最近出现的流氓木马为什么放不住？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛最近出现的流氓木马为什么放不住？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

最近出现的流氓木马为什么放不住？

快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:	发表于： 2006-07-06 09:04 \| 只看楼主短消息资料字号：小中大 1楼最近出现的流氓木马为什么放不住？ 6.26日首次被灌，一堆ie插件。信任瑞星，杀毒，清理注册表、清理临时文件，继续上网。 7.4日再次被灌，这次不行了。找了木马克星。现在开机后，打开任何目录/资源管理器/ie窗口，木马克星都在报system32目录下netsend.exe.tmp新建，是否删除. 注：7.4日修复的时候，system32下已经有netsend.exe，删除。安装防火墙，打开任何目录，都有向外连接网络的要求。请问瑞星监控都在做什么？还有没有用处？明显是个病毒啊，怎么不报？ 2006-07-25 11:38:31
快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:	分享到：

快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:	发表于： 2006-07-06 09:38 \| 只看楼主短消息资料字号：小中大 2楼查看7.4日system32下文件生成日期，最早是个XXclient.exe，后面就是拉来的一堆.dll，难道client程序瑞星也放过？
快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:

快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:	发表于： 2006-07-06 11:47 \| 只看楼主短消息资料字号：小中大 3楼怎么没有人回答？
快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:

快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:	发表于： 2006-07-06 14:15 \| 只看楼主短消息资料字号：小中大 4楼 Trojan.Clicker.Agent.abu 删除成功 2006-07-06 07:22 文件监控 C:\WINNT\system32 netsend.exe Trojan.Clicker.Agent.abu 删除成功 2006-07-06 07:34 文件监控 C:\WINNT\system32 netsend.exe.tmp Trojan.Clicker.Agent.abu 删除成功 2006-07-06 07:44 文件监控 C:\WINNT\system32 netsend.exe.tmp Trojan.Clicker.Agent.abu 删除成功 2006-07-06 07:59 文件监控 C:\WINNT\system32 netsend.exe.tmp Trojan.Clicker.Agent.abu 删除成功 2006-07-06 08:00 文件监控 C:\WINNT\system32 netsend.exe.tmp Trojan.Clicker.Agent.abu 删除成功 2006-07-06 08:13 文件监控 C:\WINNT\system32 netsend.exe.tmp Trojan.Clicker.Agent.abu 删除成功 2006-07-06 08:28 文件监控 C:\WINNT\system32 netsend.exe.tmp Trojan.Clicker.Agent.abu 删除成功 2006-07-06 08:58 文件监控 C:\WINNT\system32 netsend.exe.tmp Trojan.Clicker.Agent.abu 删除成功 2006-07-06 09:36 文件监控 C:\WINNT\system32 netsend.exe.tmp Trojan.Clicker.Agent.abu 删除成功 2006-07-06 10:21 文件监控 C:\WINNT\system32 netsend.exe.tmp Trojan.Clicker.Agent.abu 删除成功 2006-07-06 10:41 文件监控 C:\WINNT\system32 netsend.exe.tmp Trojan.Clicker.Agent.abu 删除成功 2006-07-06 11:03 文件监控 C:\WINNT\system32 netsend.exe.tmp Trojan.Clicker.Agent.abu 删除成功 2006-07-06 11:31 文件监控 C:\WINNT\system32 netsend.exe.tmp Trojan.Clicker.Agent.abu 删除成功 2006-07-06 11:39 文件监控 C:\WINNT\system32 netsend.exe.tmp Trojan.Clicker.Agent.abu 删除成功 2006-07-06 13:34 文件监控 C:\WINNT\system32
快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:

快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:	发表于： 2006-07-06 14:21 \| 只看楼主短消息资料字号：小中大 5楼怎么现在的监控没有提示了？
快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:

快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:	发表于： 2006-07-06 14:53 \| 只看楼主短消息资料字号：小中大 6楼看样子是今天的版本刚解决。我是中午升级。这个病毒是5日升级的版本能杀，上午一直在线，出现这么多次监控记录，没杀干净。中午升级了，下午就只有开机的一次监控记录。不过打开目录、资源管理器仍然试图连接网络（被防火墙拦截）。看来还是有问题啊。
快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:

快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:	发表于： 2006-07-06 14:56 \| 只看楼主短消息资料字号：小中大 7楼
快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2006-07-06 14:57 \| 短消息资料字号：小中大 8楼 http://forum.ikaka.com/topic.asp?board=28&artid=8105899 下载HijackThis...把日志帖上来..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:	发表于： 2006-07-06 15:17 \| 只看楼主短消息资料字号：小中大 9楼谢谢。 HijackThis_815汉化版扫描日志 V1.99.1 保存于 15:07:38, 日期 2006-7-6 操作系统： Windows 2000 SP4 (WinNT 5.00.2195) 浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106) 当前运行的进程： C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Program Files\rising\Rav\CCenter.exe C:\Program Files\rising\Rav\Ravmond.exe C:\WINNT\system32\LEXBCES.EXE C:\WINNT\system32\LEXPPS.EXE C:\WINNT\System32\svchost.exe C:\WINNT\system32\mgabg.exe C:\Program Files\rising\Rav\RavStub.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\MsPMSPSv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\Program Files\rising\Rav\RavTask.exe C:\Program Files\rising\Rav\Ravmon.exe C:\Program Files\SkyNet\FireWall\PFWmain.exe D:\Program Files\Iparmor\Iparmor.exe C:\Program Files\FBNClient\FBNClient\fbnClient.exe C:\Program Files\Internet Explorer\iexplore.exe C:\WINNT\system32\conime.exe C:\Tools\hijackthis\HijackThis1991zww.exe F2 - REG:system.ini: UserInit=userinit.exe, O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: IEHlprObj Class - {BA623AA0-9A82-4d0c-944C-0228CEA17780} - C:\Progra~1\Messenger\msgsf.dll O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\rising\Rav\RavTask.exe" -system O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFWmain.exe O4 - 启动项HKLM\\Run: [iparmor] D:\Program Files\Iparmor\Iparmor.exe mini O8 - IE右键菜单中的新增项目: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - C:\Program Files\Tencent\qq\AddToNetDisk.htm O8 - IE右键菜单中的新增项目: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html O8 - IE右键菜单中的新增项目: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\qq\AddPanel.htm O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\qq\AddEmotion.htm O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\qq\SendMMS.htm O14 - IERESET.INF: SEARCH_PAGE_URL= O14 - IERESET.INF: START_PAGE_URL= O17 - HKLM\System\CCS\Services\Tcpip\..\{6B1987D0-92FE-4889-B47F-40B70372205C}: NameServer = 219.232.48.61,202.106.196.115 O17 - HKLM\System\CS1\Services\Tcpip\..\{6B1987D0-92FE-4889-B47F-40B70372205C}: NameServer = 219.232.48.61,202.106.196.115 O17 - HKLM\System\CS2\Services\Tcpip\..\{6B1987D0-92FE-4889-B47F-40B70372205C}: NameServer = 219.232.48.61,202.106.196.115 O20 - AppInit_DLLs: APIHookDll.dll O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - NT 服务: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE O23 - NT 服务: MGABGEXE - Matrox Graphics Inc. - C:\WINNT\system32\mgabg.exe O23 - NT 服务: PDEngine - Unknown owner - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe O23 - NT 服务: PDScheduler (PDSched) - Unknown owner - C:\Program Files\Raxco\PerfectDisk\PDSched.exe O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - NT 服务: WINS Client (RpcPatch) - Unknown owner - C:\WINNT\System32\wins\DLLHOST.EXE (file missing) O23 - NT 服务: Network Connections Sharing (RpcTftpd) - Unknown owner - C:\WINNT\System32\wins\svchost.exe (file missing) O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\rising\Rav\CCenter.exe O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\rising\Rav\Ravmond.exe
快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:

快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:	发表于： 2006-07-06 15:19 \| 只看楼主短消息资料字号：小中大 10楼现在挂着瑞星监控、木马克星、天网防火墙，还开着2个ie窗口。能看到的就这些了
快倒闭了吧初生襁褓狮帖子:21 注册: 2006-07-06 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT