[] - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 []

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

123

2 / 3 页

跳转页

[已关闭] []

SonicWizard 初生襁褓狮帖子:28 注册: 2007-07-11 来自:	发表于： 2007-08-07 08:55 \| 只看楼主短消息资料字号：小中大 11楼谁能告诉我怎么办啊？
SonicWizard 初生襁褓狮帖子:28 注册: 2007-07-11 来自:

tankk 自信弱冠狮帖子:469 注册: 2007-02-05 来自:	发表于： 2007-08-07 09:28 \| 短消息资料字号：小中大 12楼个人意见,删除: 驱动程序 [1myv / 1myv][Stopped/Disabled] <\??\C:\WINDOWS\system32\drivers\1myv.sys><N/A> [ujp4 / ujp4u][Running/Boot Start] <\SystemRoot\System32\DRIVERS\ujp4u.sys><N/A> 删除文件: C:\WINDOWS\system32\4yju.dll 疑似: C:\WINDOWS\HKNTDLL.dll
tankk 自信弱冠狮帖子:469 注册: 2007-02-05 来自:

自信弱冠狮

帖子:469
注册: 2007-02-05
来自:

发表于： 2007-08-07 09:30 | 短消息资料

字号：小中大 13楼

引用:

【SonicWizard的贴子】后面的就没问题了
一直感觉看日志是挺麻烦的事
我的日志怎么这么长啊？
………………

建议你把剩下的日志帖完.

SonicWizard 初生襁褓狮帖子:28 注册: 2007-07-11 来自:	发表于： 2007-08-07 09:32 \| 只看楼主短消息资料字号：小中大 14楼 1myv.sys以前已经删了 C:\WINDOWS\HKNTDLL.dll很早就存在了，不过好像没什么可疑行为
SonicWizard 初生襁褓狮帖子:28 注册: 2007-07-11 来自:

tankk 自信弱冠狮帖子:469 注册: 2007-02-05 来自:	发表于： 2007-08-07 09:39 \| 短消息资料字号：小中大 15楼 HKNTDLL.dll我也不是很清楚.不过看他插入很多进程. C:\WINDOWS\system32\4yju.dll删了么???
tankk 自信弱冠狮帖子:469 注册: 2007-02-05 来自:

SonicWizard 初生襁褓狮帖子:28 注册: 2007-07-11 来自:	发表于： 2007-08-07 09:41 \| 只看楼主短消息资料字号：小中大 16楼 ================================== 文件关联 .TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .EXE OK. ["%1" %] .COM OK. ["%1" %] .PIF OK. ["%1" %] .REG OK. [regedit.exe "%1"] .BAT OK. ["%1" %] .SCR OK. ["%1" /S] .CHM OK. ["C:\WINDOWS\hh.exe" %1] .HLP OK. [%SystemRoot%\system32\winhlp32.exe %1] .INI OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .INF OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .JS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .LNK OK. [{00021401-0000-0000-C000-000000000046}] ================================== Winsock 提供者 N/A ================================== Autorun.inf N/A ================================== HOSTS 文件 127.0.0.1 localhost ================================== 进程特权扫描特殊特权被允许： SeLoadDriverPrivilege [PID = 888, C:\WINDOWS\LHOTKEY.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 1032, C:\WINDOWS\VM_STI.EXE] 特殊特权被允许： SeLoadDriverPrivilege [PID = 2812, D:\PROGRAM FILES\TENCENT\QQ\QZONE\QZONE.EXE] ================================== API HOOK RVA 错误： LoadLibraryA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： LoadLibraryExA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： LoadLibraryW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) RVA 错误： GetProcAddress (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys) ================================== 隐藏进程 N/A ================================== [/CODE] 除了卡巴的klif.sys之外没什么问题吧？
SonicWizard 初生襁褓狮帖子:28 注册: 2007-07-11 来自:

tankk 自信弱冠狮帖子:469 注册: 2007-02-05 来自:	发表于： 2007-08-07 09:46 \| 短消息资料字号：小中大 17楼【回复“SonicWizard”的帖子】我想可能没什么问题
tankk 自信弱冠狮帖子:469 注册: 2007-02-05 来自:

SonicWizard 初生襁褓狮帖子:28 注册: 2007-07-11 来自:	发表于： 2007-08-07 10:01 \| 只看楼主短消息资料字号：小中大 18楼刚看了一下用卡卡把ujp4u.sys的驱动删不掉然后用SREng删了不知道重启了还在不昨晚上用SREng把ujp4u.sys的启动模式给改了结果今天一看又变成原样了真怕SRENG把它干不掉啊
SonicWizard 初生襁褓狮帖子:28 注册: 2007-07-11 来自:

SonicWizard 初生襁褓狮帖子:28 注册: 2007-07-11 来自:	发表于： 2007-08-07 15:56 \| 只看楼主短消息资料字号：小中大 19楼 SREng没办法删除驱动。现在还能用SREng在驱动里面看到ujp4u.sys 但是已经用冰刃删掉了ujp4u.sys和4yju.dll 这是为什么呢？会不会是没杀干净呢？
SonicWizard 初生襁褓狮帖子:28 注册: 2007-07-11 来自:

自信弱冠狮

帖子:469
注册: 2007-02-05
来自:

发表于： 2007-08-07 16:29 | 短消息资料

字号：小中大 20楼

引用:

【SonicWizard的贴子】SREng没办法删除驱动。现在还能用SREng在驱动里面看到ujp4u.sys
但是已经用冰刃删掉了ujp4u.sys和4yju.dll
这是为什么呢？会不会是没杀干净呢？
………………

现在你重起看还在不在 ???

<<上一主题|下一主题>>

123

2 / 3 页

跳转页