【求助】ie进程以SYSTEM用户名自动运行

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】ie进程以SYSTEM用户名自动运行

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

2 / 2 页

跳转页

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2008-03-16 15:22 | 短消息资料

字号：小中大 11楼

引用:

【taikey的贴子】==================================
API HOOK
N/A

==================================
隐藏进程
[892] C:\WINDOWS\system32\scrc.exe

==================================

[/CODE]

扫描了一下果然这个文件师隐藏进程
我不会发附件 -.-
………………

C:\WINDOWS\system32\scrc.exe——————打包，加密，发上来撒～～～～～～～～～～～

taikey 自信弱冠狮帖子:384 注册: 2001-09-21 来自:	发表于： 2008-03-16 15:23 \| 只看楼主短消息资料字号：小中大 12楼附件里有scr.exe 和sabc.dll 两个文件我在瑞星可以文件上报也发了一份版主们有什么办法能解决下嘛？我先进安全模式删除下看看目前还没有发现有什么危害附件: 文件名:396402008316151155.rar 下载次数:145 文件类型:application/octet-stream 文件大小: 上传时间:2008-3-16 15:23:58 描述:
taikey 自信弱冠狮帖子:384 注册: 2001-09-21 来自:

大版主

帖子:72578
注册: 2003-04-10
来自:

发表于： 2008-03-16 15:39 | 短消息资料

字号：小中大 13楼

引用:

【taikey的贴子】附件里有scr.exe 和sabc.dll 两个文件我在瑞星可以文件上报也发了一份

版主们有什么办法能解决下嘛？我先进安全模式删除下看看
目前还没有发现有什么危害
………………

运行附件后，在system32目录下释放C:\windows\system32\scrc.exe。并无sabc.dll释放。
用IceSword查看进程列表，可见红色显示的隐藏进程C:\windows\system32\scrc.exe。
用IceSword的解决流程：

1、禁止进程创建。
2、结束下列进程：
C:\windows\system32\scrc.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
3、删除C:\windows\system32\scrc.exe。
4、清理注册表：
展开：HKLM\System\CurrentControlSet\Services
删除：Rsystem Procedure Call (RPCS) (指向C:\windows\system32\scrc.exe）

火影忍者横据古稀狮帖子:7855 注册: 2006-06-29 来自:火星	发表于： 2008-03-16 15:43 \| 短消息资料字号：小中大 14楼很强大，很效率...
火影忍者横据古稀狮帖子:7855 注册: 2006-06-29 来自:火星

taikey 自信弱冠狮帖子:384 注册: 2001-09-21 来自:	发表于： 2008-03-16 15:51 \| 只看楼主短消息资料字号：小中大 15楼进入安全模式后，删除了scrc.exe sabc.dll 正常进入系统没有IE自动启动的问题了有情况需要说明下，我是在打开一个REALPLAY的时候遇到IE窗口自动启动，提示IE不是默认浏览器的问题。觉得奇怪所以看了下任务管理器，发现里面有一个s2.exe进程,查找之后在C:\Documents and Settings\All Users这个文件夹下发现了s2.exe demo(0).exe demo(1).exe 还有一个没记住名字一共四个可以文件，随手删除了。后来在设备管理器看到IE以SYSTEM用户名运行，这才开始找问题的根源，用卡卡发现了sabc.dll被IE加载，然后在C:\WINDOWS\system32\下打开隐藏系统文件后，查看详细资料发现scrc.exe很可疑。感谢火影忍者天月来了给我的建议两个工具都很好用收藏了版主们还是费心看下吧这个病毒应该在我机器里有一周左右时间了，因为上次我下载视频的时候有个文件伪装的很好，我不小心点开了。感觉不妙之后马上断网，用瑞星和卡卡查了一遍，但是没有提示有病毒或者恶意插件，就没有在意。今天遇到这个问题，仔细想了一下，瑞星应该还是没有发现这个病毒，而且GOOGLE中搜索scrc.exe的相关也只有国外有少量英文相关。应该是个国外的新病毒吧
taikey 自信弱冠狮帖子:384 注册: 2001-09-21 来自:

taikey 自信弱冠狮帖子:384 注册: 2001-09-21 来自:	发表于： 2008-03-16 15:54 \| 只看楼主短消息资料字号：小中大 16楼谢谢 baohe 注册表差点忘记了～多谢～
taikey 自信弱冠狮帖子:384 注册: 2001-09-21 来自:

newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:	发表于： 2008-03-16 16:34 \| 短消息资料字号：小中大 17楼应该是个后门之类
newcenturymoon 社区嘉宾帖子:15158 注册: 2005-08-03 来自:

<<上一主题|下一主题>>

2 / 2 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】ie进程以SYSTEM用户名自动运行

【求助】ie进程以SYSTEM用户名自动运行

附件:

文件名:396402008316151155.rar 下载次数:145 文件类型:application/octet-stream 文件大小: ShowFormatBytesStr(990738); 上传时间:2008-3-16 15:23:58 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【求助】ie进程以SYSTEM用户名自动运行

文件名:396402008316151155.rar

下载次数:145

文件类型:application/octet-stream

文件大小:

上传时间:2008-3-16 15:23:58

描述: