机器里突然出现新的程序，但查不出毒怎么办？（传日志了，帮我看看） - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛机器里突然出现新的程序，但查不出毒怎么办？（传日志了，帮我看看）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

机器里突然出现新的程序，但查不出毒怎么办？（传日志了，帮我看看）

calendudu 初生襁褓狮帖子:12 注册: 2006-06-13 来自:	发表于： 2006-06-13 14:28 \| 只看楼主短消息资料字号：小中大 1楼机器里突然出现新的程序，但查不出毒怎么办？（传日志了，帮我看看）今天早上开机，出现文本提示——有部分文档被删除，内容如下： 1. 你的硬盘资料丢失了，是因为手机的强电磁流影响了硬盘的正常读写 2. 你必须使用磁盘修复工具拯救找回丢失的资料文件 3. 但是，你正在使用的不是正版软件，是盗版 4. 你必须拯救修复丢失的资料，并且尽快购买正版的软件， 5. 点击左下角 [ 开始 ], 点击 [ 所有程序 ], 点击 [ 附件 ], 点击 [ 修复硬盘资料 ] 6. 为了确保你能尽快修复全部资料，必须在两小时内迅速办理, 7. 按以上方法做的，一定能修复的资料包括:...... （所涉及的文档真的不见了。）提示恢复需要执行程序－附件中“修复磁盘资料”程序。我查了一下，这个程序是昨天16：54分创建的（我17：03关机没有注意到）用已经使用最新版本的瑞星查过了，没有疑似病毒。现有的文件我已经备份了。下一步该怎么办？用什么办法？等回复！！！！ 2006-06-14 09:39:22.733000000
calendudu 初生襁褓狮帖子:12 注册: 2006-06-13 来自:	分享到：

calendudu 初生襁褓狮帖子:12 注册: 2006-06-13 来自:	发表于： 2006-06-13 14:29 \| 只看楼主短消息资料字号：小中大 2楼修复磁盘资料的位置在C:\WINDOWS\system32\Redplus.exe
calendudu 初生襁褓狮帖子:12 注册: 2006-06-13 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2006-06-13 14:33 \| 短消息资料字号：小中大 3楼参考http://bbs.hzva.org/viewthread.php?tid=10365&fpage=1 还有http://bbs.hzva.org/viewthread.php?tid=17104&fpage=1
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

calendudu 初生襁褓狮帖子:12 注册: 2006-06-13 来自:	发表于： 2006-06-13 14:53 \| 只看楼主短消息资料字号：小中大 4楼多谢，我去看看
calendudu 初生襁褓狮帖子:12 注册: 2006-06-13 来自:

calendudu 初生襁褓狮帖子:12 注册: 2006-06-13 来自:	发表于： 2006-06-13 15:25 \| 只看楼主短消息资料字号：小中大 5楼正在恢复中～还有个问题：怎样找到黑客事先植入远程控制软件/后门，防止再次入侵. （都已经查过了，我找不到问题所在，应该用什么工具？）
calendudu 初生襁褓狮帖子:12 注册: 2006-06-13 来自:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-06-13 15:26 \| 短消息资料字号：小中大 6楼扫个HijackThis ... http://forum.ikaka.com/topic.asp?board=28&artid=8105899 下载HijackThis...把日志帖上来..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

laopang 社区嘉宾帖子:843 注册: 2002-07-11 来自:	发表于： 2006-06-13 17:58 \| 短消息资料字号：小中大 7楼 http://smallmo.bokee.com/5188956.html 瑞星18.31.12已经可以查了
laopang 社区嘉宾帖子:843 注册: 2002-07-11 来自:

calendudu 初生襁褓狮帖子:12 注册: 2006-06-13 来自:	发表于： 2006-06-14 09:39 \| 只看楼主短消息资料字号：小中大 8楼谢谢各位大侠，文件都已经恢复了用hijack扫过了，请帮忙看看日志（我完全不懂这个） HijackThis_815汉化版扫描日志 V1.99.1 保存于 9:24:15, 日期 2006-6-14 操作系统： Windows XP SP2 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe D:\Program Files\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe D:\Program Files\Rising\Rav\Ravmond.exe d:\program files\rising\rfw\rfwsrv.exe C:\WINDOWS\system32\spoolsv.exe D:\Program Files\Rising\Rav\RavStub.exe C:\WINDOWS\Explorer.EXE d:\program files\rising\rfw\RfwMain.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe C:\3G-FAX数码传真机\Monclt.exe D:\Program Files\Rising\Rav\RavTask.exe C:\WINDOWS\system32\CSPContext.exe C:\WINDOWS\system32\ctfmon.exe D:\Program Files\Rising\Rav\Ravmon.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\System32\svchost.exe D:\Program Files\Rising\Rav\RsAgent.exe C:\WINDOWS\msagent\AgentSvr.exe C:\WINDOWS\system32\conime.exe D:\hijack\HijackThis1991zww.exe O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE O4 - 启动项HKLM\\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent O4 - 启动项HKLM\\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload O4 - 启动项HKLM\\Run: [TgfMonclt] C:\3G-FAX数码传真机\Monclt.exe O4 - 启动项HKLM\\Run: [RavTask] "D:\Program Files\Rising\Rav\RavTask.exe" -system O4 - 启动项HKLM\\Run: [RfwMain] "D:\Program Files\Rising\Rfw\rfwmain.exe" -Startup O4 - 启动项HKLM\\Run: [CSMContext] C:\WINDOWS\system32\CSMContext.exe O4 - 启动项HKLM\\Run: [CSPContext] C:\WINDOWS\system32\CSPContext.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: 拯救硬盘.txt O8 - IE右键菜单中的新增项目: 使用迅雷下载 - D:\Program Files\迅雷 5.1.5.189 去广告优化绿色版\geturl.htm O8 - IE右键菜单中的新增项目: 使用迅雷下载全部链接 - D:\Program Files\迅雷 5.1.5.189 去广告优化绿色版\getallurl.htm O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.foundertech.com O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - NT 服务: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwproxy.exe O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\CCenter.exe O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\Ravmond.exe
calendudu 初生襁褓狮帖子:12 注册: 2006-06-13 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT