这是病毒吗？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛这是病毒吗？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3 4

1 / 4 页

跳转页

[已解决] 这是病毒吗？

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-13 20:10 \| 只看楼主短消息资料字号：小中大 1楼这是病毒吗？截图4.JPG (19.14 K) 2008-11-13 20:09:41 今天QQ医生可疑文件扫描出了四个可疑文件，kk也有可疑进程，要不要删掉呢？瑞星完全查不出来！那天去问进程，已有人问过了http://bbs.ikaka.com/showtopic-8566287.aspx 截图3.jpg (43.70 K) 2008-11-13 20:09:41 可就是瑞星查不出来，现在扫描日志上传了，分析一下是不是毒吧。而QQ医生查出的要不要删掉呢？用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ) 附件: 文件名:SREngLOG.log 下载次数:237 文件类型:application/octet-stream 文件大小: 上传时间:2008-11-13 22:23:15 描述:log Find皮卡丘最后编辑于 2008-11-15 16:19:02
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	分享到：

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2008-11-13 20:42 \| 短消息资料字号：小中大 2楼回复: 这是病毒吗？点击下载 System Repair Engineer 1 、解压缩sreng2.zip 2、运行SREngldr.exe 3 、智能扫描=》扫描=》保存报告 4 、将日志以附件方式上传。打酱油的……
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-14 18:23 \| 只看楼主短消息资料字号：小中大 3楼回复: 这是病毒吗？没人帮忙吗？再提供一点线索，kk里有几个奇怪注册表信息 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Logon HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Logon HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Shell HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Shell HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run + RTHDCPL Realtek HD Audio Control Panel Realtek Semiconductor Corp. C:\WINDOWS\RTHDCPL.EXE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce C:\Documents and Settings\All Users\「开始」菜单\程序\启动 C:\Documents and Settings\Administrator\「开始」菜单\程序\启动 + QQ游戏启动加速程序.lnk 提升游戏大厅启动速度，极速畅游QQ游戏世界深圳市腾讯计算机系统有限公司 C:\PROGRA~1\TENCENT\QQGAME\ACCEL.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run C:\WINDOWS\WIN.INI C:\WINDOWS\SYSTEM.INI HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Protocols\Filter HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Protocols\Handler HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components + 0 ABOUT:HOME.EXE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved + 显示摇曳 CPL 扩展 DESKPAN.DLL + Shell Scrap DataHandler Shell scrap object handler Microsoft Corporation C:\WINDOWS\SYSTEM32\SHSCRAP.DLL + Directory Query UI Directory Service Find Microsoft Corporation C:\WINDOWS\SYSTEM32\DSQUERY.DLL + Shell properties for a DS object Directory Service Find Microsoft Corporation C:\WINDOWS\SYSTEM32\DSQUERY.DLL + Directory Object Find Directory Service Find Microsoft Corporation C:\WINDOWS\SYSTEM32\DSQUERY.DLL + Directory Start/Search Find Directory Service Find Microsoft Corporation C:\WINDOWS\SYSTEM32\DSQUERY.DLL + Cab 文件 Cabinet File Viewer Shell Extension Microsoft Corporation C:\WINDOWS\SYSTEM32\CABVIEW.DLL + WinRAR C:\PROGRAM FILES\WINRAR\RAREXT.DLL HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\Shellex\ColumnHandlers HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects + IcbcBho Class 中国工商银行IE工具栏中国工商银行 C:\PROGRAM FILES\中国工商银行\工行IE浏览器安全插件\ICBCTOOLBAR.DLL HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar + 工行工具栏中国工商银行IE工具栏中国工商银行 C:\PROGRAM FILES\中国工商银行\工行IE浏览器安全插件\ICBCTOOLBAR.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions + 启动迅雷5 Thunder Networking Technologies,LTD C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\THUNDER.EXE HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions + HTTP://WWW.YLMF.COM/INDEX.HTM 计划任务 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services(Drivers) + IntcAzAudAddService Realtek(r) High Definition Audio Function Driver Realtek Semiconductor Corp. C:\WINDOWS\SYSTEM32\DRIVERS\RTKHDAUD.SYS + JGOGO SCSI Port upper filter driver JMicron C:\WINDOWS\SYSTEM32\DRIVERS\JGOGO.SYS + nv NVIDIA Compatible Windows 2000 Miniport Driver, Version 163.75 NVIDIA Corporation C:\WINDOWS\SYSTEM32\DRIVERS\NV4_MINI.SYS + nvrd32 NVIDIA? nForce(TM) RAID Driver NVIDIA Corporation C:\WINDOWS\SYSTEM32\DRIVERS\NVRD32.SYS + presafe C:\WINDOWS\SYSTEM32\DRIVERS\PRESAFE.SYS + Tcpip TCP/IP Protocol Driver Microsoft Corporation C:\WINDOWS\SYSTEM32\DRIVERS\TCPIP.SYS HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\BootExecute HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor\AutoRun HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor\AutoRun HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BootVerificationProgram\ImageName HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Authentication Packages
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-11-14 18:35 \| 短消息资料字号：小中大 4楼回复：这是病毒吗？病毒服务 [Portable Media Serial Number Service / WmdmPmSN][Running/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\wmdmpmsvc.dll><N/A> 病毒文件 C:\WINDOWS\System32\wmdmpmsvc.dll 被替换的系统文件 C:\WINDOWS\system32\taskmagr.exe
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-14 22:35 \| 只看楼主短消息资料字号：小中大 5楼回复 4F aaccbbdd 的帖子 http://bbs.ikaka.com/showtopic-8566301.aspx里已说taskmagr.exe 不是系统进程（非任务管理器），现在要做什么？先结束进程再把QQ医生里的4个文件删掉吗？
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-11-14 22:43 \| 短消息资料字号：小中大 6楼回复：这是病毒吗？启动项目－－服务－－ Win32服务应用程序之如下项禁用： [Portable Media Serial Number Service / WmdmPmSN][Running/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\wmdmpmsvc.dll><N/A> 看错了 taskmagr.exe不是taskmgr.exe 附件解压后运行，粉碎文件： C:\WINDOWS\System32\wmdmpmsvc.dll C:\WINDOWS\system32\taskmagr.exe 附件: 文件名:c-_j_-x-_j.rar 下载次数:225 文件类型:application/rar 文件大小: 上传时间:2008-11-14 22:43:58 描述:rar 附件: 文件名:3-6-0-文-件-粉-碎-器1.4版.rar 下载次数:249 文件类型:application/rar 文件大小: 上传时间:2008-11-14 22:43:58 描述:rar
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-15 13:47 \| 只看楼主短消息资料字号：小中大 7楼回复：这是病毒吗？严重问题啊！服务禁止了，粉碎时蓝屏，重启4个文件还在，是不是要勾选禁止文件再次生成？而且windows防火墙不断提示IE，是不是注册表中HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components + 0 ABOUT:HOME.EXE 这段出问题了？快帮我吧
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-11-15 13:48 \| 短消息资料字号：小中大 8楼回复 7F Find皮卡丘的帖子新日志看看病毒都变得顽固了？。。。。。为了高效解决问题，请配合 1.扫日志前建议清理助手清理系统 http://www.arswp.com/download.html 解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作如清理无效 2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序 3.到官方下载SReng 下载地址 http://www.kztechs.com/sreng/download.html SREng/智能扫描(记得勾选“检查进程的数字签名) 等扫描完成,保存日志(LOG格式) PS：如主程序SREng.exe无法运行,导致无法扫描日志将主程序改名为小狮子.bat 或小狮子.scr 4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志下载金山清理专家 http://www.duba.net/qing/ 金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告 5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛**.已发帖请跟贴，勿另开新帖。如以上工具不能打开或正常运行，短消息call我
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-15 14:01 \| 只看楼主短消息资料字号：小中大 9楼回复：这是病毒吗？有一个木马类程序和未知的风险软件，删不删？
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-11-15 14:12 \| 短消息资料字号：小中大 10楼回复：这是病毒吗？？清理助手提示的？删除
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

<<上一主题|下一主题>>

12 3 4

1 / 4 页

跳转页

页面顶部

Powered by Discuz!NT