
32 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2007-4-11 
1# 跳转到 » 倒序看帖
打印
tT
发表于 2007-5-17 10:11 | 只看该作者

2.0报病毒!! lgwubrw.exe,wntbhaa.exe进程病毒

lgwubrw, wntbhaa, exe, 进程
今天上网的时候,突然Macfee报TW2.0中有个脚本问我是否执行,当然是点否,然后就是一堆的木马报出来了。
360安全卫士自动关闭,再也无法打开
查看进程,有两个
C:\WINDOWS\system32\lgwubrw.exe
C:\WINDOWS\system32\wntbhaa.exe

macfee检查出来了,但无法清除,无法隔离,无法删掉
两个进程自动在自动启动里面添加了
xebldqu
xdppvex
两个启动项,都是指向上面两个进程的

求救,现在换用了TW1.0的版本用了
请高手教我怎么清除两个木马??

附上下面的360安全卫士的诊断工具生成的系统报告:


各位高手:
非常感谢您留心我这份系统诊断报告,小菜鸟十万火急等待您的帮助!
该诊断报告由360安全卫士提供 http://www.360safe.com
诊断时间: 2007-05-17  09:33:00
诊断平台: Microsoft Windows XP  Service Pack 2
IE版本: Internet Explorer V6.0.2900.2180 Build:62900.2180
计算机物理内存:766MB - 当前可用内存:379MB
100 - 未知 - Process: guard.exe [AVG Anti-Spyware guard] -
100 - 未知 - Process: GooglePinyinDaemon.exe [Google Pinyin Network Daemon] - D:\Program Files\Google\Google Pinyin\GooglePinyinDaemon.exe
100 - 未知 - Process: MpfAgent.exe [McAfee Personal Firewall Agent Interface] - C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe -Embedding
100 - 未知 - Process: avgas.exe [AVG Anti-Spyware] - D:\Program Files\AVGAntiSpyware\avgas.exe
100 - 未知 - Process: lgwubrw.exe [] - C:\WINDOWS\system32\lgwubrw.exe
100 - 未知 - Process: wntbhaa.exe [] - C:\WINDOWS\system32\wntbhaa.exe
100 - 未知 - Process: GoogleToolbarNotifier.exe [GoogleToolbarNotifier] - C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
100 - 未知 - Process: 修复工具.exe [] - D:\Program Files\360safe\修复工具.exe
R0 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://www.google.com
R0 - 未知 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=http://www.google.com/ie
R0 - 未知 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.google.com/ie
R1 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www.google.com/ie
R1 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant=http://www.google.com/ie
R1 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Use Search Asst=no
O2 - 未知 - BHO: (ThunderAtOnce Class) - [迅雷浏览器高级特性支持模块] - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - D:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - 未知 - BHO: (Thunder Browser Helper) - [XunLeiBHO] - {06849E9E-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll
O2 - 未知 - BHO: (浏览器辅助对象(BHO)) - [无效的CLSID:{0D42E1BD-09DD-4873-A826-9C7E793EB7B6}] - {0D42E1BD-09DD-4873-A826-9C7E793EB7B6} -
O2 - 未知 - BHO: (浏览器辅助对象(BHO)) - [无效的CLSID:{7E853D72-626A-48EC-A868-BA8D5E23E045}] - {7E853D72-626A-48EC-A868-BA8D5E23E045} -
O2 - 未知 - BHO: (NavigatMon Class) - [360安全卫士实时保护模块] - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - D:\Program Files\360safe\safemon\safemon.dll
O3 - 未知 - Toolbar: (第三方IE工具栏) - [无效的CLSID:{1E796980-9CC5-11D1-A83F-00C04FC99D61}] - {1E796980-9CC5-11D1-A83F-00C04FC99D61} -
O4 - 未知 - HKLM\..\Run: [Google IME Autoupdater] [Google Pinyin Network Daemon] d:\Program Files\Google\Google Pinyin\GooglePinyinDaemon.exe
O4 - 未知 - HKLM\..\Run: [MPFExe] [McAfee Personal Firewall Tray Monitor] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - 未知 - HKLM\..\Run: [!AVG Anti-Spyware] [AVG Anti-Spyware] "D:\Program Files\AVGAntiSpyware\avgas.exe" /minimized
