瑞星卡卡安全论坛

问题现象：
1）首先是木马清除大师升级后出现了问题，升级期间，程序停止响应，我只好强制关闭程序，关闭后重启，可以继续升级，升级后就出问题了！
2）在木马清除大师的程序监控中出现两个本程序的exe进程，应该只有一个进程才对！关闭后，木马清除大师自己也关闭了！
3）期间系统很不稳定，很多程序都无故关闭！系统的记录如下：
应用程序 c:\program files\rising\rfw\RfwCfg.exe 产生了一个应用程序错误 此错误发生在 05/05/2008 @ 20:54:11.921 所产生的意外情况为 80000007，在地址 00000000 (ntdll!KiFastSystemCallRet)处
错误应用程序 rfwcfg.exe，版本 7.0.2.56，错误模块 hhctrl.ocx，版本 5.2.3790.2847，错误地址 0x00013368。
错误应用程序 mplayerc.exe，版本 6.4.9.0，错误模块 ，版本 0.0.0.0，错误地址 0x00000000。
错误应用程序 iexplore.exe，版本 7.0.6000.16640，错误模块 unknown，版本 0.0.0.0，错误地址 0x30238602。
错误应用程序 beattrojan.exe，版本 2.9.0.0，错误模块 unknown，版本 0.0.0.0，错误地址 0x00000000。
结束 'C:' 的备份'遇到了警告或错误。'
  验证:  Off
  模式:  Replace
  类型:  Normal

有关详细信息，请参阅备份报告。
运行时环境无法初始化支持事务处理组件所需的事务。请确认 MS-DTC 正在运行。(DtcGetTransactionManagerEx(): hr = 0x8004d01b)
外壳程序意外停止，Explorer.exe 被重新启动。
应用程序 c:\program files\internet explorer\iexplore.exe 产生了一个应用程序错误 此错误发生在 04/29/2008 @ 21:22:03.437 所产生的意外情况为 c0000005，在地址 30063C11 (<nosymbols>)处
错误应用程序 rfwcfg.exe，版本 7.0.2.56，错误模块 hhctrl.ocx，版本 5.2.3790.2847，错误地址 0x00013368。
4）每当宽带上网后，就出现这种情况，断网后，该程序恢复正常，联网后，发现出现大量远程连接，断网后，远程连接消失。用木马清除大师扫描后，它删除了AU_.exe文件，说它是木马。而且出现了一些莫名其妙的情况，会忽然弹出窗口说IE的什么什么问题，某些程序会忽然关闭。我想，当时的木马清除大师已经给人搞定了！
5）我只好卸载木马清除大师，卸载后发现联网后的大量远程连接消失，仿佛恢复了正常，但是某些程序还是出现了忽然关闭的情况。用卡卡的查看网络连接，发现瑞星的rfwproxy.exe连接远程地址，地址IP解释为：jp-in-f104.google.com:80;155.9.143.61.broad.jm.gd.dynamic.163data.com.cn:80;pq-in-f104.google.com:80;ti-in-f104.google.com:80;（还有很多）
6）无可奈何之下，安装费尔托斯特安全，想扫一下，可惜没有发现问题！但是有一点很诡异！安装费尔托斯特的时候，进程无故终止，说有问题，不能继续安装，可是我再次双击安装，却可以继续了！！我想某些病毒已经潜藏在系统里面了，安装的时候，病毒终止了安装程序，当我再次安装的时候，病毒已经改了杀毒软件的某些东西了！所以费尔托斯特没有发现病毒！！！
7）期间我用暴风影音看过一个wmv文件，文件不能拖动，我用视频修复大师修复，说它被某些进程控制，我用unlocker扫描，没有发现被lock，我只好把它删了。
8）我的这台电脑，为了安全，关闭了几乎所有网络服务，中毒的原因大概是某些不安全软件造成的，也有可能是木马清除大师给人搞了我不知道！当前者是最主要原因！现在我的这台电脑，大概只能可以向外发送数据，如果要接受下载数据，必须动用某些额外进程才可以做到。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2)

附件: SREngLOG.log

附件: RasProc.txt

日志没有发现什么问题  不过请确认  启动文件夹里的开机启动任务管理器是不是你自己设置的或者是什么的

启动文件夹
[taskmgr]
  <C:\Documents and Settings\dyinghong\「开始」菜单\程序\启动\taskmgr.lnk --> C:\WINDOWS\system32\taskmgr.exe [Microsoft Corporation]><N>


清理系统临时文件和IE临时文件夹
http://www.atribune.org/public-beta/ATF-Cleaner.exe
用金山清理专家清理恶意软件
http://www.duba.net/zt/ksc/down.shtml
下载 windows清理助手清理一遍
http://www.arswp.com/download/arswp2/arswp2.zip

我发现有两个问题！
1）有文件关联错误，就是那个chm文件！
2）有影像劫持启动问题
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Your Image File Name Here without a path]
    <IFEO[Your Image File Name Here without a path]><ntsd -d>  [N/A]
3）那个启动项是我自己放进去的

扫描后发现如下可以文件！！！！

那个文件关联如果正确是"c:\windows\hh.exe" %1  不过那个也一样 没有问题

那个映像劫持也是正常的

可疑文件

:kaka2: :kaka2: :kaka2:

什么可疑文件？？

可疑文件
FLASH9F.OCX
NVCPL.DLL
太大，发不上来。

附件: BOOT_REG_GENERAL.rar

附件: P_IE2.rar

附件: P_IE.rar

附件: P_SEDEBUG.rar

附件: SERVICE.rar

还有～～～

附件: SuspiciousFiles.rar

有什麽方法可以删除系统还原文件夹里面的文件？？？

太困了，明天在聊吧！
一时半刻，我的机大概不会死掉吧？
我想我死都还没到它死！！！

无需删除

关闭系统还原就行

关闭了，里面的文件还在吧！！！
我最害怕的还是这个文件夹里面的文件！！！
还有！！！
我的电脑还会自动连接那些莫名的远程端口，
他们都是80端口的！！！！
大概这是系统的最大隐患！！！！
可能是在发数据呢！！！！！！

到现在，我都还不明白，为什么瑞星的rfwproxy.exe会连接远程地址，地址IP解释为：jp-in-f104.google.com:80;155.9.143.61.broad.jm.gd.dynamic.163data.com.cn:80;pq-in-f104.google.com:80;ti-in-f104.google.com:80;（还有很多）
是不是这让我的电脑连接这些网站，增加他们的点击率呢？？？
有这样的可能吧？？？？
这些是瑞星杀毒的重要日志文件！！！！

每次都忘了贴附件～～～～
唉～～～～～

附件: 瑞星日志.rar

还有什么好用的系统分析软件呢？？
推荐一下如何？？？

网络连接截图～！

==============================================================
        金山清理专家系统诊断报告
该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================
诊断时间:            2008-05-07, 12:26
诊断平台:            Windows XP [5.1.2600] Service Pack 2
IE版本:              Internet Explorer V7.0.11.5730
计算机物理内存:      495(MB)
当前可用内存:        91(MB)
硬盘总大小:          150(GB)
硬盘可用空间:        97(GB)
清理专家版本:        2008.04.29.38
恶意软件库版本:      2008.05.05.1
漏洞库版本:          2008.04.09.1



==============================================================
        启动文件夹位置
==============================================================
Common Startup:      C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup:            C:\Documents and Settings\dyinghong\「开始」菜单\程序\启动
Common Startup:      %ALLUSERSPROFILE%\「开始」菜单\程序\启动

==============================================================
        Host File
==============================================================
127.0.0.1      localhost

==============================================================
        系统服务
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
        [HidServ] [已禁用]            <%SystemRoot%\System32\hidserv.dll>


==============================================================
        驱动程序
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
        [VIDC.ACDV] [已启用]            <ACDV.dll>


==============================================================
        其他安全区域
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
        [MyReader]            <D:\Program Files\myreader\MyReader.dll>
        文件路径: D:\Program Files\myreader\MyReader.dll [未知]

这些“可疑文件”都是你自己安装的程序
FLASH9F.OCX  是ie浏览器的flash插件
NVCPL.DLL  nv显卡驱动相关程序
DAEMON.EXE  虚拟光驱托盘程序
DOMINO.EXE  摄像头驱动相关程序
NEROCHECK.EXE  NERO刻录软件相关程序
NWIZ.EXE  nv显卡驱动相关程序
RAVTASK.EXE  瑞星杀毒软件相关程序，用于定时升级、定时杀毒的计时器
RFWMAIN.EXE  瑞星防火墙
RUNIEP.EXE  瑞星卡卡上网安全助手
SSTRAY.EXE  nf2主板配置诊断程序
TWISTER.EXE  费尔托斯特安全软件
VMSNAP1.EXE  摄像头驱动相关程序
VOLUMEEASY.EXE  VOLUMEEASY是一个通过快捷键控制音量的软件

出于什么原因让你觉得他们很可疑呢？？重视系统安全、保持警惕性本来不是件坏事，但是如果过度敏感的话就会给你自己带来很多不必要的麻烦，这些“可疑文件”有很多通过描述就能进行简单的判断了

FILMSG.EXE  费尔消息服务
TASKMGR.EXE  windows任务管理器
MSMSGS.INF  MSN相关的配置文件
MSNETMTG.INF  NetMeeting相关的配置文件
WMP10.INF  Windows Media Player 10相关配置文件
RAVEXT.DLL  瑞星杀毒软件的相关文件
SHLHOOK.DLL  卡卡助手的相关文件
IJT_BASE.DLL  瑞星防火墙相关文件
OLEMON.DLL  瑞星防火墙相关文件
7-ZIP.DLL  7-ZIP压缩软件相关文件
COMICSVIEWER.DLL  [size=-1]资源管理器右键菜单扩展所需的DLL文件
ISOSHELL.DLL  [size=-1]UltraISO相关文件
MYREADER.DLL  MYREADER语音阅读器相关文件
RAREXT.DLL  winrar压缩软件相关文件
RSCOMMON.DLL  瑞星杀毒软件相关文件
SGIMEWORD.DLL  搜狗拼音输入法相关文件
TWSHLEXT.DLL  费尔托斯特相关文件
SOGOUPY.IME  搜狗拼音输入法相关文件

rfwproxy.exe瑞星防火墙家长保护的服务，要通过监控80端口来检查你访问的网站是否安全，所以那些连接都是你当时正在访问的网站！！
例如，59.38.125.45这个应该是金山的服务器IP，你当时肯定也在访问金山的网站:default6:

没有，只有扫描工具，用来提取信息生成日志。
至于分析日志，那是人做的工作。

日志里可见的文件都没问题

但是我没有访问这些网站啊！！！
jp-in-f104.google.com:80;
155.9.143.61.broad.jm.gd.dynamic.163data.com.cn:80;
pq-in-f104.google.com:80;ti-in-f104.google.com:80;
还有很多～～～～～～！！！！！

我还发现了在system文件夹里面有exe文件，通常情况下，这里是没有exe文件的啊！！！！！
很可疑！！！！！
wowpost.exe!!!!!!!
是不是窃取魔兽帐号密码的木马啊？？？

一个网站不一定只有一台服务器，如果你访问新浪，在链接里看到的地址绝对不是www.sina.com.cn，而是一些看似与www.sina.com.cn毫不相干的地址，这很正常，连接了不同的节点而已

以后自己怀疑的文件，不需要一个一个问了

直接这里测试去：
http://virscan.org/

或者这里测试去：
http://www.virustotal.com/zh-cn/

任何病毒都要运行以后才能发挥它本身的作用，你的日志已经有其他版主看过了，并没有问题。
即使这个文件是病毒，但它并没有运行，手枪不上子弹是不可能伤害任何人的。

竟然有这么一回事！！！！
难道这些都是其它服务器？？？
jp-in-f104.google.com:80;
155.9.143.61.broad.jm.gd.dynamic.163data.com.cn:80
;pq-in-f104.google.com:80;
ti-in-f104.google.com:80;

能del了它吗？？？
只要它存在着，就如坐针尖～～～o(∩_∩)o...哈哈