none
发现可疑文件 RRS feed

  • 问题

  •  

    刚才发现一个可疑文件“toems.exe”随系统启动,该文件在“x:\program files\common files\fisoe”文件夹中,文件夹还有另一个可执行文件“citif.exe”随WinXP的系统服务启动。金山毒霸没有报警,金山网镖发现“toems.exe”要访问网络被禁止。请大家帮忙分析下,谢谢......
    2008年8月4日 5:33

答案

  • 你文中提到的两个文件及一个文件夹均不是系统自有文件,有人说toems.exe是机器狗盗号木马,但网上找不到相关的处理方法。目前建议采用的处理方法:

     

     1、启动系统到安全模式,找到上述文件及文件夹全部删除;

     

     2、运行中键入regedit打开注册便编辑器,在编辑中选择搜索,搜索上述所有关键字,全部删除;

     

     3、运行msconfig去掉除杀软和输入法图标以外所有的启动程序,并检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run位置是否有可以程序随系统一同启动。一般这个位置也仅仅保留杀软和输入法启动两项。

    2008年8月5日 10:26
    版主

全部回复

  • 很可能是恶意程序,最好在 Windows 未启动的状态进行全盘查杀。

    2008年8月4日 11:23
    版主
  • 你文中提到的两个文件及一个文件夹均不是系统自有文件,有人说toems.exe是机器狗盗号木马,但网上找不到相关的处理方法。目前建议采用的处理方法:

     

     1、启动系统到安全模式,找到上述文件及文件夹全部删除;

     

     2、运行中键入regedit打开注册便编辑器,在编辑中选择搜索,搜索上述所有关键字,全部删除;

     

     3、运行msconfig去掉除杀软和输入法图标以外所有的启动程序,并检查注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run位置是否有可以程序随系统一同启动。一般这个位置也仅仅保留杀软和输入法启动两项。

    2008年8月5日 10:26
    版主
  • 常规处理方法我已经使用过了,目前操作系统和个人资料没发现其它异常,谢谢版主

    2008年8月5日 10:58
  •  

    可以将文件上传到http://www.virustotal.com/zh-cn/进行杀毒软件多引擎分析

     

    如果楼主还觉得系统有其他问题的话

    请先使用windows清理助手清理一下系统。(未签名的那些不要选择删除)
    在这里下载:http://www.arswp.com/download.html


    然后使用System Repair Engineer扫描日志作为附件上传,以便于解答~ 
    下载页面:http://www.kztechs.com/sreng/download.html
    操作方法:
    1、下载后解压缩,运行SREngPS.EXE;
    2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
    3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
    4、选择保存路径,文件名保持默认,直接点击【保存】;
    5、将日志文件SREngLOG.log作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。
    注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

    2008年8月5日 15:55