不明服务12位字母组成，删不掉 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛不明服务12位字母组成，删不掉

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[已解决] 不明服务12位字母组成，删不掉

O潇洒哥O 初生襁褓狮帖子:13 注册: 2010-02-20 来自:	发表于： 2011-02-10 16:15 \| 只看楼主短消息资料字号：小中大 1楼不明服务12位字母组成，删不掉附SReng日志,服务在临时目录，没有文件，已经开了显示隐藏文件。删了又出现一个别的12位字母服务用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/534.10 (KHTML, like Gecko) Chrome/8.0.552.237 Safari/534.10 O潇洒哥O 最后编辑于 2011-02-11 06:19:34
O潇洒哥O 初生襁褓狮帖子:13 注册: 2010-02-20 来自:	分享到：

O潇洒哥O 初生襁褓狮帖子:13 注册: 2010-02-20 来自:	发表于： 2011-02-10 16:15 \| 只看楼主短消息资料字号：小中大 2楼回复: 不明服务12位字母组成，删不掉日志附件: 文件名:SREngLOG.log 下载次数:233 文件类型:application/octet-stream 文件大小: 上传时间:2011-2-10 16:17:09 描述:log O潇洒哥O 最后编辑于 2011-02-10 16:17:09
O潇洒哥O 初生襁褓狮帖子:13 注册: 2010-02-20 来自:

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2011-02-10 17:10 \| 短消息资料字号：小中大 3楼回复：不明服务12位字母组成，删不掉引用: [vohjqhztddwf / vohjqhztddwf][Running/Manual Start] <2 - 系统找不到指定的文件。><N/A> 除上面这个陌生驱动外，日志中看不出其它问题。 D:\TLBB\Bin\Game.exe是天龙八部游戏的可执行文件么？是否用了该游戏的外挂？个人建议：进入注册表编辑器，找到【HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vohjqhztddwf 】这个注册表项，右键之选择“导出”，导出为1.REG文件，然后把这个REG文件用WINRAR压缩，将压缩包上传上来。打酱油的……
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

wangxiaoyu1101 自信弱冠狮帖子:461 注册: 2010-06-27 来自:	发表于： 2011-02-10 17:14 \| 短消息资料字号：小中大 4楼回复：不明服务12位字母组成，删不掉另外，楼主是不是安装了多款杀毒软件啊？建议只安装一款即可，多个杀毒软件浪费系统资源，并且容易产生冲突。
wangxiaoyu1101 自信弱冠狮帖子:461 注册: 2010-06-27 来自:

StreetMilk 飘泊而立狮帖子:710 注册: 2008-03-23 来自:	发表于： 2011-02-10 17:22 \| 短消息资料字号：小中大 5楼回复: 不明服务12位字母组成，删不掉楼主的电脑是不是中了“潜行者”病毒了。以下两端来自百度： “潜行者病毒”以感染Windows系统文件sfc_os.dll作为跳板，绕过杀毒软件及网游保护系统。一旦受感染的系统文件被网络游戏加载到内存，便会加载各种流行网游盗号木马（特征是扩展名为drv），盗取《天龙八部》，《剑网三》，《QQ地下城勇士》，《CF》等流行网游的账号。同时，也会使游戏过程中频繁卡机。盗号木马伪装sfc_os.dll等系统文件伺机盗取网游账号。 “潜行者病毒”以感染Windows系统文件shdoclc.dll作为跳板，绕过杀毒软件及网游保护系统。一旦受感染的系统文件被网络游戏加载到内存，便会加载各种流行网游盗号木马（特征是扩展名为drv），盗取《天龙八部》，《剑网三》，《QQ地下城勇士》，《CF》等流行网游的账号。同时，也会使游戏过程中频繁卡机。刚好楼主的电脑中也装了《天龙八步》 Snap1.jpg (212.42 K) 2011-2-10 17:22:28 Snap2.jpg (149.31 K) 2011-2-10 17:22:28 Snap3.jpg (137.15 K) 2011-2-10 17:22:28 Snap4.jpg (170.24 K) 2011-2-10 17:22:28 Snap5.jpg (96.01 K) 2011-2-10 17:22:28 Snap6.jpg (27.02 K) 2011-2-10 17:22:28 Snap7.jpg (16.93 K) 2011-2-10 17:22:28 另外，由于我没玩过《天龙八步》所以不知道正常情况下是否会同时出现两个game.exe Snap8.jpg (17.91 K) 2011-2-10 17:22:28
StreetMilk 飘泊而立狮帖子:710 注册: 2008-03-23 来自:

O潇洒哥O 初生襁褓狮帖子:13 注册: 2010-02-20 来自:	发表于： 2011-02-10 20:23 \| 只看楼主短消息资料字号：小中大 6楼回复：不明服务12位字母组成，删不掉两个Game.exe是我双开了
O潇洒哥O 初生襁褓狮帖子:13 注册: 2010-02-20 来自:

O潇洒哥O 初生襁褓狮帖子:13 注册: 2010-02-20 来自:	发表于： 2011-02-10 20:28 \| 只看楼主短消息资料字号：小中大 7楼回复：不明服务12位字母组成，删不掉可是用贝壳木马专杀，没有中毒
O潇洒哥O 初生襁褓狮帖子:13 注册: 2010-02-20 来自:

StreetMilk 飘泊而立狮帖子:710 注册: 2008-03-23 来自:	发表于： 2011-02-10 20:52 \| 短消息资料字号：小中大 8楼回复：不明服务12位字母组成，删不掉 “潜行者病毒”可以用感染Windows系统文件作为跳板，绕过杀毒软件及网游保护系统。我之前看别人的SRENG日志都没见过出现那么多“sfc_os.dll”的。对了，你可以把“sfc_os.dll”这些可疑文件，用卡卡MD5值计算器（http://download.rising.com.cn/msgbox/for_down/kakasoft/kakaMD5.zip），把算得出的MD5值到http://file.ikaka.com/main/index.shtml查询。看看是否是正常的系统文件。 StreetMilk 最后编辑于 2011-02-10 20:53:33
StreetMilk 飘泊而立狮帖子:710 注册: 2008-03-23 来自:

天月来了版主帖子:76897 注册: 2007-02-06 来自:	发表于： 2011-02-10 21:30 \| 短消息资料字号：小中大 9楼回复：不明服务12位字母组成，删不掉那玩意是驱动显示是已运行的可能需要考虑用XueTr来判断是什么个具体的驱动载入内存运行着了。 SRENG看不到对应的文件不知道你的什么软件开机运行的时候会自动创建此驱动呢？？自己观察一下呢？尤其是设置瑞星的系统内核加固放到高级模式试试，看瑞星在系统开机后是否会提示类似驱动的加载百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76897 注册: 2007-02-06 来自:

O潇洒哥O 初生襁褓狮帖子:13 注册: 2010-02-20 来自:	发表于： 2011-02-11 06:19 \| 只看楼主短消息资料字号：小中大 10楼回复: 不明服务12位字母组成，删不掉谢谢各位帮忙毒已经杀掉了
O潇洒哥O 初生襁褓狮帖子:13 注册: 2010-02-20 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT