【求助】ie进程以SYSTEM用户名自动运行 bbs.ikaka.com

taikey - 2008-3-16 14:22:00

最新的瑞星查杀，监控和防火墙都没有报警
卡卡助手也没有检测出恶意插件
AST超级巡警也没有提示异常

那位知道这是怎么回事？提供些解决办法好吗

谢谢各位了

[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

火影忍者 - 2008-3-16 14:30:00

下载arswp(Windows清理助手)清理下
http://www.arswp.com/download/arswp/arswp.rar

若无法解决，
下载 System Repair Engineer，
http://www.kztechs.com/sreng/download.html
1 解压缩sreng2.zip
2 运行SREng.exe
3 智能扫描=》扫描=》保存报告
4 把日志中的报告完整拷贝贴上来，不要修改

taikey - 2008-3-16 14:35:00

http://www.kztechs.com/sreng/download.html
朋友这个地址下载不了啊

天月来了 - 2008-3-16 14:45:00

你点那本地2下载不了吗？？？

怎么个不能下载？？？

我这附件里发给你

附件: 8390772008316143458.rar

taikey - 2008-3-16 14:49:00

都试了下载总是中断

我用卡卡看了下 C:\WINDOWS\system32\sabc.dl
觉得这个很可疑但是删除之后还会自动生成

taikey - 2008-3-16 14:57:00

谢谢朋友

C:\WINDOWS\system32\scrc.exe 这个文件也很可疑，不能删除
一直被系统使用估计就是它的问题
网上搜索了下中文网站没有相关的资料英文的有一点但是本人英文实在不懂看不懂啊

火影忍者 - 2008-3-16 15:09:00

楼主说的文件可疑。。

用下载工具也不能下载？？？

newcenturymoon - 2008-3-16 15:12:00

C:\WINDOWS\system32\scrc.exe发上来看看

taikey - 2008-3-16 15:17:00

天月版主给的附件可以用了
但是那个网页我不论用快车还是另存为都没有反映，好像是找不到下载路径了

taikey - 2008-3-16 15:19:00

==================================
API HOOK
N/A

==================================
隐藏进程
[892] C:\WINDOWS\system32\scrc.exe

==================================

[/CODE]

扫描了一下果然这个文件师隐藏进程
我不会发附件 -.-

baohe - 2008-3-16 15:22:00

引用:

【taikey的贴子】==================================
API HOOK
N/A

==================================
隐藏进程
[892] C:\WINDOWS\system32\scrc.exe

==================================

[/CODE]

扫描了一下果然这个文件师隐藏进程
我不会发附件 -.-
………………

C:\WINDOWS\system32\scrc.exe——————打包，加密，发上来撒～～～～～～～～～～～

taikey - 2008-3-16 15:23:00

附件里有scr.exe 和sabc.dll 两个文件我在瑞星可以文件上报也发了一份

版主们有什么办法能解决下嘛？我先进安全模式删除下看看
目前还没有发现有什么危害

附件: 396402008316151155.rar

baohe - 2008-3-16 15:39:00

引用:

【taikey的贴子】附件里有scr.exe 和sabc.dll 两个文件我在瑞星可以文件上报也发了一份

版主们有什么办法能解决下嘛？我先进安全模式删除下看看
目前还没有发现有什么危害
………………

运行附件后，在system32目录下释放C:\windows\system32\scrc.exe。并无sabc.dll释放。
用IceSword查看进程列表，可见红色显示的隐藏进程C:\windows\system32\scrc.exe。
用IceSword的解决流程：

1、禁止进程创建。
2、结束下列进程：
C:\windows\system32\scrc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
3、删除C:\windows\system32\scrc.exe。
4、清理注册表：
展开：HKLM\System\CurrentControlSet\Services
删除：Rsystem Procedure Call (RPCS) (指向C:\windows\system32\scrc.exe）

火影忍者 - 2008-3-16 15:43:00

很强大，很效率...

taikey - 2008-3-16 15:51:00

进入安全模式后，删除了scrc.exe sabc.dll
正常进入系统没有IE自动启动的问题了

有情况需要说明下，我是在打开一个REALPLAY的时候遇到IE窗口自动启动，提示IE不是默认浏览器的问题。觉得奇怪所以看了下任务管理器，发现里面有一个s2.exe进程,查找之后在C:\Documents and Settings\All Users这个文件夹下发现了s2.exe demo(0).exe demo(1).exe 还有一个没记住名字一共四个可以文件，随手删除了。后来在设备管理器看到IE以SYSTEM用户名运行，这才开始找问题的根源，用卡卡发现了sabc.dll被IE加载，然后在C:\WINDOWS\system32\下打开隐藏系统文件后，查看详细资料发现scrc.exe很可疑。

感谢火影忍者天月来了给我的建议
两个工具都很好用收藏了

版主们还是费心看下吧这个病毒应该在我机器里有一周左右时间了，因为上次我下载视频的时候有个文件伪装的很好，我不小心点开了。感觉不妙之后马上断网，用瑞星和卡卡查了一遍，但是没有提示有病毒或者恶意插件，就没有在意。
今天遇到这个问题，仔细想了一下，瑞星应该还是没有发现这个病毒，而且GOOGLE中搜索scrc.exe的相关也只有国外有少量英文相关。应该是个国外的新病毒吧

瑞星卡卡安全论坛