瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 ___深夜中招,此病毒把瑞星3大组合干掉了___

1   1  /  1  页   跳转

[求助] ___深夜中招,此病毒把瑞星3大组合干掉了___

收藏
中招
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2008-11-04
  • 来自:
发表于: 2008-11-04 06:43 | 只看楼主 短消息 资料
字号: 1楼

___深夜中招,此病毒把瑞星3大组合干掉了___

首先一直很信任瑞星,防火墙,杀毒软件,瑞星卡卡全是最新的,一直开着,什么网页都没开,聊QQ聊得睡着了。醒来5点多了,发现屏幕上提示“系统文件被替换成无法识别的什么什么。。”,,然后QQ也是账号存在异常,要输入验证码,再看任务栏,瑞星全部被干掉了。只剩下我的网络连接、音量控制、QQ、千千静听图标,被黑了?。。不可能啊,我装了防火墙的啊。。。再检查一下注册表。
大家看看run 多了个不认识的,我标红了。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"="ALCMTR.EXE"
"Six Engine"="\"C:\\Program Files\\ASUS\\EPU-4 Engine\\FourEngine.exe\" -r"
"RfwMain"="\"d:\\Program Files\\Rising\\Rfw\\rfwmain.exe\" -Startup"
"runeip"="\"d:\\Program Files\\Rising\\AntiSpyware\\rstray.exe\" /startup"
"RavTask"="\"C:\\Program Files\\Rising\\Rav\\RavTask.exe\" -system"
"Adobe_ID0EYTHM"="C:\\PROGRA~1\\COMMON~1\\Adobe\\ADOBEV~1\\Server\\bin\\VERSIO~2.EXE"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"HBService32"="System.exe"

再看看市面上的杀毒软件都被添加进 了,我只把瑞星的找出来了。。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwsrv.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwstub.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RsAgent.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rsaupd.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RStray.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rtvscan.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\runiep.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ras.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMon.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavMonD.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavStub.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RavTask.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RawCopy.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegClean.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regmon.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegTool.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwcfg.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwmain.exe]
"Debugger"="ntsd -d"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rfwProxy.exe]


还发现开始程序里被装了个这个东西


看看进程。。。


那真的是惨不忍睹啊。。。


再看下系统日志。。。从4:46瑞星停止开始,后面的什么卡卡,防火墙。全部挨着挨着停止。。。




补充一下,主页被换成这个了http://www.zhaodao123.com/?h

再补充一下,此病毒会自动打开淘宝网http://www.taobao.com/promo/2k8/smc/sjyj_1028/index.php

还有我也不知道看哪里了。总之现在已经天亮了。这么多年来,我一直都支持瑞星。也没出过事。今天。。被我给碰上了。。现在电脑瘫痪ing,,。。。希望有关部门引起重视,我想我只是中的比较早的一个,接下来会有更多人的瑞星会被干掉的吧。。

病毒的一些文件我找出来了,各位主刀医生,事不宜迟,快解剖吧,。。。



用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727)

附件附件:

文件名:病毒.rar
下载次数:249
文件类型:application/octet-stream
文件大小:
上传时间:2008-11-4 6:51:57
描述:rar

最后编辑中招 最后编辑于 2008-11-04 13:25:24
分享到:
gototop
 
中招
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2008-11-04
  • 来自:
发表于: 2008-11-04 06:56 | 只看楼主 短消息 资料
字号: 2楼

回复:___深夜中招,此病毒如此厉害___

我还是支持瑞星的,我只爱瑞星,希望你们速速解决,沙发搬走睡觉去
gototop
 
zg1_2004
头像
禁止访问
  • 帖子:6782
  • 注册: 2004-01-22
  • 来自:
发表于: 2008-11-04 08:26 | 短消息 资料
字号: 3楼

回复:___深夜中招,此病毒如此厉害___

该用户帖子内容已被屏蔽
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-11-04 08:41 | 短消息 资料
字号: 4楼

回复: ___深夜中招,此病毒如此厉害___



引用:
原帖由 中招 于 2008-11-4 6:43:00 发表
首先一直很信任瑞星,防火墙,杀毒软件,瑞星卡卡全是最新的,一直开着,什么网页都没开,聊QQ聊得睡着了。醒来5点多了,发现屏幕上提示“系统文件被替换成无法识别的什么什么。。”,,然后QQ也是账号存在异常,要输入验证码,再看任务栏,瑞星全部被干掉了。只剩下我的网络连接、音量控制、QQ、千千静听图标,被黑了?。。不可能啊,我装了防火墙的啊。。。再


用瑞星20.69扫了一下附件:









那个atpx.exe,瑞星20.69不报。但瑞星主防可以搞掂它。
gototop
 
zg1_2004
头像
禁止访问
  • 帖子:6782
  • 注册: 2004-01-22
  • 来自:
发表于: 2008-11-04 08:47 | 短消息 资料
字号: 5楼

回复:___深夜中招,此病毒如此厉害___

该用户帖子内容已被屏蔽
gototop
 
中招
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2008-11-04
  • 来自:
发表于: 2008-11-04 09:31 | 只看楼主 短消息 资料
字号: 6楼

回复:___深夜中招,此病毒如此厉害___

回复大版主:
看样子瑞星可以杀掉,但是我就那么挂着就中招了,是啥原因呢。我的远程桌面确实没有关掉。。难道就因为这个中招?。。。。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2008-11-04 09:36 | 短消息 资料
字号: 7楼

回复:___深夜中招,此病毒如此厉害___

开网页中的

现在到处都在挂你这木马群病毒
gototop
 
中招
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2008-11-04
  • 来自:
发表于: 2008-11-04 13:28 | 只看楼主 短消息 资料
字号: 8楼

回复:___深夜中招,此病毒把瑞星3大组合干掉了___

oh..我开的都是很正规的网站,而且每天都开了,也没出啥事,昨晚睡一觉其来就变这样了。。。
gototop
 
嘿休嘿休
头像
初生襁褓狮
  • 帖子:55
  • 注册: 2008-11-01
  • 来自:
发表于: 2008-11-04 13:39 | 短消息 资料
字号: 9楼

回复:___深夜中招,此病毒把瑞星3大组合干掉了___

正常了,现在很多正规网战一样有挂马病毒的,我上次中这的情况跟你有惊人的相似!深表同情,所以说啊,不要相信什么正规网站
gototop
 
天天都要爱
头像
初生襁褓狮
  • 帖子:17
  • 注册: 2008-06-17
  • 来自:
发表于: 2008-11-04 14:28 | 短消息 资料
字号: 10楼

回复 1F 中招 的帖子

楼主中了时下最流行的病毒 建议楼主时时更新杀毒软件病毒库,并检查最近浏览的网页,此病毒多为网页挂马!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT