【原创】中了病毒，弄得我有点抓狂，各位高手来看看啊

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【原创】中了病毒，弄得我有点抓狂，各位高手来看看啊

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 1 页

跳转页

【原创】中了病毒，弄得我有点抓狂，各位高手来看看啊

真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:	发表于： 2005-08-04 21:52 \| 只看楼主短消息资料字号：小中大 1楼【原创】中了病毒，弄得我有点抓狂，各位高手来看看啊我中了一种病毒，系统刚一启动好就会毫无征兆地重启并不是每次都会一启动好就重启，当重启后系统会进行c盘磁盘扫描，如果跳过这个扫描多半不会出现重启现象。一次重启之后发现瑞星防火墙出现下图提示：（后来发现只要防火墙启动，肯定无法启动成功）同时还发现瑞星监控中心报出有“Backdoor.Rbot.hvk ”这个病毒（它的地址在C:\WINDOWS\system32\symantecblows.exe），病毒感染的文件根本找不到，用icesword也找不到symantecblows.exe文件，只有一个symtec32.exe文件大小为0字节无法删除。同时发现注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里也有有关symantecblows.exe的键值，但并未给出他的路径。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面还有有关vsmom.exe的键值，也值得怀疑。还有一点也奇怪HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices存在数值名称为 System Service 数值数据为serv.exe的字符串。这个serv.exe在icesword里的图标是个手枪符号。 vsmom.exe和symantecblows.exe（这个文件就是找不到）肯定有问题，一连上网络在icesword的端口窗里会显示他们这两个程序连结了三十多个ip地址！！！还有一点很郁闷，有时好容易启动成功，没有连接网络，过大概三十几分钟也会重启。郁闷这是什么病毒，怎么查杀啊？附件: 文件名:555410200584215201.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-8-4 21:52:01 描述: 2005-08-05 10:00:13
真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:	分享到：

天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆	发表于： 2005-08-04 22:00 \| 短消息资料字号：小中大 2楼请将瑞星的杀毒日志和HijackThis日志分别贴上来
天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆

真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:	发表于： 2005-08-04 22:27 \| 只看楼主短消息资料字号：小中大 3楼日志： O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P O4 - HKLM\..\Run: [TotalRecorderScheduler] "d:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [dl_accel] C:\Program Files\3721\Dlaccel\YDownloader.exe O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32 O4 - HKLM\..\Run: [RavTimer] I:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - HKLM\..\Run: [RavMon] I:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - HKLM\..\Run: [System Service] serv.exe O4 - HKLM\..\RunServices: [System Service] serv.exe O4 - HKLM\..\RunServices: [Net] C:\WINDOWS\services.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [uninstall.exe] C:\WINDOWS\uninstall.exe O4 - HKLM\..\RunOnce: [RavStub] "I:\PROGRAM FILES\RISING\RAV\ravstub.exe" /RUNONCE O4 - Startup: NTUSER.DAT O4 - Startup: ntuser.dat.LOG O4 - Startup: ntuser.ini O4 - Startup: AdobeWeb.log O4 - Startup: .appletviewer O4 - Startup: ntuser.pol O4 - Global Startup: ntuser.pol
真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:

真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:	发表于： 2005-08-04 22:34 \| 只看楼主短消息资料字号：小中大 4楼这是今天的瑞星病毒日志：附件: 文件名:555410200584223447.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-8-4 22:34:47 描述:
真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:

真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:	发表于： 2005-08-04 22:37 \| 只看楼主短消息资料字号：小中大 5楼由于已经把注册表启动项里有嫌疑的删掉了，我先重启看看会不会它们再出现
真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:

天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆	发表于： 2005-08-04 22:40 \| 短消息资料字号：小中大 6楼系统补丁不全吧，请用HijackThis1.99.1版重新扫描日志上来。
天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆

初生襁褓狮

帖子:424
注册: 2005-08-04
来自:

发表于： 2005-08-04 22:49 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

【天天泡泡的贴子】系统补丁不全吧，请用HijackThis1.99.1版重新扫描日志上来。
...........................

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 22:43:25, 日期 2005-8-4
操作系统： Windows XP (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 (6.00.2600.0000)

O4 - 启动项HKLM\\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - 启动项HKLM\\Run: [TotalRecorderScheduler] "d:\Program Files\HighCriteria\TotalRecorder\TotRecSched.exe"
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [dl_accel] C:\Program Files\3721\Dlaccel\YDownloader.exe
O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - 启动项HKLM\\Run: [RavTimer] I:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] I:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [System Service] serv.exe
O4 - 启动项HKLM\\RunServices: [System Service] serv.exe
O4 - 启动项HKLM\\RunServices: [Net] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [uninstall.exe] C:\WINDOWS\uninstall.exe
O23 - NT 服务: AntiSpyUltra (Zonelaps) - Unknown owner - C:\WINDOWS\vsmom.exe (file missing)

问你一下：
hijackthis1.97和你个人空间里的1.99版差别大吗？我不太懂这个。

bobo无极限初生襁褓狮帖子:12325 注册: 2005-07-08 来自:	发表于： 2005-08-04 22:51 \| 短消息资料字号：小中大 8楼 1.99.1可以扫描出你的023项
bobo无极限初生襁褓狮帖子:12325 注册: 2005-07-08 来自:

真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:	发表于： 2005-08-04 22:51 \| 只看楼主短消息资料字号：小中大 9楼我很怀疑serv.exe，它到底是什么？可能是病毒的帮凶吗？
真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:

真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:	发表于： 2005-08-05 10:00 \| 只看楼主短消息资料字号：小中大 10楼现在电脑不会重启了，瑞星的监控中心还会定时出现135端口受到攻击的字样。任务管理器里的serv.exe也不知是干什么用的
真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:

<<上一主题|下一主题>>

1 / 1 页

跳转页

真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:	发表于： 2005-08-04 21:52 \| 只看楼主短消息资料字号：小中大 1楼【原创】中了病毒，弄得我有点抓狂，各位高手来看看啊我中了一种病毒，系统刚一启动好就会毫无征兆地重启并不是每次都会一启动好就重启，当重启后系统会进行c盘磁盘扫描，如果跳过这个扫描多半不会出现重启现象。一次重启之后发现瑞星防火墙出现下图提示：（后来发现只要防火墙启动，肯定无法启动成功）同时还发现瑞星监控中心报出有“Backdoor.Rbot.hvk ”这个病毒（它的地址在C:\WINDOWS\system32\symantecblows.exe），病毒感染的文件根本找不到，用icesword也找不到symantecblows.exe文件，只有一个symtec32.exe文件大小为0字节无法删除。同时发现注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里也有有关symantecblows.exe的键值，但并未给出他的路径。 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下面还有有关vsmom.exe的键值，也值得怀疑。还有一点也奇怪HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices存在数值名称为 System Service 数值数据为serv.exe的字符串。这个serv.exe在icesword里的图标是个手枪符号。 vsmom.exe和symantecblows.exe（这个文件就是找不到）肯定有问题，一连上网络在icesword的端口窗里会显示他们这两个程序连结了三十多个ip地址！！！还有一点很郁闷，有时好容易启动成功，没有连接网络，过大概三十几分钟也会重启。郁闷这是什么病毒，怎么查杀啊？附件: 文件名:555410200584215201.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-8-4 21:52:01 描述: 2005-08-05 10:00:13
真命小虫初生襁褓狮帖子:424 注册: 2005-08-04 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【原创】中了病毒，弄得我有点抓狂，各位高手来看看啊

【原创】中了病毒，弄得我有点抓狂，各位高手来看看啊

【原创】中了病毒，弄得我有点抓狂，各位高手来看看啊

附件:

文件名:555410200584215201.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(71142); 上传时间:2005-8-4 21:52:01 描述:

附件:

文件名:555410200584223447.JPG 下载次数:0 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(0); 上传时间:2005-8-4 22:34:47 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【原创】中了病毒，弄得我有点抓狂，各位高手来看看啊

文件名:555410200584215201.JPG

下载次数:0

文件类型:image/pjpeg

文件大小:

上传时间:2005-8-4 21:52:01

描述:

文件名:555410200584223447.JPG

下载次数:0

文件类型:image/pjpeg

文件大小:

上传时间:2005-8-4 22:34:47

描述: