T_T,机子中毒了，各位大大帮忙进来看下，谢谢啊 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 T_T,机子中毒了，各位大大帮忙进来看下，谢谢啊

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[求助] T_T,机子中毒了，各位大大帮忙进来看下，谢谢啊

爱与痛的我初生襁褓狮帖子:11 注册: 2011-06-30 来自:	发表于： 2011-06-30 19:36 \| 只看楼主短消息资料字号：小中大 1楼 T_T,机子中毒了，各位大大帮忙进来看下，谢谢啊不知道怎么回事，机子就中毒了，360和瑞星都报有毒，可清除掉后，一会儿又会继续报毒，然后我用冰仞查了一下，发现是PID同为848的SVCHOST.EXE调用了WMIPRVSE.EXE，然后WMIPRVSE.EXE又调用了CMD。EXE，紧接着CMD。EXE又调用了FTP。EXE进行传输，再调用FIREFOXUPDATER.EXE，到了这步我就不知道该做什么了，哪位大大能教教我，拜托了T_T 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
爱与痛的我初生襁褓狮帖子:11 注册: 2011-06-30 来自:	分享到：

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2011-06-30 20:02 \| 短消息资料字号：小中大 2楼回复：T_T,机子中毒了，各位大大帮忙进来看下，谢谢啊安装瑞星防火墙了么？看一下开放的端口情况吧。
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

爱与痛的我初生襁褓狮帖子:11 注册: 2011-06-30 来自:	发表于： 2011-06-30 22:16 \| 只看楼主短消息资料字号：小中大 3楼回复：T_T,机子中毒了，各位大大帮忙进来看下，谢谢啊我拿冰刃扫了一下，结果如下端口：协议本地地址远程地址状态进程ID 进程名 TCP 0.0.0.0 : 445 0.0.0.0 : 0 LISTENING 4 NT OS Kernel TCP 192.168.1.3 : 139 0.0.0.0 : 0 LISTENING 4 NT OS Kernel UDP 192.168.1.3 : 137 * : * 4 NT OS Kernel UDP 192.168.1.3 : 138 * : * 4 NT OS Kernel UDP 0.0.0.0 : 445 * : * 4 NT OS Kernel RAW --- --- --- 4 NT OS Kernel UDP 0.0.0.0 : 1027 * : * 1720 D:\新建文件夹 (2)\safemon\360tray.exe UDP 127.0.0.1 : 1025 * : * 1720 D:\新建文件夹 (2)\safemon\360tray.exe UDP 0.0.0.0 : 3600 * : * 1720 D:\新建文件夹 (2)\safemon\360tray.exe TCP 117.39.32.110 : 2106 27.19.158.2 : 3348 ESTABLISHED 2940 C:\WINDOWS\Temp\svchost.exe TCP 117.39.32.110 : 135 117.39.37.59 : 3474 ESTABLISHED 896 C:\WINDOWS\System32\SVCHOST.EXE TCP 117.39.32.110 : 2041 117.39.37.59 : 2729 ESTABLISHED 996 C:\WINDOWS\System32\SVCHOST.EXE TCP 117.39.32.110 : 2041 117.39.37.59 : 2358 ESTABLISHED 996 C:\WINDOWS\System32\SVCHOST.EXE TCP 117.39.32.110 : 135 117.39.37.59 : 3464 ESTABLISHED 896 C:\WINDOWS\System32\SVCHOST.EXE TCP 0.0.0.0 : 135 0.0.0.0 : 0 LISTENING 896 C:\WINDOWS\System32\SVCHOST.EXE TCP 0.0.0.0 : 2041 0.0.0.0 : 0 LISTENING 996 C:\WINDOWS\System32\SVCHOST.EXE TCP 0.0.0.0 : 33673 0.0.0.0 : 0 LISTENING 1332 C:\WINDOWS\System32\SVCHOST.EXE UDP 192.168.1.3 : 123 * : * 996 C:\WINDOWS\System32\SVCHOST.EXE UDP 192.168.1.3 : 1900 * : * 1188 C:\WINDOWS\System32\SVCHOST.EXE UDP 127.0.0.1 : 123 * : * 996 C:\WINDOWS\System32\SVCHOST.EXE UDP 117.39.32.110 : 123 * : * 996 C:\WINDOWS\System32\SVCHOST.EXE UDP 127.0.0.1 : 1900 * : * 1188 C:\WINDOWS\System32\SVCHOST.EXE UDP 117.39.32.110 : 1900 * : * 1188 C:\WINDOWS\System32\SVCHOST.EXE UDP 0.0.0.0 : 33674 * : * 1332 C:\WINDOWS\System32\SVCHOST.EXE UDP 127.0.0.1 : 1284 * : * 2136 C:\Program Files\Rising\Rav\RsTray.exe TCP 0.0.0.0 : 6059 0.0.0.0 : 0 LISTENING 976 C:\Program Files\Rising\Rav\RavMonD.exe UDP 127.0.0.1 : 1927 * : * 3508 C:\Program Files\Internet Explorer\IEXPLORE.EXE UDP 0.0.0.0 : 1918 * : * 3508 C:\Program Files\Internet Explorer\IEXPLORE.EXE TCP 117.39.32.110 : 2321 222.73.45.135 : 21 TIME_WAIT 0 ---- TCP 117.39.32.110 : 135 117.39.37.59 : 2621 TIME_WAIT 0 ---- 感觉TEMP下的文件比较可疑，您能帮我分析下嘛？
爱与痛的我初生襁褓狮帖子:11 注册: 2011-06-30 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2011-07-01 10:17 \| 短消息资料字号：小中大 4楼回复 3F 爱与痛的我的帖子 C:\WINDOWS\Temp\svchost.exe找到压缩发来。下载sreng工具扫描日志压缩发来。 http://www.kztechs.com/sreng/download.html
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

爱与痛的我初生襁褓狮帖子:11 注册: 2011-06-30 来自:	发表于： 2011-07-01 13:45 \| 只看楼主短消息资料字号：小中大 5楼回复: T_T,机子中毒了，各位大大帮忙进来看下，谢谢啊引用: 原帖由 networkedition 于 2011-7-1 10:17:00 发表 C:\WINDOWS\Temp\svchost.exe找到压缩发来。下载sreng工具扫描日志压缩发来。 http://www.kztechs.com/sreng/download.html 附件: 文件名:1.rar 下载次数:253 文件类型:application/octet-stream 文件大小: 上传时间:2011-7-1 13:44:40 描述:rar 附件: 文件名:瑞星报的病毒.txt 下载次数:366 文件类型:text/plain 文件大小: 上传时间:2011-7-1 13:44:40 描述:txt
爱与痛的我初生襁褓狮帖子:11 注册: 2011-06-30 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2011-07-01 14:05 \| 短消息资料字号：小中大 6楼回复 5F 爱与痛的我的帖子附件的svchost.exe和sreng日志未见异常。将瑞星的日志db文件压缩发来。鼠标右键点击绿伞——查看日志——备份日志，将日志文件db导出压缩发来。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

爱与痛的我初生襁褓狮帖子:11 注册: 2011-06-30 来自:	发表于： 2011-07-01 14:30 \| 只看楼主短消息资料字号：小中大 7楼回复: T_T,机子中毒了，各位大大帮忙进来看下，谢谢啊引用: 原帖由 networkedition 于 2011-7-1 14:05:00 发表附件的svchost.exe和sreng日志未见异常。将瑞星的日志db文件压缩发来。鼠标右键点击绿伞——查看日志——备份日志，将日志文件db导出压缩发来。附件: 文件名:瑞星.rar 下载次数:259 文件类型:application/octet-stream 文件大小: 上传时间:2011-7-1 14:29:38 描述:rar
爱与痛的我初生襁褓狮帖子:11 注册: 2011-06-30 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2011-07-01 14:57 \| 短消息资料字号：小中大 8楼回复 7F 爱与痛的我的帖子日志显示查杀的文件路径有系统还原，建议关闭本机系统还原后重启电脑再杀毒。另： C:\WINDOWS\FIREFOXUPDATET.EXE看一下这个文件还有嘛？如果有压缩发来。关闭本机系统还原的方法：鼠标右键点击我的电脑属性——系统还原，勾选在所有驱动器上关闭系统还原。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:	发表于： 2011-07-01 15:00 \| 短消息资料字号：小中大 9楼回复：T_T,机子中毒了，各位大大帮忙进来看下，谢谢啊 C:\WINDOWS\SYSTEM32\CCOM.EXE这个如果有也找到压缩发来。
networkedition 社区嘉宾帖子:36698 注册: 2008-02-28 来自:

爱与痛的我初生襁褓狮帖子:11 注册: 2011-06-30 来自:	发表于： 2011-07-01 15:05 \| 只看楼主短消息资料字号：小中大 10楼回复: T_T,机子中毒了，各位大大帮忙进来看下，谢谢啊引用: 原帖由 networkedition 于 2011-7-1 15:00:00 发表 C:\WINDOWS\SYSTEM32\CCOM.EXE这个如果有也找到压缩发来。这两个文件一出来就被瑞星干掉了
爱与痛的我初生襁褓狮帖子:11 注册: 2011-06-30 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT