瑞星卡卡安全论坛

广告病毒.开机时出现.开机后，随机出现.卡卡与瑞星杀毒2007均无效(已升级到最新版本).附件为卡卡电脑诊断日志.sreng日志在下几楼里..

附件: 93900120079915453.txt

每次病毒发作时,会引起iexplore.exe的错误,以下是对错误的记录.

iexplore.exe 中的 0x7cd3e3cf 处未处理的异常: 0xC0000005: 读取位置 0x00000000 时发生访问冲突 。
线程:00000074 模块:mshtml

附件包含错误附近的机器码(段)

附件: 939001200799122125.txt

貌似没人帮偶 -.-! 虽然只是跳个IE窗口,但毕竟不爽啊...而且目前还不知道塞了什么在系统里,查了几次都感觉正常，但事实确实不正常，郁闷了......

刚发现 Explorer.exe 进程中发现个模块 linkinfo.dll
描述: Windows Volume Tracking
版本: 5.1.2600.2751(xpsp_sp2_gdr.050831-1520)

baidu结果说是病毒(Worm) -.- 但貌似不太象...

病毒弹出的IE游览器指向 http://6.cn/showmyweb/ay99.html

刚才再次瑞星全盘杀毒时,发现病毒依次记载
病毒名: Trojan.DL.VBS.Agent.ak
地址: C:\Documents and Settings\Administrator\Local Settings\Temporary Internt Files\Content.IE5\8H2JOL2F\vip2[1].htm
删除...

空闲时间把 SREng 日志上传上来...

附件: 939001200799134332.txt

发现病毒
病毒名: Trojan.DL.JS.Agent.lms
地址: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GLEFW5I7\admin2[1].htm
删除...

发现病毒
病毒名: Trojan.DL.JS.Agent.lna
地址: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GLEFW5I7\new246[1].htm
删除...

发现病毒
病毒名: Trojan.DL.JS.Agent.lna
地址: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\GLEFW5I7\new84[1].htm
删除...

发现病毒
病毒名: Trojan.DL.JS.Agent.lnc
地址: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\MZKPYT8Z\02[1].htm
删除...

发现病毒
病毒名: Trojan.DL.JS.Agent.lnc
地址: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\MZKPYT8Z\02[1].htm
删除...

临时目录里的同一病毒不帖了，会累死的 -.-!

日志没发现问题，但发现你的机开了很多危险服务，建议禁用RPC等危险服务。

Remote Procedure Call (RPC) 关不来 -.-
启动类型灰掉的.....
Remote Procedure Call (RPC) Locator 为手动类型...
目前未启动...

谢谢回帖...期待解决问题.....

用sreng关

c:\windows\system32\drivers\dtscsi.sys
c:\windows\system32\drivers\certclient.dat
c:\windows\system32\drivers\cmbprotector.dat

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[dtscsi / dtscsi]    <\SystemRoot\System32\Drivers\dtscsi.sys>
[CMB8100 / CMB8100]    <\??\C:\WINDOWS\system32\Drivers\CertClient.dat>
[CMBProtector / CMBProtector]    <\??\C:\WINDOWS\system32\Drivers\CMBProtector.dat>

c:\windows\system32\drivers\dtscsi.sys
c:\windows\system32\drivers\certclient.dat
c:\windows\system32\drivers\cmbprotector.dat

2.删除重启后使用SREng修复下面各项：

    启动项目 －－ 服务－－ 驱动程序之如下项删除：
[dtscsi / dtscsi]    <\SystemRoot\System32\Drivers\dtscsi.sys>
[CMB8100 / CMB8100]    <\??\C:\WINDOWS\system32\Drivers\CertClient.dat>
[CMBProtector / CMBProtector]    <\??\C:\WINDOWS\system32\Drivers\CMBProtector.dat>

c:\windows\system32\drivers\dtscsi.sys
c:\windows\system32\drivers\certclient.dat
c:\windows\system32\drivers\cmbprotector.dat

先上报瑞星，是病毒再删

启动项目 －－ 服务－－ 驱动程序之如下项删除：
[dtscsi / dtscsi] <\SystemRoot\System32\Drivers\dtscsi.sys>
[CMB8100 / CMB8100] <\??\C:\WINDOWS\system32\Drivers\CertClient.dat>
[CMBProtector / CMBProtector] <\??\C:\WINDOWS\system32\Drivers\CMBProtector.dat>


第一个我尝试删除,第二,第三个我知道是什么，是招商银行的个人网上银行.....
我先删除第一个看看...反正这次的问题比较邪门，过去一般我也是自己手动解决的...找不到他启动的位置...

谢谢关注...

dtscsi        ------> Daemon Tools
CMB8100      ------> 招商银行 - 个人网上银行
CMBProtector  ------> 招商银行 - 个人网上银行
且注释以上3个驱动，病毒症状依旧存在.但以上2个软件不可以使用了.........

请高手继续指点，谢谢.......

自己顶一下

汗,不怪你们了...刚才用关键字 ay99.html 搜索了baidu.应该是新出来的东西，而且卡巴,360等等都无法去杀...但希望你们看在正版用户的份上，多想想办法吧.

不得以的临时解决办法

IE => 工具 => 临时选项 => Internet选项 => 安全 => 受限制的站点
增加 http://*.6.cn/

从昨晚开机到目前没自己出弹出对话框,但还有什么影响不知道,未重起试过.

希望高手能找出彻底清除的办法...........

纠正，有打开网页的声音.而且如果用其他程序，也会发现IE被获得过焦点，被放置到前台过.只是IE游览器最终没显示那页而已....这个临时解决办法也不好.......

偶自己顶上去

新发现，病毒有时一直访问网络,但具体什么进程去执行的没发现.至少我没看到异常进程.以下是路由上截获的一些信息

Mar/11/2007 22:34:17 [FW] **Drop Packet** IP/TCP 222.77.187.113:80->192.168.1.100:7090
Mar/11/2007 22:34:16 [FW] **Drop Packet** IP/TCP 211.154.44.236:5353->192.168.1.100:8950
Mar/11/2007 22:34:16 [FW] **Drop Packet** IP/TCP 219.133.62.122:80->192.168.1.100:34619
Mar/11/2007 22:34:15 [FW] **Drop Packet** IP/TCP 219.133.40.11:80->192.168.1.100:5584
Mar/11/2007 22:34:15 [FW] **Drop Packet** IP/TCP 58.60.11.52:80->192.168.1.100:15912
Mar/11/2007 22:34:14 [FW] **Drop Packet** IP/TCP 219.133.40.11:80->192.168.1.100:5469
Mar/11/2007 22:34:14 [FW] **Drop Packet** IP/TCP 58.218.201.146:80->192.168.1.100:25967
Mar/11/2007 22:34:14 [FW] **Drop Packet** IP/TCP 58.218.201.146:80->192.168.1.100:25967
Mar/11/2007 22:34:14 [FW] **Drop Packet** IP/TCP 58.218.201.146:80->192.168.1.100:25967
Mar/11/2007 22:34:14 [FW] **Drop Packet** IP/TCP 211.154.44.236:5353->192.168.1.100:50003
Mar/11/2007 22:34:13 [FW] **Drop Packet** IP/TCP 211.154.44.236:5353->192.168.1.100:49906
Mar/11/2007 22:34:05 [FW] **Drop Packet** IP/TCP 219.133.40.11:80->192.168.1.100:4521
Mar/11/2007 22:34:05 [FW] **Drop Packet** IP/TCP 211.154.44.236:5353->192.168.1.100:49063
Mar/11/2007 22:34:05 [FW] **Drop Packet** IP/TCP 219.133.40.11:80->192.168.1.100:4488
Mar/11/2007 22:34:05 [FW] **Drop Packet** IP/TCP 58.211.77.137:80->192.168.1.100:23696
Mar/11/2007 22:34:05 [FW] **Drop Packet** IP/TCP 58.211.77.137:80->192.168.1.100:23696
Mar/11/2007 22:34:05 [FW] **Drop Packet** IP/TCP 211.154.44.236:5353->192.168.1.100:49040
Mar/11/2007 22:34:04 [FW] **Drop Packet** IP/TCP 219.133.62.122:80->192.168.1.100:33394
Mar/11/2007 22:34:03 [FW] **Drop Packet** IP/UDP 58.60.14.46:8000->192.168.1.100:40231
Mar/11/2007 22:34:01 [FW] **Drop Packet** IP/TCP 121.11.71.64:80->192.168.1.100:2946

还有，我这个问题几天了，就算给不出答案了，也至少说一下吧,都没声音算什么?难不成一些简单的问题你们就回答以增大自己的知名度,而麻烦一点的东西则逃避?

么的人理偶?晕了

貌似你们回帖跳开我帖子的 -.-??
反正到目前为止360,卡巴(据说全盘杀毒可以解决)都不行,正好比比几个杀毒软件哪个效率高点.......