none
关于XP中的avast一直报win32.confi的问题 RRS feed

  • 问题

  • 系统一直报有win32.confi病毒,前一个月找时间重装了一下XP系统,在安装了AVAST并完全扫描无毒,本以为这病毒没了;

    可是最近又冒出来了,AVAST又开始叫个不停,说是发现win32.confi,要求删除;我在网上查了下,按照微软官方的杀法我也做了,

    具体见http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Worm%3aWin32%2fConficker.C

    http://support.microsoft.com/kb/962007

    可是依然不管用,AVAST仍然叫个不亦乐乎,我晕,这毛病到底在那啊?接着我又看了下系统日志,想要找出有没有攻击源(局域网环境),在安全日志

    中我看到很多奇怪的内容(如下所示):

    2011-5-11 9:43:38 Security 成功审核 特权使用  578 aaa0076\Administrator aaa0076 "特许的对象操作:
      对象服务器: EventLog
      对象句柄: 21369728
      过程标识: 1648
      主要用户名: CSDL0076$
      主要域: CMM
      主要登录 ID: (0x0,0x3E7)
      客户端用户名: Administrator
      客户端域: CSDL0076
      客户端登录 ID: (0x0,0x1FB96)
      特权: SeSecurityPrivilege"
    2011-5-11 9:30:27 Security 成功审核 特权使用  576 bn\hachen aaa0076 "指派给新登录的特殊权限:
      用户名: 
      域:  
      登录 ID:  (0x0,0x491BCC)
      特权:  SeChangeNotifyPrivilege"
    2011-5-11 9:30:26 Security 成功审核 特权使用  576 bn\hachen aaa0076 "指派给新登录的特殊权限:
      用户名: 
      域:  
      登录 ID:  (0x0,0x491B11)
      特权:  SeChangeNotifyPrivilege"
    2011-5-11 9:30:11 Security 成功审核 特权使用  576 bn\qji aaa0076 "指派给新登录的特殊权限:
      用户名: 
      域:  
      登录 ID:  (0x0,0x48FFDB)
      特权:  SeChangeNotifyPrivilege"
    2011-5-11 9:30:11 Security 成功审核 特权使用  576 bn\qji aaa0076 "指派给新登录的特殊权限:
      用户名: 
      域:  
      登录 ID:  (0x0,0x48FFC8)
      特权:  SeChangeNotifyPrivilege"
    2011-5-11 9:28:43 Security 成功审核 特权使用  576 bn\lsgao aaa0076 "指派给新登录的特殊权限:
      用户名: 
      域:  
      登录 ID:  (0x0,0x487867)
      特权:  SeChangeNotifyPrivilege"

    2011-5-10 10:38:08 Security 失败审核 帐户登录  680 NT AUTHORITY\SYSTEM aaa0076 尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     登录帐户:  Administrator
     源工作站: aaa0022
     错误代码: 0xC000006A

    2011-5-10 10:38:08 Security 失败审核 帐户登录  680 NT AUTHORITY\SYSTEM aaa0076 尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     登录帐户:  Administrator
     源工作站: aaa0022
     错误代码: 0xC000006A

    2011-5-10 10:38:08 Security 失败审核 帐户登录  680 NT AUTHORITY\SYSTEM aaa0076 尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
     登录帐户:  tanghongjun
     源工作站: aaa0022
     错误代码: 0xC0000064

    ......

    我不是太清楚上面内容的含义,但总觉得怪怪的,因为登录的帐户不是我的帐户啊,而且还很多,不知这是什么现象?有哪位高人能指点下,如何清除win32.confi病毒和上述日志的含义?

    2011年5月11日 2:35

答案

  • 这个病毒最好在 Windows 没有启动的时候离线查杀,启动 Windows 之后就不太容易处理了。如果 Avast 具有可以直接启动计算机的闪存或光盘,请直接启动计算机进行查杀。
     
    另外请确认已经安装了 KB958644 更新。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "xzhanji"
     
    系统一直报有win32.confi病毒,前一个月找时间重装了一下XP系统,在安装了AVAST并完全扫描无毒,本以为这病毒没了;
     
     
    2011年5月11日 6:49
    版主
  • 很多杀毒软件都提供有“制作应急闪存盘查杀”之类的功能,只要计算机支持从 USB 设备启动就可以,如果其它计算机的任何杀毒软件有这种功能,可以制作一个能启动计算机查毒的闪存盘;而且,很多杀毒软件提供的安装光盘本身就是可以直接启动计算机查毒的。类似这样的工具都可以试试。
     
    日志只是一些来源不明的审核日志,可能是病毒在试图获取权限。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "xzhanji"
     
    版主,麻烦你能推荐一下有离线查杀功能的安全软件吗?我没用过。
    还有那个日志的含义也麻烦版主解释下,我比较菜,不太清楚是什么意思。
     
     
    • 已标记为答案 xzhanji 2011年5月20日 3:45
    2011年5月13日 10:28
    版主

全部回复

  • 这个病毒最好在 Windows 没有启动的时候离线查杀,启动 Windows 之后就不太容易处理了。如果 Avast 具有可以直接启动计算机的闪存或光盘,请直接启动计算机进行查杀。
     
    另外请确认已经安装了 KB958644 更新。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "xzhanji"
     
    系统一直报有win32.confi病毒,前一个月找时间重装了一下XP系统,在安装了AVAST并完全扫描无毒,本以为这病毒没了;
     
     
    2011年5月11日 6:49
    版主
  • 版主,麻烦你能推荐一下有离线查杀功能的安全软件吗?我没用过。

    还有那个日志的含义也麻烦版主解释下,我比较菜,不太清楚是什么意思。

    谢谢,版主啊,~《》~

    2011年5月13日 4:53
  • 很多杀毒软件都提供有“制作应急闪存盘查杀”之类的功能,只要计算机支持从 USB 设备启动就可以,如果其它计算机的任何杀毒软件有这种功能,可以制作一个能启动计算机查毒的闪存盘;而且,很多杀毒软件提供的安装光盘本身就是可以直接启动计算机查毒的。类似这样的工具都可以试试。
     
    日志只是一些来源不明的审核日志,可能是病毒在试图获取权限。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "xzhanji"
     
    版主,麻烦你能推荐一下有离线查杀功能的安全软件吗?我没用过。
    还有那个日志的含义也麻烦版主解释下,我比较菜,不太清楚是什么意思。
     
     
    • 已标记为答案 xzhanji 2011年5月20日 3:45
    2011年5月13日 10:28
    版主