瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】WINDOWS MEDIA PLAYER联系灰鸽子?!大虾来看看!!!

1   1  /  1  页   跳转

【求助】WINDOWS MEDIA PLAYER联系灰鸽子?!大虾来看看!!!

收藏
LALA000
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2007-08-22
  • 来自:
发表于: 2007-08-23 13:00 | 只看楼主 短消息 资料
字号: 1楼

【求助】WINDOWS MEDIA PLAYER联系灰鸽子?!大虾来看看!!!

我今天中病毒了
TROJAN.PSW.WIN32.WOWAR.TT
TROJAN.WIN32.AGENT.KU
TROJAN.PSW.WIN32.WSGAME.Y这三个病毒,一下子就有十多个,瑞星清除后就不能启动了,本人下载了橙色八月没有发现病毒,过一会瑞星可以启动了,但是只要打开一个程序瑞星监控就会关闭!绿伞变红伞!连我的电脑也不例外!!

 我就进入安全模式下杀毒还是没有发现病毒!
重起电脑,连接宽贷!又瑞星又发现那几个病毒,还是十多个再次被中招!虽然毒被瑞星说是清除了,但是瑞星监控依然在打开程序时被关闭!

  而且瑞星防火墙在电脑连接宽贷时发现了这个!
详细内容2007-08-23 10:47:58, 系统禁止本地wmpnetwk.exe发送UDP数据包,地址为:127.0.0.1:1027[灰鸽子] => 239.255.255.250:1900[UPNP(通用即插即用)]程序名称为:C:\Program Files\Windows Media Player\wmpnetwk.exe
  
只要一开机连上宽贷就中招,发现的毒随被瑞星清理了,但是问题还在,~没有办法啊,还是一打开程序绿伞就变红伞!

各位大虾~~~帮帮我啊~~


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件附件:

下载次数:114
文件类型:application/octet-stream
文件大小:
上传时间:2007-8-23 13:00:36
描述:

最后编辑2007-08-24 20:04:05
分享到:
gototop
 
LALA000
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2007-08-22
  • 来自:
发表于: 2007-08-23 13:18 | 只看楼主 短消息 资料
字号: 2楼

病毒来了!就要杀!~
gototop
 
tankk
头像
自信弱冠狮
  • 帖子:469
  • 注册: 2007-02-05
  • 来自:
发表于: 2007-08-23 13:22 | 短消息 资料
字号: 3楼

先下载 SREng,来看看:
http://www.kztechs.com/sreng/download.html
方法:
1、解压-->运行SREng.exe(如果不能运行,改名为111.exe、111.bat、111.scr、111.com或111.pif);
2、智能扫描-->扫描-->保存报告;
3、将日志粘贴到帖子上或用附件传上。
gototop
 
cainiao110
头像
初生襁褓狮
  • 帖子:9
  • 注册: 2007-08-23
  • 来自:
发表于: 2007-08-23 13:50 | 短消息 资料
字号: 4楼

gototop
 
LALA000
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2007-08-22
  • 来自:
发表于: 2007-08-23 13:53 | 只看楼主 短消息 资料
字号: 5楼

日志送到!!在附件里!!!!大虾~~看看吧~~~
gototop
 
LALA000
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2007-08-22
  • 来自:
发表于: 2007-08-23 16:37 | 只看楼主 短消息 资料
字号: 6楼

为什么发了日志!没有人来帮忙啊~~~~
gototop
 
LALA000
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2007-08-22
  • 来自:
发表于: 2007-08-23 18:30 | 只看楼主 短消息 资料
字号: 7楼

55555555555555
gototop
 
轩辕小聪
头像
卡卡技术团队
  • 帖子:8368
  • 注册: 2006-01-09
  • 来自:
卡卡名人堂论坛9周年纪念
发表于: 2007-08-23 19:09 | 短消息 资料
字号: 8楼

用SREng在“启动项目”-“注册表”中删除以下项目:
    <{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll>  [Microsoft Corporation]

重启后删除C:\Program Files\Internet Explorer\rksldk.dll

另外:
[ldlcserv / ldlcserv][Running/Auto Start]
  <C:\WINDOWS\system32\drivers\ldlcserv.exe><N/A>
[TrcBoot / TrcBoot][Running/Auto Start]
  <C:\WINDOWS\system32\drivers\trcboot.exe><N/A>
这两个文件,从名称上看似乎是IBM的项目,但是真正的IBM的程序是不应该没有公司信息的,真正的IBM的服务如下:
[IBM Enterprise Extender / ldlcserv]
<C:\WINDOWS\system32\Drivers\ldlcserv.exe><IBM Corporation>
[IBM Trace Facility / TrcBoot]
<C:\WINDOWS\system32\Drivers\trcboot.exe><IBM Corporation>
两相对比,楼主电脑中的这两个服务,可能是伪装成IBM的服务。建议结束进程并禁用服务,将文件上报给杀毒软件厂商。
gototop
 
LALA000
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2007-08-22
  • 来自:
发表于: 2007-08-23 21:13 | 只看楼主 短消息 资料
字号: 9楼

已照7楼的所说的做了,删除了<{DC7596CB-D6CC-DCA3-DE52-DEEA63F6C61D}><C:\Program Files\Internet Explorer\rksldk.dll> [Microsoft Corporation]

结束了那两个进程!
只是重起后,没有找到C:\Program Files\Internet Explorer\rksldk.dll
这个文件!


我已经在只运行瑞星的情况用 SREng下重新扫描了一边!
不知道有什么问题存在!!
新的附件已经替换了旧的附件,请大虾指教!!
gototop
 
LALA000
头像
初生襁褓狮
  • 帖子:16
  • 注册: 2007-08-22
  • 来自:
发表于: 2007-08-24 20:14 | 只看楼主 短消息 资料
字号: 10楼

今天瑞星防火墙又提示有这个详细内容2007-08-24 12:03:02, 系统禁止本地wmpnetwk.exe发送UDP数据包,地址为:127.0.0.1:1027[灰鸽子] => 239.255.255.250:1900[UPNP(通用即插即用)]程序名称为:C:\Program Files\Windows Media Player\wmpnetwk.exe

还有详细内容2007-08-24 18:50:20, 系统禁止本地WebThunder.exe发送UDP数据包,地址为:0.0.0.0:1437 => 202.103.44.150:53[域名解析]程序名称为:C:\Program Files\Thunder Network\WebThunder\WebThunder.exe
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT