瑞星卡卡安全论坛

问题始末：
在一次木马清除大师升级后，木马清除大师出现不稳定情况，鼠标在该程序上出现漏斗状闪烁，在木马清除大师的进程表中出现了两个该程序的exe文件，每当宽带上网后，就出现这种情况，断网后，该程序恢复正常，联网后，发现出现大量远程连接，断网后，远程连接消失。用木马清除大师扫描后，它删除了AU_.exe文件，说它是木马。而且出现了一些莫名其妙的情况，会忽然弹出窗口说IE的什么什么问题，某些程序会忽然关闭。我想，当时的木马清除大师已经给人搞定了！我只好卸载木马清除大师，卸载后发现联网后的大量远程连接消失，仿佛恢复了正常，但是某些程序还是出现了忽然关闭的情况。用卡卡的查看网络连接，发现瑞星的rfwproxy.exe连接远程地址，地址IP解释为：jp-in-f104.google.com:80;155.9.143.61.broad.jm.gd.dynamic.163data.com.cn:80;pq-in-f104.google.com:80;
可以怀疑，是不是电脑伴随启动了某些间谍软件，使某些程序突然关闭！电脑联网后，自动连接到某些网站，发去一些本电脑的一些信息！所以会忽然出现陌生的远程地址！！！

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
没了这个lanmanserver项？？？
却只有lanmanworkstation这个项目！这是干什么的啊？？

木马清除大师在去世前删除了AU_.exe文件，而这个AU_.exe文件做了以下动作：
删 除 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGX7.DLL
创建 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGX7.DLL
删 除 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGX7.DLL
删 除 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXPR7.DLL
创建 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXPR7.DLL
删 除 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXPR7.DLL
删 除 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXR7.DLL
创建 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXR7.DLL
删 除 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXR7.DLL
删 除 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXRA7.DLL
创建 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXRA7.DLL
删 除 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXRA7.DLL
删 除 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\NEROCO.DLL
创建 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\NEROCO.DLL
删 除 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\NEROCO.DLL
删 除 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\TWNLIB4.DLL
创建 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\TWNLIB4.DLL
删 除 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\TWNLIB4.DLL

木马清除大师给人搞定了，这是最大的嫌疑！！！！

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2)

用卡卡的查看网络连接，发现瑞星的rfwproxy.exe连接远程地址，地址IP解释为：jp-in-f104.google.com:80;155.9.143.61.broad.jm.gd.dynamic.163data.com.cn:80;pq-in-f104.google.com:80;ti-in-f104.google.com:80;

这个信息也说明不了什么.

PS:AU.exe并不是一个程序,很多安装程序都会以这个文件名命名,释放到C:\windows\temp文件中,再进行安装.(比如QQ的比较多安装程序就会以这个命名.)


参考:
附1：System Repair Engineer扫描日志操作方法：
SREng下载地址：http://www.kztechs.com/sreng/sreng968.zip
提示：可以右键点击上述链接，选择“保存为...”方式下载。
操作方法：
1、下载后解压缩，运行SREngLdr.EXE；
2、如果无法打开尝试把SREngLdr.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、将日志文件SREngLOG.log作为附件上传到论坛，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。

扫描之后帖到这里:http://bbs.ikaka.com/showforum-109.aspx

说明或者是复制这个帖子里的情况,一般他们就会给你答复了.假如没有,也可以把发的日志帖地址给我.我看看

立刻执行^_^