瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 很麻煩,頭疼,查不出是什麼病毒!

12   2  /  2  页   跳转

[求助] 很麻煩,頭疼,查不出是什麼病毒!

收藏
winnersky
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2008-07-24
  • 来自:
发表于: 2009-01-02 16:56 | 短消息 资料
字号: 11楼

回复:很麻煩,頭疼,查不出是什麼病毒!

就這台裝了,其他電腦都沒裝
gototop
 
winnersky
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2008-07-24
  • 来自:
发表于: 2009-01-03 09:08 | 短消息 资料
字号: 12楼

回复:很麻煩,頭疼,查不出是什麼病毒!

沒人知道是怎麼回事?
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-01-03 09:36 | 短消息 资料
字号: 13楼

回复:很麻煩,頭疼,查不出是什麼病毒!

下面这些在其他电脑也有吗?我不认识
启动项目
注册表
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><C:\WINDOWS\TRAVEL~1.SCR>  []

==================================
驱动程序
[acernbm / acernbm][Running/Auto Start]
  <\SystemRoot\system32\drivers\acernbm.sys><N/A>

==================================
正在运行的进程
    [C:\WINDOWS\TEMP\wmsetup.dll]  [N/A, ]
    [C:\DOCUME~1\acer\LOCALS~1\Temp\wmsetup.dll]  [N/A, ]

==================================
文件关联
.TXT  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\acer.vbs" %1 %* ]
.REG  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\acer.vbs" %1 %* ]
.CHM  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\acer.vbs" %1 %* ]
.HLP  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\acer.vbs" %1 %* ]
gototop
 
winnersky
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2008-07-24
  • 来自:
发表于: 2009-01-03 10:41 | 短消息 资料
字号: 14楼

回复:很麻煩,頭疼,查不出是什麼病毒!

樓上的兄弟,你貼的這些不是在我的log裡的啊
你跟其他貼弄錯了吧
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-01-03 10:45 | 短消息 资料
字号: 15楼

回复:很麻煩,頭疼,查不出是什麼病毒!

呵呵!!

我看的是你七楼的日志呀

那日志不是你的
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-01-03 10:51 | 短消息 资料
字号: 16楼

回复:很麻煩,頭疼,查不出是什麼病毒!

6楼日志去看了

未看出什么

靠日志难以帮你了
gototop
 
winnersky
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2008-07-24
  • 来自:
发表于: 2009-01-03 11:51 | 短消息 资料
字号: 17楼

回复:很麻煩,頭疼,查不出是什麼病毒!

有一點發現
每次自動更新服務被停止前有一個可疑服務被啟動
稍後截圖請各位幫忙看看
gototop
 
winnersky
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2008-07-24
  • 来自:
发表于: 2009-01-03 12:55 | 短消息 资料
字号: 18楼

回复:很麻煩,頭疼,查不出是什麼病毒!

那個可疑服務很狡滑,服務名稱每台機都不一樣,說明也是copy其他正常進程的說明
以我這台機為例
在日志中在自動更新服務被停止前有這樣一條記錄:
============================
事件類型:    資訊
事件來源:    Service Control Manager
事件類別目錄:    無
事件識別xxx:    7035
日期:        2009/1/3
時間:        上午 08:21:01
使用者:        NT AUTHORITY\SYSTEM
電腦:    37DA3D6A17
描述:
smjhtqy 服務已成功地傳送一個 開始 控制。

請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心,以取得其他資訊。
========================
按我的經驗這就是狐狸的尾巴
於是我去服務裡找,但沒找到這個名稱的服務,這也是這個病毒的狡滑之處,但找到一個顯示名稱是,manager microsoft的服務,描述:追蹤諸如 Windows 登入、網路、和電源事件的系統事件。通知這些事件的 COM+ 事件系統訂閱者。(TMD,從正常服務裡抄的,怪不得我瞄了幾次都沒瞄到),一看真正的名稱:rhzpiruf ,肯定就是這個了,靠,藏的真好,一看執行路徑:C:\WINDOWS\system32\svchost.exe -k netsvcs  TMD,好xxx險,怪不得在進程裡也沒有!

我去注冊表svchost的注冊項netsvcs中,刪了這個名稱
重啟
自動更新這些服務暫時都正常了
但關於這個病毒的更詳細的情況還是未知
請高手指教
gototop
 
winnersky
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2008-07-24
  • 来自:
发表于: 2009-01-07 10:03 | 短消息 资料
字号: 19楼

回复:很麻煩,頭疼,查不出是什麼病毒!

公司裡所有的電腦都中了
很奇怪
那個服務在注冊表server中的注冊是空的,沒有指向任何dll文件,服務本身開機時也未能啟動
但卻實實在在的影響了系統,如自動更新會被停止
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT