瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件瑞星杀毒软件2011 请教关于calc.exe 进程 和 iexplore.exe 进程 的问题~很严重啊!

12   1  /  2  页   跳转

[已解决] 请教关于calc.exe 进程 和 iexplore.exe 进程 的问题~很严重啊!

请教关于calc.exe 进程 和 iexplore.exe 进程 的问题~很严重啊!

我很确定我没有运行这两个程序,可是瑞星防火墙和系统状态中却都显示有两个iexplore.exe进程和一个calc.exe进程,并且都无法结束他们。这些莫名其妙的进程是最近才出现的,用瑞星杀毒,扫描木马等都没有显示异常,但最近我的游戏帐号被盗了,而且连续被盗了两个,怀疑和这几个突然出现的可疑进程有关,请高手指点啊~~~~

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件附件:

文件名:日志.txt
下载次数:199
文件类型:text/plain
文件大小:
上传时间:2008-12-4 13:43:54
描述:txt

最后编辑万事达 最后编辑于 2008-12-09 10:27:54
分享到:
gototop
 

回复:请教关于calc.exe 进程 和 iexplore.exe 进程 的问题~很严重啊!

用System Repair Engineer扫描日志,将日志作为附件上传上来。
下载页面:http://www.kztechs.com/sreng/download.html
操作方法:
1、下载后解压缩,运行SREngPS.EXE;
2、如果无法打开尝试把SREngPS.EXE改名为123.com,并复制到c:\windows目录下运行;
3、依次点击【智能扫描】-【扫描】,耐心等待,扫描结束后点击【保存报告】;
4、选择保存路径,文件名保持默认,直接点击【保存】;
5、打开保存的日志文件SREngLOG.log,完整复制全部内容,新建一个文本文档,将日志中的全部内容粘贴到“新建文本文档.txt”中;
6、将“新建文本文档.txt”作为附件上传,同时务必详细描述问题现象,如果有查杀不净的病毒务必提供病毒名和路径。
注意:扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序。
7.将SREngLOG.log日志上传到论坛的反病毒/ 反流氓软件专区,链接地址:http://bbs.ikaka.com/showforum-28.aspx
gototop
 

回复: 我看到了这样的进程信息

当我进行扫描的时候,就只有一个IEXPLORE.EXE进程和一个calc.exe了。


[PID: 3820 / SYSTEM][D:\program files\internet explorer\IEXPLORE.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [D:\WINDOWS\system32\kmon.dll]  [Beijing Rising Information Technology Co., Ltd., 1, 0, 0, 33]
    [G:\program\kaka\comx3.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.37]
    [G:\program\kaka\Syslay.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.6]
    [D:\WINDOWS\system32\GOOGLEPINYIN.IME]  [Google Inc., ]


[PID: 2224 / SYSTEM][D:\WINDOWS\system32\calc.exe]  [(Verified) Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [D:\WINDOWS\system32\kmon.dll]  [Beijing Rising Information Technology Co., Ltd., 1, 0, 0, 33]
    [G:\program\kaka\comx3.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.37]
    [G:\program\kaka\Syslay.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.6]
    [D:\WINDOWS\system32\GOOGLEPINYIN.IME]  [Google Inc., ]

文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["D:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\system32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]


其他的省略……
最后编辑我有疑惑 最后编辑于 2008-12-04 12:37:02
gototop
 

回复:请教关于calc.exe 进程 和 iexplore.exe 进程 的问题~很严重啊!

将整个日志都上报,现在这样信息不全
gototop
 

回复 4F sinoer 的帖子

哦  好的  我已经把日志添加到附件了
gototop
 

回复:请教关于calc.exe 进程 和 iexplore.exe 进程 的问题~很严重啊!

日志显示calc.exe应该是正常的系统文件,是系统计算器程序。
d:\program files\common files\microsoft shared\msinfo\windows.exe
d:\windows\system32\drivers\oreans32.sys
d:\windows\system32\drivers\cimo.ahc
d:\windows\system32\drivers\askd.ahc
这几个文件可打包发送到可疑文件交流区进行鉴定。
gototop
 

回复 6F networkedition 的帖子

我也明白calc.exe是计算器程序,IEXPLORE.EXE是浏览器程序,我疑惑的是当时我并没有运行这两个程序啊,并且在进程管理器中无法结束这两个进程(有时候是3个)。
我看到日志中有:
[PID: 2224 / SYSTEM][D:\WINDOWS\system32\calc.exe]  [(Verified) Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [D:\WINDOWS\system32\kmon.dll]  [Beijing Rising Information Technology Co., Ltd., 1, 0, 0, 33]
    [G:\program\kaka\comx3.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.37]
    [G:\program\kaka\Syslay.dll]  [Beijing Rising Information Technology Co., Ltd., 21.0.0.6]
    [D:\WINDOWS\system32\GOOGLEPINYIN.IME]  [Google Inc., ]

是不是calc.exe和谷歌输入法相关啊,可是谷歌输入法和calc.exe又有什么关系呢?
gototop
 

回复 7F 我有疑惑 的帖子

lz怀疑calc.exe是可疑文件,可以将calc.exe打包发送到可疑文件交流区进行鉴定。
gototop
 

回复:请教关于calc.exe 进程 和 iexplore.exe 进程 的问题~很严重啊!

启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:


[csrss.exe / csrss.exe][Stopped/Auto Start]
  <D:\Program Files\Common Files\Microsoft Shared\MSINFO\csrss.exe><(File is missing)>
[Windows_ / Windows_][Stopped/Auto Start]
  <D:\Program Files\Common Files\Microsoft Shared\MSINFO\Windows.exe><N/A>

远控木马
gototop
 

回复: 请教关于calc.exe 进程 和 iexplore.exe 进程 的问题~很严重啊!

哇!!!真的是木马啊!!!

真太感谢啦!!!!  可是我是个菜鸟,能告诉我怎么操作么?  我不太会弄!
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT