瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 扫描结果和描述,帮我看看中毒了么

1   1  /  1  页   跳转

扫描结果和描述,帮我看看中毒了么

收藏
本主题由 在线技术支持工程师 瑞星工程师19 于 2009-3-5 17:58:59 执行 移动主题 操作
TC_S
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2009-02-14
  • 来自:
发表于: 2009-03-05 17:16 | 只看楼主 短消息 资料
字号: 1楼

扫描结果和描述,帮我看看中毒了么

最近鼠标会突然到处跑,而且鼠标停放的位置有文字,感觉就是桌面上开着一个看不见透明的网页...高手请指教

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; TheWorld)

附件附件:

文件名:SREngLOG.log
下载次数:197
文件类型:application/octet-stream
文件大小:
上传时间:2009-3-5 17:15:45
描述:log
分享到:
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-03-05 18:34 | 短消息 资料
字号: 2楼

回复: 扫描结果和描述,帮我看看中毒了么

建议把下面三个文件分别压缩发上来:
C:\WINDOWS\system32\cd5n.exe
C:\WINDOWS\system32\t.exe
C:\WINDOWS\system32\02k4.dll
打酱油的……
gototop
 
TC_S
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2009-02-14
  • 来自:
发表于: 2009-03-05 19:55 | 只看楼主 短消息 资料
字号: 3楼

回复: 扫描结果和描述,帮我看看中毒了么

C:\WINDOWS\system32\cd5n.exe

附件附件:

文件名:cd5n.rar
下载次数:245
文件类型:application/octet-stream
文件大小:
上传时间:2009-3-5 19:54:35
描述:rar
gototop
 
TC_S
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2009-02-14
  • 来自:
发表于: 2009-03-05 19:56 | 只看楼主 短消息 资料
字号: 4楼

回复: 扫描结果和描述,帮我看看中毒了么

C:\WINDOWS\system32\t.exe

附件附件:

文件名:t.rar
下载次数:187
文件类型:application/octet-stream
文件大小:
上传时间:2009-3-5 19:55:49
描述:rar
gototop
 
TC_S
头像
初生襁褓狮
  • 帖子:8
  • 注册: 2009-02-14
  • 来自:
发表于: 2009-03-05 19:57 | 只看楼主 短消息 资料
字号: 5楼

回复: 扫描结果和描述,帮我看看中毒了么

C:\WINDOWS\system32\02k4.dll

附件附件:

文件名:02k4.rar
下载次数:178
文件类型:application/octet-stream
文件大小:
上传时间:2009-3-5 19:56:57
描述:rar
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-03-05 21:36 | 短消息 资料
字号: 6楼

回复: 扫描结果和描述,帮我看看中毒了么

已上报“可疑文件交流区”鉴定……
打酱油的……
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2009-03-06 22:40 | 短消息 资料
字号: 7楼

回复: 扫描结果和描述,帮我看看中毒了么

个人认为以下文件和注册表项是有问题的,值得注意的是有五个文件(映像文件)疑似盗用微软的签名的病毒文件,值得重视(红色)。其他的,蓝色驱动程序鄙人不能确认,因为一些网游也会生成类似驱动程序,请自己鉴定一下:
================================
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <8b4b><rundll32 "C:\WINDOWS\Downlo~1\8b4b.dll",Run>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{C54C2AFB-7B2A-6B3E-BA41-C20F02543019}><C:\DOCUME~1\ADMINI~1.F0A\LOCALS~1\Temp\gjgigj2610111.dll>  [File is missing]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{89820200-EBAK-11cf-8B85-00BB005B4383}]
    <N/A><%SystemRoot%\system32\button.exe>

服务
[ElldBin / ElldBin][Running/Auto Start]
  <C:\WINDOWS\system32\cd5n.exe><Microsoft Corporation>
[OSEvent / OSEvent][Stopped/Auto Start]
  <C:\WINDOWS\system32\t.exe><Microsoft Corporation>

驱动程序
[XDva219 / XDva219][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\XDva219.sys><N/A>

浏览器加载项
[Invoke Class]
  {59F262DA-B7E7-4185-BEB5-15EEAC1FD89B} <C:\WINDOWS\system32\02k4.dll, Microsoft Corporation>
[Invoke Class]
  {59F262DA-B7E7-4185-BEB5-15EEAC1FD89B} <C:\WINDOWS\system32\02k4.dll, Microsoft Corporation>

正在运行的进程(仅指插入进程的红色模块文件)
[PID: 1548 / Administrator][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
    [C:\WINDOWS\Downlo~1\8b4b.dll]  [Microsoft Corporation, 5, 3, 2600, 2180]

计划任务
[已启用] 8b4ac.job
        rundll32
[已启用] 8b4b.job
        rundll32
==================================
最后编辑超级游戏迷 最后编辑于 2009-03-06 22:44:58
打酱油的……
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT