瑞星卡卡安全论坛

我很确定我没有运行这两个程序，可是瑞星防火墙和系统状态中却都显示有两个iexplore.exe进程和一个calc.exe进程，并且都无法结束他们。这些莫名其妙的进程是最近才出现的，用瑞星杀毒，扫描木马等都没有显示异常，但最近我的游戏帐号被盗了，而且连续被盗了两个，怀疑和这几个突然出现的可疑进程有关，请高手指点啊～～～～

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件: 日志.txt

用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。
7.将SREngLOG.log日志上传到论坛的反病毒/ 反流氓软件专区，链接地址：http://bbs.ikaka.com/showforum-28.aspx

当我进行扫描的时候，就只有一个IEXPLORE.EXE进程和一个calc.exe了。


[PID: 3820 / SYSTEM][D:\program files\internet explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [D:\WINDOWS\system32\kmon.dll]  [Beijing Rising Information Technology Co., Ltd., 1, 0, 0, 33]
    [G:\program\kaka\comx3.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.37]
    [G:\program\kaka\Syslay.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.6]
    [D:\WINDOWS\system32\GOOGLEPINYIN.IME]  [Google Inc., ]


[PID: 2224 / SYSTEM][D:\WINDOWS\system32\calc.exe]  [(Verified) Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [D:\WINDOWS\system32\kmon.dll]  [Beijing Rising Information Technology Co., Ltd., 1, 0, 0, 33]
    [G:\program\kaka\comx3.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.37]
    [G:\program\kaka\Syslay.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.6]
    [D:\WINDOWS\system32\GOOGLEPINYIN.IME]  [Google Inc., ]

文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["D:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]


其他的省略……

将整个日志都上报，现在这样信息不全

哦  好的  我已经把日志添加到附件了:default7:

日志显示calc.exe应该是正常的系统文件，是系统计算器程序。
d:\program files\common files\microsoft shared\msinfo\windows.exe
d:\windows\system32\drivers\oreans32.sys
d:\windows\system32\drivers\cimo.ahc
d:\windows\system32\drivers\askd.ahc
这几个文件可打包发送到可疑文件交流区进行鉴定。

:kaka1: 我也明白calc.exe是计算器程序，IEXPLORE.EXE是浏览器程序，我疑惑的是当时我并没有运行这两个程序啊，并且在进程管理器中无法结束这两个进程（有时候是3个）。:default8:
我看到日志中有：
[PID: 2224 / SYSTEM][D:\WINDOWS\system32\calc.exe]  [(Verified) Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [D:\WINDOWS\system32\kmon.dll]  [Beijing Rising Information Technology Co., Ltd., 1, 0, 0, 33]
    [G:\program\kaka\comx3.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.37]
    [G:\program\kaka\Syslay.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.6]
  :default8:  [D:\WINDOWS\system32\GOOGLEPINYIN.IME]  [Google Inc., ]:default8:

是不是calc.exe和谷歌输入法相关啊，可是谷歌输入法和calc.exe又有什么关系呢？:kaka3:

lz怀疑calc.exe是可疑文件，可以将calc.exe打包发送到可疑文件交流区进行鉴定。

启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：


[csrss.exe / csrss.exe][Stopped/Auto Start]
  <D:\Program Files\Common Files\Microsoft Shared\MSINFO\csrss.exe><(File is missing)>
[Windows_ / Windows_][Stopped/Auto Start]
  <D:\Program Files\Common Files\Microsoft Shared\MSINFO\Windows.exe><N/A>

远控木马:default3:

哇！！！真的是木马啊！！！

真太感谢啦！！！！  可是我是个菜鸟，能告诉我怎么操作么？  我不太会弄！

SRENG-启动项目 －－ 服务 －－ Win32服务应用程序之如下项禁用：


[csrss.exe / csrss.exe][Stopped/Auto Start]
  <D:\Program Files\Common Files\Microsoft Shared\MSINFO\csrss.exe><(File is missing)>
[Windows_ / Windows_][Stopped/Auto Start]
  <D:\Program Files\Common Files\Microsoft Shared\MSINFO\Windows.exe><N/A>


D:\Program Files\Common Files\Microsoft Shared\MSINFO\Windows.exe
用附件删除了完事

附件: 修改的2007年金-山-粉-碎-器.rar

附件: 3-6-0-文-件-粉-碎-器1.4版.rar

按照高手的指点，那两个进程已经没有啦~~~~居然是后门程序，多谢楼上的高手！！