O4 - 未知 - HKLM\..\Run: [xebldqu] [] C:\WINDOWS\system32\lgwubrw.exe
O4 - 未知 - HKLM\..\Run: [xdppvex] [] C:\WINDOWS\system32\wntbhaa.exe
O4 - 未知 - HKCU\..\Run: [ppshell] []
O5 - 未知 - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced: Start_ShowControlPanel=0
O8 - 未知 - Extra context menu item: Office Diary: 保存当前网页 - C:\DOCUME~1\LiHao\LOCALS~1\Temp\ODHtml.htm
O8 - 未知 - Extra context menu item: Office Diary: 保存当前链接 - C:\DOCUME~1\LiHao\LOCALS~1\Temp\ODHtmlLink.htm
O8 - 未知 - Extra context menu item: 使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\Program\geturl.htm
O8 - 未知 - Extra context menu item: 使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\Program\getallurl.htm
O8 - 未知 - Extra context menu item: 添加到我的和讯网摘 - [url=http://bookmark.hexun.com/inc/PostPage.aspxhttp://bookmark.hexun.com/inc/PostPage.aspx[/color[/url]]
O9 - 未知 - Extra button: 信息检索(HKLM) - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 未知 - Extra button: 更新 ThinkPad 软件(HKLM) - C:\Program Files\Lenovo\PkgMgr\\PkgMgr.exe
O16 - 未知 - DPF: 无效的CLSID:{9C3C2C08-C494-4F52-AE94-85156A447D43} ({9C3C2C08-C494-4F52-AE94-85156A447D43}) - [url=http://photos.i.cn.yahoo.com/yphotoseasy.cabhttp://photos.i.cn.yahoo.com/yphotoseasy.cab[/color[/url]]
O16 - 未知 - DPF: {FCD61199-E187-4ADD-88E5-9AF238486D11} (CPPMediaCtrl Object) - [url=http://movie.ksjs.cn/forceplayer.cabhttp://movie.ksjs.cn/forceplayer.cab[/color[/url]]
O18 - 未知 - Protocol: 电子书编译工具Web Compiler相关 - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - C:\WINDOWS\wc98pp.dll
O18 - 未知 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - D:\PROGRA~1\KuGoo3\InExtend\KUGOO3~1.OCX
O18 - 未知 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - 未知 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - 未知 - AppInit DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - 未知 - Service: AVG Anti-Spyware Guard [AVG Anti-Spyware Guard] - D:\Program Files\AVGAntiSpyware\guard.exe - (running)
O23 - 未知 - Service: GoogleDesktopManager [GoogleDesktopManager] - "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" - (not running)
O23 - 未知 - Service: gusvc [Google Updater Service] - "C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe" - (not running)
O23 - 未知 - Service: McShield [McAfee.com McShield] - c:\PROGRA~1\mcafee.com\vso\mcshield.exe - (running)
O23 - 未知 - Service: mcupdmgr.exe [McAfee SecurityCenter Update Manager] - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe - (not running)
O23 - 未知 - Service: MpfService [McAfee Personal Firewall Service] - C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe - (running)
O23 - 未知 - Service: ServiceLayer [ServiceLayer] - "C:\Program Files\PC Connectivity Solution\ServiceLayer.exe" - (not running)
O23 - 未知 - Service: TpKmpSVC [IBM KCU Service] - C:\WINDOWS\system32\TpKmpSVC.exe - (running)
O23 - 未知 - Service: usnjsvc [Messenger 上安装的启用共享情况的服务] - "C:\Program Files\MSN Messenger\usnsvc.exe" - (not running)
=======================================


太多了,超过字数限制,完整的报告在附件的文本文件中。


[ 本帖最后由 Hahahahahacn 于 2007-5-18 09:05 编辑 ]
附件: 您需要登录才可以下载或查看附件。没有帐号?加入 我们
收藏 分享

viewer

Rank: 14Rank: 14Rank: 14Rank: 14

UID
30681 
帖子
7627 
精华
贡献
15  
推广
0  
有效BUG
0  
注册时间
2006-11-27 
2#
发表于 2007-5-17 10:18 | 只看该作者
帮你搜索了一下,这是深度论坛的一篇帖子,希望能帮助你,或者再等对此了解的高手答复楼主
http://bbs.deepin.org/read.php?tid=183512
世界之窗

zzZzzzZzzzzZ在沉睡中沉思

TOP

Hahahahahacn

Rank: 4

UID
54924 
帖子
32 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2007-4-11 
3#
发表于 2007-5-17 10:49 | 只看该作者
谢谢了,虽然还没有杀掉,也许是新的病毒吧,等杀毒软件更新了再说吧。
另外,发现个问题啊,同样的搜索上面的两个exe文件
百度和雅虎都可以搜索到相关的帖子,百度一篇,雅虎两篇,而google则一篇也没有搜索到
是什么原因啊??

TOP

duckZCX

Rank: 20Rank: 20Rank: 20Rank: 20Rank: 20

UID
22157 
帖子
10849 
精华
贡献
31  
推广
1  
有效BUG
0  
注册时间
2006-10-5 
4#
发表于 2007-5-17 10:56 | 只看该作者
baidu yahoo  跟google不完全的都是采用的相同的索引技术,而google在国内也受到了某些限制

楼主的心情,我们是理解的,但此贴得转移,如有异议,可以PM我
这里是永远的家 :)

TOP

rebirth

Rank: 10Rank: 10Rank: 10

UID
38555 
帖子
1366 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2007-1-9 
5#
发表于 2007-5-17 11:30 | 只看该作者
准备工具:procexp.exe,autoruns.exe,360safe,unlocker,白猫系统王

1.先运行procexp.exe(如果不能运行,请随意改文件名),找到那两个进程,右击选择“暂停”(Suspend),不要关闭procexp.exe程序。

2.打开winrar,浏览到每一个盘符根目录下,发现autorun.inf就删除;再删除C:\WINDOWS\Prefetch下所有文件

3.打开autoruns.exe(如果不能运行,请随意改文件名),仔细一个个看完,把恶意自动运行的项删除。

4.打开360Safe.exe(如果不能运行,请随意改文件名),清理一遍。

5.安装unlocker

6.安装并运行白猫系统王(请使用官方版),选择木马查杀-快速查杀,根据结果列表,一个个手动删除(因为软件没有注册,只能手动),如果dll文件不能删除的,右击选择unlocker,解锁,再删除(这两个进程lgwubrw.exe和wntbhaa.exe不去理会它)。

7.直接关机,长按关机键4秒(记住是直接非法关机,因为我们用procexp困住了那两个进程,除非直接关机,否则2-6的操作白费)

8.应该搞定了,找到那两个文件删除他们:lgwubrw.exe和wntbhaa.exe。

9.不放心再来一遍。清理刚刚安装的软件

[ 本帖最后由 rebirth 于 2007-5-17 11:40 编辑 ]
明月好 邀同宴 相逢几分癫

TOP

Hahahahahacn

Rank: 4

UID
54924 
帖子
32 
精华
贡献
0  
推广
0  
有效BUG
0  
注册时间
2007-4-11 
6#
发表于 2007-5-18 08:58 | 只看该作者
感谢上面的热心朋友,我的问题解决了,我解决的方法也是从网上找到的,如下:
1、打开regedit,搜索lgwubrw.exe和wntbhaa.exe,凡是含有的一律删除。
     (其中有个文件夹,下面的每个子文件夹都含有上面的两个进程,或是其中一个,把这个文件夹整个的删除掉。这个文件夹下面都是常用的一些杀毒软件或者是象360安全卫士这样的软件,这个文件夹的作用就是无法启动这些软件。)
2、开杀毒软件杀毒,我用的是Macfee个人版,查出来了一堆,其中除了lgwubrw.exe和wntbhaa.exe着两个外,都可以删除掉,上面两个删不掉没关系,进行下一步。
3、将下面的一段粘贴到记事本中,保存为reg文件,导入注册表。重启系统后就发现两个进程没有自动运行了。

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Control Panel\Desktop]
"AutoEndTasks"="1"
"HungAppTimeout"="200"
"WaitToKillAppTimeout"="200"
"WaitTOKillService"="200"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control]
"WaitToKillServiceTimeout"="200"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AlwaysUnloadDLL]
@="0"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoSharewks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows]
"NoPopUpsOnBoot"=dword:00000001
[HKEY_CLASSES_ROOT\lnkfile]
@="快捷方式"
"EditFlags"=dword:00000001
"NeverShowExt"=""
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{2227A280-3AEA-1069-A2DE-

08002B30309D}]
@="Printers"
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer]
"Link"=hex:00,00,00,00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\PrefetchParameters]
"EnablePrefetcher"=dword:00000003
[HKEY_USERS\.DEFAULT\Control Panel\Desktop]
"FontSmoothing"="2"
"FontSmoothingType"=dword:00000002
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"MaxConnectionsPer1_0Server"=dword:00000008
"MaxConnectionsPerServer"=dword:00000008
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control]
"WaitToKillServiceTimeout"="1000"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wntbhaa.exe]
"Debugger"="c:\\病毒类.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\lgwubrw.exe]
"Debugger"="c:\\病毒类.exe"

4、这时候再进行查毒,我这边查了半天没找到那两个进程,不知道怎么回事,反正是进程中没有了。
5、这是还有一个问题,系统文件夹选项“显示所有文件夹和文件”失效了,选中后确定,再打开发现,勾,仍然是在不显示隐藏文件的选项上面。google搜索了下,找到下面的一段代码。
同样的,粘贴到记事本,保存为reg,导入注册表,OK!!问题解决。

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30501"
"Type"="radio"
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51104"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"Type"="checkbox"
"Text"="@shell32.dll,-30508"
"WarningIfNotDefault"="@shell32.dll,-28964"
"HKeyRoot"=dword:80000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000
"HelpID"="shell.hlp#51103"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""


====================================================
上面是我的解决办法,目前还没哟发现问题,请有问题的朋友实验一下看看是不是通用。

TOP

返回列表