中了 flec006.exe (木馬)..求救..

gkeiko
個人積分：513分
文章編號：15572754

513分

樓主

2009-10-30 22:34

..flec006.exe NOD32也敗給它..

安全模式也進不去..一進就藍色畫面..

也裝了費爾托斯特安全V7 R3 中文版&木馬清除大師2009 5.2
但只見一直跳出找到木馬..清完又一直再生..清不完...><

有哪位大大知道簡單又快速的解毒法?

快被flec006.exe搞瘋了

求救~~HELP~

2009-10-30 22:34 發佈

文章關鍵字 flec006.exe 木馬

。如夢似幻。

。如夢似幻。
個人積分：8分
文章編號：15572950

8分

2樓

2009-10-30 22:44

要手動清的話絕對不會簡單快速，有興趣配合操作建議在試吧。

SREng：http://star000star.myweb.hinet.net/2009/sre.ng2.zip
●執行SREng主程式，左下角選擇「智慧掃描」，不要更動任何設置開始掃描，掃描結束後將Log存檔。
掃描完成後的日誌，請上傳到指定Sendspace空間，方便閱讀、減少版面。
http://star000star.myweb.hinet.net/2009/sendspace.htm

順便補充一下flec006.exe的所在路徑，例如C:\Windows\system32之類。

gkeiko

gkeiko
個人積分：513分
文章編號：15573271

513分

樓主

2009-10-30 22:57

。如夢似幻。 wrote:
要手動清的話絕對不會...(恕刪)

請收pm thanks~

flec006.exe的所在路徑

C:\Documents and Settings\AJXP\Application Data\m\flec006.exe
C:\Documents and Settings\AJXP\Application Data\hidires\flec003.exe
C:\WINDOWS\system32\wintems.exe

Ain't about what's waitin on the other side,It's the climb~

。如夢似幻。

。如夢似幻。
個人積分：8分
文章編號：15574227

8分

4樓

2009-10-30 23:41

OK，先這樣做第一次清除，沒效在準備第二次。

*操作前請備份作業系統磁碟機內重要檔案*

一、準備以下工具：
●The Avenger http://swandog46.geekstogo.com/avenger2/download.php
●SREng http://star000star.myweb.hinet.net/2009/sre.ng2.zip

二、開啟SREng，進行幾個前置處理：
1.左邊點選「啟動專案」=>「註冊表」=>找到以下項目 => 點選「刪除」=> 按下「是」。
<flec003.exe><C:\Documents and Settings\AJXP\Application Data\hidires\flec003.exe> []
<GEST><=> [N/A]

三、執行The Avenger進行清除動作：

1.執行avenger.exe。
2.將以下腳本，複製貼上至avenger空白輸入處。
===============清除腳本，請完整複製貼上，確認無漏字=====================
Files to delete:
C:\WINDOWS\system32\contmenu.dll
C:\WINDOWS\system32\wintems.exe

Files to replace with dummy:
C:\WINDOWS\system32\srosa2.sys
C:\WINDOWS\system32\wfsintwq.sys

Folders to delete:
C:\Documents and Settings\AJXP\Application Data\drivers
C:\Documents and Settings\AJXP\Application Data\m
C:\Documents and Settings\AJXP\Application Data\hidires

drivers to delete:
sK9Ou0s
srosa
===============清除腳本，請完整複製貼上，確認無漏字=====================
3.按下Execute按鈕，之後會自動重開機數次，屬正常現象。
4.重開機完畢後，會在程式執行處，或者C磁碟機底下產生avenger.txt將存保存好，之後上傳檢查用。

四、重開機後，再度開啟SREng，進行修復動作。
1.再次開啟「SREng」=> 系統修復 =>「Windows Shell/IE」=> 選擇「全選」=> 按下「修復」。
2.左邊選擇「系統修復」=>「高級修復」=> 選擇「修復安全模式」=> 按下「確定」。

五、在重開機一次，檢查您原本的問題是否還有在出現？如果還有，請繼續以下動作。
A.執行Combofix，跑一份Log。 (URL=http://reinfors.googlepages.com/combofix1.html)
B.重新開SREng掃描一次日誌，注意先後順序。
C.將上面產生的avenger.txt也準備好。
D.請將現在還有的問題，詳細敘述一次。
以上資料請都壓縮在一起，送到免空方便下載。

gkeiko

gkeiko
個人積分：513分
文章編號：15578968

513分

樓主

2009-10-31 9:59

。如夢似幻。 wrote:
OK，先這樣做第一次...(恕刪)

嗯...晚上下班回去馬上試試...謝謝如夢大

希望能順利解毒成功...

Ain't about what's waitin on the other side,It's the climb~

gkeiko

gkeiko
個人積分：513分
文章編號：15649004

513分

樓主

2009-11-03 23:10

跟這病毒flec006.exe奮戰了4個晚上(慢慢摸..)..

如大的方法試過到最後病毒依然繁殖.且安全模式一樣不給進..

在網路上找了相關文章..

http://www.mml.com.tw/block/forum/index.php?action=forum_topicdetail&page=forum_topicdetail&f=431&t=120161

發現了這篇..

努力仔細研究後..一步步掃毒+砍檔..+用xpe進去清..本想說應該沒問題了沒想到

安全模式可進了..再進入正常os後掃木馬軟體還是發現有木馬在輸入值且
防火牆還是被關防毒軟體打不開

接著又尋著木馬軟體顯示的位址再進安全模式去砍那個啟動值..

刪除後終於...防火牆啟動..防讀軟體也執行ok....

終於救回來了~

flec006.exe太可怕了吧~

Ain't about what's waitin on the other side,It's the climb~

。如夢似幻。

。如夢似幻。
個人積分：8分
文章編號：15651901

8分

7樓

2009-11-04 1:57

辛苦了，有解決就好

在動態分析下抓問題，您還真有DIY精神。

從您給的敘述、以及最後的圖片，這些有限的資料下來看，預設的第二分析工具應該就可以搞定。
我在前面也有講過(第五點)，一次清除無效，需要蒐集資料進行接下來的動作，搭配其他分析工具獲取資訊、清除。
在看不見User螢幕的遠端，循序漸進的蒐集資料來做清除，如果可以神到每次都在「非常有限」的資訊下一次見效，秒殺所有種類惡意程式，我想除非是真的身經百戰…否則是有其困難度存在。

經驗上統計，肯從頭到尾耐心配合操作建議、蒐集資訊的，解決率沒有9成也有8成，少數一些特殊個案難免失敗。
然而User通常都把Log丟了就跑了，或者操作步驟看了就沒下文了，一個Case就沒消沒息的丟在那，這反而是最常見的情況；輕信偏方、知識家回答法，User自己亂搞的情況下，能像樓主一樣還處理好的，真的可以說寥寥無幾。

在各大論壇反病毒版提供免費殺毒諮詢義工的無奈，稱機小小抱怨一下

gkeiko

gkeiko
個人積分：513分
文章編號：15652884

513分

樓主

2009-11-04 7:46

。如夢似幻。 wrote:
辛苦了，有解決就好在...(恕刪)

對啊~~我還忘了謝謝如夢大~~sorry~

目前我還是覺得系統不太穩定就是了~

防毒軟體要手動起動(nod32)...

Ain't about what's waitin on the other side,It's the climb~

gkeiko

gkeiko
個人積分：513分
文章編號：15671209

513分

樓主

2009-11-05 0:03

gkeiko wrote:
對啊~~我還忘了謝謝...(恕刪)

找到原因了..原來是費爾托斯特安全搞的鬼..把nofd32停掉了難怪只能改手動~

Ain't about what's waitin on the other side,It's the climb~