none
可能中毒求助 RRS feed

  • 问题

  • C:\Windows\System32目录下每分钟自动生成一个*.tmp的文件  文件大小为146kb

    用微软的microsoft security essentials 扫面没发现问题

    用360扫面删除病毒后1分钟后有自动开始创建




    2012年4月9日 5:33

答案

  • 在 system32 中查到的所有 .TMP 文件都是病毒生成的马甲,它们都不是病毒的源头,因此清除后还会继续生成。
     
    建议咨询杀毒软件服务商,查询一下 Rootkit.Win32.Agent 的手动清除方法。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "失望天使"
     
    文件名称 : 9999.tmp(本站不提供任何文件的下载服务)
    文件大小 : 149256 byte
     
     
    2012年4月10日 21:17

全部回复

  • 建議你此類文件上傳到在線病毒掃描網站, 通過多個防病毒軟件進行掃描. 如果存在多個防病毒軟件報告其是病毒或者木馬, 你可以通過掃描結果為依據進行搜尋, 以期獲得清除掉該病毒的工具或者手動清除方法.

    VirSCAN.org
    http://virscan.org/

    VirusTotal
    http://www.virustotal.com/

    如果其不是病毒或木馬, 建議通過 Process Monitor 監控具體是哪個進程產生. 找到產生該文件的進程後, 再依據該進程進行搜尋, 以期找到解決方法.

    Process Monitor
    http://technet.microsoft.com/en-us/sysinternals/bb896645


    Folding@Home



    • 已编辑 repl 2012年4月9日 11:38
    2012年4月9日 11:34
  • 你具体查杀到了什么病毒?此现象可以说明病毒没有清除彻底,或者只杀掉了马甲,没有杀掉源头。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "失望天使"
     
    C:\Windows\System32目录下每分钟自动生成一个*.tmp的文件 文件大小为146kb
    用微软的microsoft security essentials 扫面没发现问题
     
     
    2012年4月9日 22:40
  • http://r.virscan.org/8b3ce1fca5724bc7ac337b812aae4d9e

    文件名称 :   9999.tmp(本站不提供任何文件的下载服务)
    文件大小 :   149256 byte
    文件类型 :   PE32 executable for MS Windows (native) Intel 80386 32-bit
    MD5 :   0195ed213c7ae1038c90754eb8d0f32f
    SHA1 :   4d3062dca9471429d7f71dc534a9090766320fc8
    扫描结果
    扫描结果 :   17%的杀软(6/36)报告发现病毒
    时间 :   2012/04/09 22:04:13 (CST)
    软件名称 ↓ 引擎版本 病毒库版本 病毒库时间 扫描结果 时间
    a-squared 5.1.0.4 20120407200517 2012-04-07 12.296
    AntiVir 8.2.10.24 7.11.25.222 2012-03-22
    -
    0.200
    Arcavir 2011 201204070104 2012-04-07 4.460
    Authentium 5.1.1 201204090419 2012-04-09
    -
    2.298
    AVAST! 4.7.4 120409-0 2012-04-09
    -
    0.333
    AVG 12.0.1782 2409/4924 2012-04-09
    -
    0.381
    BitDefender 7.90123.7052289 7.41825 2012-04-08
    -
    6.067
    ClamAV 0.97.3 14759 2012-04-09
    -
    0.363
    Comodo 5.1 12035 2012-04-09
    -
    3.913
    CP Secure 1.3.0.5 2012.04.09 2012-04-09
    -
    0.547
    Dr.Web 7.0.1.2210 2012.04.09 2012-04-09
    -
    13.346
    F-Prot 4.6.2.117 20120408 2012-04-08
    -
    0.837
    F-Secure 7.02.73807 2012.02.07.03 2012-02-07
    -
    0.302
    GData 22.4560 20120409 2012-04-09
    -
    12.557
    Ikarus T3.1.32.20.0 2012.04.09.80901 2012-04-09 9.519
    Microsoft 1.8202 2012.04.09 2012-04-09
    -
    16.008
    NOD32 3.0.21 7039 2012-04-09
    -
    0.505
    nProtect 20120409.01 11101076 2012-04-09
    -
    20.668
    Quick Heal 11.00 2012.04.09 2012-04-09
    -
    2.282
    Sophos 3.30.0 4.76 2012-04-09
    -
    6.979
    Sunbelt 3.9.2533.2 11752 2012-04-04
    -
    8.152
    The Hacker 6.7.0.1 v00441 2012-04-08
    -
    1.135
    VBA32 3.12.16.4 20120409.0704 2012-04-09
    -
    7.030
    ViRobot 20120407 2012.04.07 2012-04-07
    -
    1.611
    VirusBuster 5.5.0.2 14.2.17.0/8292267 2012-04-09
    -
    0.569
    卡巴斯基 5.5.10 2012.04.05 2012-04-05 0.409
    安博士V3 2012.03.26.00 2012.03.26 2012-03-26
    -
    39.291
    安天 2.0.18 2.0.18. 0002-18-00 0.370
    江民杀毒 13.0.900 2012.04.09 2012-04-09 4.146
    熊猫卫士 9.05.01 2012.04.06 2012-04-06
    -
    7.062
    瑞星 20.0 24.05.00.01 2012-04-09
    -
    3.425
    赛门铁克 1.3.0.24 20120408.017 2012-04-08
    -
    1.242
    趋势科技 9.500-1005 8.896.01 2012-04-08
    -
    0.419
    迈克菲 5400.1158 6674 2012-04-08
    -
    18.130
    金山毒霸 2009.2.5.15 2012.4.6.9 2012-04-06
    -
    3.163
    飞塔 4.3.392 15.398 2012-04-08
    -

    1.323


    2012年4月10日 5:30
  • 在 system32 中查到的所有 .TMP 文件都是病毒生成的马甲,它们都不是病毒的源头,因此清除后还会继续生成。
     
    建议咨询杀毒软件服务商,查询一下 Rootkit.Win32.Agent 的手动清除方法。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "失望天使"
     
    文件名称 : 9999.tmp(本站不提供任何文件的下载服务)
    文件大小 : 149256 byte
     
     
    2012年4月10日 21:17
  • 谢谢楼上的各位

    在360找到了

    http://bbs.360.cn/3229787/253462345.html

    首先:很多用户认为此文件其他杀软不报就360报,是误报,其实不是。这些文件不是毒的源头,毒的源头是一个数字签名被盗用的程序。
    这个木马是淘宝客木马的新版本,这些XXXX.tmp文件其实都是新淘宝客木马下载的驱动文件。
    这次这个新版木马会挂TCP/IP以封杀云查询,挂FSD和硬盘驱动,以保护自己不被找到。
    目前只有急救箱能处理。
    解决方法是:使用急救箱强力模式扫完,根据提示重启,重启后再强力模式扫一次,扫完根据提示再重启,重启后再强力扫一次。
    其实需要急救箱强力三次解决的木马除了这次的新版淘宝客木马,还有之前很多人碰到的卫士扫出的顽固系统内存木马。
    最后提醒大家,请严格操作。

    2012年4月11日 3:35