刚装完系统，所有exe文件被感染~~有日志 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛刚装完系统，所有exe文件被感染~~有日志

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[求助] 刚装完系统，所有exe文件被感染~~有日志

雨鹤快乐黄口狮帖子:196 注册: 2005-06-18 来自:	发表于： 2008-09-22 11:43 \| 只看楼主短消息资料字号：小中大 1楼刚装完系统，所有exe文件被感染~~有日志 [复制到剪贴板] CODE: 2008-09-22,11:42:13 System Repair Engineer 2.6.12.1018 Smallfrogs ([url]http://www.KZTechs.com[/url]) Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能以下内容被选中：所有的启动项目（包括注册表、启动文件夹、服务等）浏览器加载项正在运行的进程（包括进程模块信息）文件关联 Winsock 提供者 Autorun.inf HOSTS 文件进程特权扫描启动项目注册表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher] [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] <load><> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [(Verified)Microsoft Windows Publisher] <Userinit><C:\WINDOWS\system32\userinit.exe,> [(Verified)Microsoft Windows Publisher] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows] <AppInit_DLLs><> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}] <Internet Explorer><%systemroot%\system32\shmgrate.exe OCInstallUserConfigIE> [File is missing] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] <Outlook Express><%systemroot%\system32\shmgrate.exe OCInstallUserConfigOE> [File is missing] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install> [File is missing] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}] <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT> [(Verified)Microsoft Windows Publisher] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}] <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\wmp.inf,PerUserStub> [(Verified)Microsoft Windows Publisher] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}] <通讯簿 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install> [File is missing] ================================== 启动文件夹 N/A ================================== 服务 [IX0756GAC / EN9VXP34PE15][Stopped/Auto Start] <C:\WINDOWS\system32\EN9VXP34PE15.exe -9952HE4IV5><Mic. Corporation> [Human Interface Device Access / HidServ][Stopped/Disabled] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> [7E2ZR / QFPY7CU3X75I][Stopped/Auto Start] <C:\WINDOWS\QFPY7CU3X75I.exe -CGBVSQH69BB><Mic. Corporation> ================================== 驱动程序 [LTRGZV5 / 2MA4S1][Stopped/Manual Start] <\??\C:\WINDOWS\1GJAQDR.txt><N/A> [BIOS / BIOS][Running/System Start] <\??\C:\WINDOWS\system32\drivers\BIOS.sys><BIOSTAR Group> [C-Media WDM Audio Interface / cmuda][Running/Manual Start] <system32\drivers\cmuda.sys><C-Media Inc> [VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver / FETNDIS][Stopped/Manual Start] <system32\DRIVERS\fetnd5.sys><VIA Technologies, Inc.> [VIA Rhine Family Fast Ethernet Adapter Driver Service / FETNDISB][Running/Manual Start] <system32\DRIVERS\fetnd5b.sys><VIA Technologies, Inc.> [Direct Parallel Link Driver / Ptilink][Running/Manual Start] <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.> [Realtek RTL8139/810x/8169/8110 all in one NDIS NT Driver / RTL8023][Stopped/Manual Start] <system32\DRIVERS\Rtlnic51.sys><Realtek Semiconductor Corporation> [Realtek RTL8139(A/B/C)-based PCI Fast Ethernet Adapter NT Driver / rtl8139][Stopped/Manual Start] <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation> [S3SavageNB / S3SavageNB][Running/Manual Start] <system32\DRIVERS\s3gnbm.sys><S3 Graphics, Inc.> [Secdrv / Secdrv][Stopped/Manual Start] <system32\DRIVERS\secdrv.sys><N/A> ================================== 浏览器加载项 [番茄花园] {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <[url]http://tomatolei.com[/url], N/A> [] {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <, > [Shockwave Flash Object] {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\macromed\flash\flash.ocx, (Signed) Macromedia, Inc.> ================================== 正在运行的进程 [PID: 552 / SYSTEM][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 608 / SYSTEM][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 632 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 676 / SYSTEM][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 688 / SYSTEM][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 840 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 944 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 1036 / SYSTEM][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 1096 / NETWORK SERVICE][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 1240 / LOCAL SERVICE][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 1396 / SYSTEM][C:\WINDOWS\system32\spoolsv.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 1796 / Administrator][C:\WINDOWS\explorer.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [C:\WINDOWS\system32\macromed\flash\flash.ocx] [Macromedia, Inc., 6,0,79,0] [PID: 1440 / LOCAL SERVICE][C:\WINDOWS\System32\alg.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 2008 / Administrator][C:\WINDOWS\system32\wscntfy.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 1932 / Administrator][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 360 / Administrator][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\macromed\flash\flash.ocx] [Macromedia, Inc., 6,0,79,0] [C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 912 / Administrator][C:\Documents and Settings\Administrator\桌面\SREngLdr.com] [Smallfrogs Studio, 2.6.12.1018] [PID: 1908 / Administrator][C:\Documents and Settings\Administrator\桌面\SRE33f0a293.EXE] [Smallfrogs Studio, 2.6.12.1018] [C:\Documents and Settings\Administrator\桌面\Upload\3rdUpd.DLL] [Smallfrogs Studio, 2, 1, 0, 15] [C:\Documents and Settings\Administrator\桌面\Plugins\NTFSTREAM.SRE] [Smallfrogs Studio, 1, 0, 0, 5] ================================== 文件关联 .TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .EXE OK. ["%1" %] .COM OK. ["%1" %] .PIF OK. ["%1" %] .REG OK. [regedit.exe "%1"] .BAT OK. ["%1" %] .SCR OK. ["%1" /S] .CHM OK. ["C:\WINDOWS\hh.exe" %1] .HLP OK. [%SystemRoot%\system32\winhlp32.exe %1] .INI OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .INF OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .JS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .LNK OK. [{00021401-0000-0000-C000-000000000046}] ================================== Winsock 提供者 N/A ================================== Autorun.inf N/A ================================== HOSTS 文件 127.0.0.1 localhost ================================== 进程特权扫描特殊特权被允许： SeLoadDriverPrivilege [PID = 912, C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\桌面\SRENGLDR.COM] ================================== API HOOK N/A ================================== 隐藏进程 N/A ================================== 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
雨鹤快乐黄口狮帖子:196 注册: 2005-06-18 来自:	分享到：

帅哥阿福雄霸杖朝狮帖子:21071 注册: 2006-03-29 来自:米兰	发表于： 2008-09-22 11:59 \| 短消息资料字号：小中大 2楼回复：刚装完系统，所有exe文件被感染~~有日志 C:\WINDOWS\system32\EN9VXP34PE15.exe C:\WINDOWS\QFPY7CU3X75I.exe C:\WINDOWS\1GJAQDR.txt 提上来看看，或者直接发送给瑞星，地址为：http://mailcenter.rising.com.cn/index.shtml
帅哥阿福雄霸杖朝狮帖子:21071 注册: 2006-03-29 来自:米兰

雨鹤快乐黄口狮帖子:196 注册: 2005-06-18 来自:	发表于： 2008-09-22 12:14 \| 只看楼主短消息资料字号：小中大 3楼回复: 刚装完系统，所有exe文件被感染~~有日志没有压缩软件，放 zip文件夹里了附件: 文件名:病毒.zip 下载次数:153 文件类型:application/x-zip-compressed 文件大小: 上传时间:2008-9-22 12:13:52 描述:zip
雨鹤快乐黄口狮帖子:196 注册: 2005-06-18 来自:

雨鹤快乐黄口狮帖子:196 注册: 2005-06-18 来自:	发表于： 2008-09-22 12:55 \| 只看楼主短消息资料字号：小中大 4楼回复：刚装完系统，所有exe文件被感染~~有日志日志文件 Trend Micro HijackThis v 2.0.2 日志保存时间: 12:51:32,2008-9-22 操作系统: Windows XP SP2 (WinNT 5.01.2600) IE版本: Internet Explorer v6.00 SP2 (6.00.2900.2180) 启动模式: 正常正在运行的进程: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\ctfmon.exe C:\Documents and Settings\Administrator\桌面\auto\arvmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Documents and Settings\Administrator\桌面\hijackthis\HijackThis.com O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] ctfmon.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] ctfmon.exe (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] ctfmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] ctfmon.exe (User 'Default user') O9 - 额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://tomatolei.com(文件不存在) O14 - IERESET.INF: START_PAGE_URL=http://tomatolei.com O17 - HKLM\System\CCS\Services\Tcpip\..\{8EA1BF93-7DE0-407D-94F8-001D81BA424A}: NameServer = 202.102.134.68 202.102.152.3 -- 文件结束 - 1334 字节
雨鹤快乐黄口狮帖子:196 注册: 2005-06-18 来自:

byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:	发表于： 2008-09-22 13:01 \| 短消息资料字号：小中大 5楼回复：刚装完系统，所有exe文件被感染~~有日志重装系统不要打开其它分区，更不要使用其它分区的可执行文件，安装杀毒软件后全盘扫描。本帖被评分 1 次本帖被评分 1 次
byxxdrls 卡卡反病毒小组帖子:1029 注册: 2008-06-19 来自:

lgf444 初生襁褓狮帖子:6 注册: 2008-05-29 来自:	发表于： 2008-09-22 13:06 \| 短消息资料字号：小中大 6楼回复：刚装完系统，所有exe文件被感染~~有日志可以解诀吗。我朋友的机子也是这样
lgf444 初生襁褓狮帖子:6 注册: 2008-05-29 来自:

雨鹤快乐黄口狮帖子:196 注册: 2005-06-18 来自:	发表于： 2008-09-22 14:19 \| 只看楼主短消息资料字号：小中大 7楼回复: 刚装完系统，所有exe文件被感染~~有日志引用: 原帖由 byxxdrls 于 2008-9-22 13:01:00 发表重装系统不要打开其它分区，更不要使用其它分区的可执行文件，安装杀毒软件后全盘扫描。用什么杀毒软件可以彻底清除??
雨鹤快乐黄口狮帖子:196 注册: 2005-06-18 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-09-22 14:23 \| 短消息资料字号：小中大 8楼回复：刚装完系统，所有exe文件被感染~~有日志已告诉管理员了等加库吧如果很急目前McAfee可杀可以自己去下载免费一年的McAfee全盘杀 Avast也能杀可以下载Avast免费一年的全盘杀都记得升级一下噢天月来了最后编辑于 2008-09-22 14:25:01
天月来了版主帖子:76904 注册: 2007-02-06 来自:

雨鹤快乐黄口狮帖子:196 注册: 2005-06-18 来自:	发表于： 2008-09-22 14:25 \| 只看楼主短消息资料字号：小中大 9楼回复: 刚装完系统，所有exe文件被感染~~有日志引用: 原帖由天月来了于 2008-9-22 14:23:00 发表已告诉管理员了等加库吧如果很急目前McAfee可杀可以自己去下载免费一年的McAfee全盘杀谢谢了哦我先重装系统~~
雨鹤快乐黄口狮帖子:196 注册: 2005-06-18 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2008-09-22 14:29 \| 短消息资料字号：小中大 10楼回复：刚装完系统，所有exe文件被感染~~有日志我个人看还是下载Avast免费一年的升级后全盘杀因为Avast中文的好折腾。哪怕免费一月的，只要现在让你升级即可
天月来了版主帖子:76904 注册: 2007-02-06 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT