autorun.inf+隐藏进程。附上日志（天月来了版主，文件样本来了！） - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 autorun.inf+隐藏进程。附上日志（天月来了版主，文件样本来了！）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十六次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[已解决] autorun.inf+隐藏进程。附上日志（天月来了版主，文件样本来了！）

王子归来拙长孩提狮帖子:71 注册: 2006-06-07 来自:	发表于： 2009-01-28 19:37 \| 只看楼主短消息资料字号：小中大 1楼 autorun.inf+隐藏进程。附上日志（天月来了版主，文件样本来了！）开始自己发现了这个autorun.inf，然后准备扫描时，SRE又提示发现一个隐藏进程，不知道是什么。怎么办？用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; Maxthon; .NET CLR 2.0.50727) 附件: 文件名:SREngLOG.log 下载次数:205 文件类型:application/octet-stream 文件大小: 上传时间:2009-1-28 19:36:43 描述:log 王子归来最后编辑于 2009-01-29 13:17:24
王子归来拙长孩提狮帖子:71 注册: 2006-06-07 来自:	分享到：

夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派	发表于： 2009-01-28 19:41 \| 短消息资料字号：小中大 2楼回复：autorun.inf+隐藏进程。附上日志先CMD.EXE输入ntsd -c q -p 1792 开始-附件-启动上传文件并删除然后用资源管理器打开每个盘删除之夲號ヱ被ジ盜最后编辑于 2009-01-28 19:43:06
夲號ヱ被ジ盜叱咤花甲狮帖子:7083 注册: 2008-08-21 来自:昆仑琼华派

王子归来拙长孩提狮帖子:71 注册: 2006-06-07 来自:	发表于： 2009-01-28 19:46 \| 只看楼主短消息资料字号：小中大 3楼回复：autorun.inf+隐藏进程。附上日志 CMD.EXE是什么，在哪啊？日志里没有什么问题么？
王子归来拙长孩提狮帖子:71 注册: 2006-06-07 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-01-28 19:53 \| 短消息资料字号：小中大 4楼回复：autorun.inf+隐藏进程。附上日志下载费尔木马删除工具，勾选抑制再生删除下面文件： http://bbs.ikaka.com/attachment.aspx?attachmentid=446804 删除： C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\msn.exe C:\Autorun.inf C:\msn.exe D:\Autorun.inf D:\msn.exe E:\Autorun.inf E:\msn.exe 不论删除结果如何，重启电脑 ———————————————————————————— 下面项目不认识，自己看文件判断去。启动项目注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <msconfig><C:\WINDOWS\system32\msconfig.exe /ALL> [Microsoft Corporation] <><C:\Program Files\Internet Explorer\Connection Wizard\Explorer.exe> [File is missing ================================== 服务 [NT LM Security Support(RPC) / NT LM Security Support(RPC)][Stopped/Auto Start] <C:\WINDOWS\system32\mmutilse.exe runsrv /name:"NT LM Security Support(RPC)" /prinum:"32" /cmdline:"C:\WINDOWS\system32\mcvcea.exe"><N/A> 请尽量将C:\msn.exe文件压缩发来
天月来了版主帖子:76904 注册: 2007-02-06 来自:

王子归来拙长孩提狮帖子:71 注册: 2006-06-07 来自:	发表于： 2009-01-28 20:14 \| 只看楼主短消息资料字号：小中大 5楼回复：autorun.inf+隐藏进程。附上日志 Explorer.exe 这个难道不是进程里桌面的那个吗？ mcvcea.exe 这个真不知道是什么吗，无法判断啊将C:\msn.exe 直接用你说的哪个方法删了，忘记发来了。不好意思啊，下次中的时候再发。
王子归来拙长孩提狮帖子:71 注册: 2006-06-07 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-01-28 20:20 \| 短消息资料字号：小中大 6楼回复 5F 王子归来的帖子又一个不传文件样本的太可惜了
天月来了版主帖子:76904 注册: 2007-02-06 来自:

happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团	发表于： 2009-01-28 22:18 \| 短消息资料字号：小中大 7楼回复：autorun.inf+隐藏进程。附上日志这个病毒不算太厉害如果能发上来
happysunday2003 叱咤花甲狮帖子:4313 注册: 2007-08-15 来自:358团

王子归来拙长孩提狮帖子:71 注册: 2006-06-07 来自:	发表于： 2009-01-28 23:29 \| 只看楼主短消息资料字号：小中大 8楼回复: autorun.inf+隐藏进程。附上日志原来是我的电子词典感染了。刚才我下东西又中标了。现在我就把这个MSN发上来！呵呵！麻烦版主给我个查杀的工具啊，不然每次用词典的时候都会中毒啊还有个问题，问下7楼签名里的MM是谁啊，感觉好面熟附件: 文件名:msn.rar 下载次数:213 文件类型:application/octet-stream 文件大小: 上传时间:2009-1-28 23:28:38 描述:rar 王子归来最后编辑于 2009-01-28 23:32:15
王子归来拙长孩提狮帖子:71 注册: 2006-06-07 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2009-01-29 09:52 \| 短消息资料字号：小中大 9楼回复 8F 王子归来的帖子你发的只是个文件夹而已你既然那么确定用词典的时候会中毒那么就去找新的下载使用呗，放弃你现在的那个被感染的词典呗或者将你认为一运行就来毒的那个词典的.exe文件压缩发来看。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

王子归来拙长孩提狮帖子:71 注册: 2006-06-07 来自:	发表于： 2009-01-29 12:33 \| 只看楼主短消息资料字号：小中大 10楼回复: autorun.inf+隐藏进程。附上日志（天月来了版主，文件样本来了！）引用: 原帖由天月来了于 2009-1-29 9:52:00 发表你发的只是个文件夹而已你既然那么确定用词典的时候会中毒那么就去找新的下载使用呗，放弃你现在的那个被感染的词典呗或者将你认为一运行就来毒的那个词典的.exe文件压缩发来看。只是文件夹？应该就是这个啊 QQ截图未命名.jpg (1.50 K) 2009-1-29 12:33:20 不是网上下的词典，是诺亚舟的词典（实物），昨天杀了之后，我把词典又接上电脑，结果又中了。有什么工具能杀词典里的毒啊？
王子归来拙长孩提狮帖子:71 注册: 2006-06-07 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT