问题始末:
在一次木马清除大师升级后,木马清除大师出现不稳定情况,鼠标在该程序上出现漏斗状闪烁,在木马清除大师的进程表中出现了两个该程序的exe文件,每当宽带上网后,就出现这种情况,断网后,该程序恢复正常,联网后,发现出现大量远程连接,断网后,远程连接消失。用木马清除大师扫描后,它删除了AU_.exe文件,说它是木马。而且出现了一些莫名其妙的情况,会忽然弹出窗口说IE的什么什么问题,某些程序会忽然关闭。我想,当时的木马清除大师已经给人搞定了!我只好卸载木马清除大师,卸载后发现联网后的大量远程连接消失,仿佛恢复了正常,但是某些程序还是出现了忽然关闭的情况。用卡卡的查看网络连接,发现瑞星的rfwproxy.exe连接远程地址,地址IP解释为:jp-in-f104.google.com:80;155.9.143.61.broad.jm.gd.dynamic.163data.com.cn:80;pq-in-f104.google.com:80;
可以怀疑,是不是电脑伴随启动了某些间谍软件,使某些程序突然关闭!电脑联网后,自动连接到某些网站,发去一些本电脑的一些信息!所以会忽然出现陌生的远程地址!!!
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
没了这个lanmanserver项???
却只有lanmanworkstation这个项目!这是干什么的啊??
木马清除大师在去世前删除了AU_.exe文件,而这个AU_.exe文件做了以下动作:
删 除 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGX7.DLL
创建 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGX7.DLL
删 除 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGX7.DLL
删 除 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXPR7.DLL
创建 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXPR7.DLL
删 除 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXPR7.DLL
删 除 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXR7.DLL
创建 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXR7.DLL
删 除 2008-5-5 11:28 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXR7.DLL
删 除 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXRA7.DLL
创建 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXRA7.DLL
删 除 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\IMAGXRA7.DLL
删 除 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\NEROCO.DLL
创建 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\NEROCO.DLL
删 除 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\NEROCO.DLL
删 除 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\TWNLIB4.DLL
创建 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\TWNLIB4.DLL
删 除 2008-5-5 11:29 C:\DOCUME~1\DYINGH~1\LOCALS~1\TEMP\~NSU.TMP\AU_.EXE C:\WINDOWS\SYSTEM32\TWNLIB4.DLL
木马清除大师给人搞定了,这是最大的嫌疑!!!!
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.2)