http://bbs.ngacn.cc/read.php?tid=2375077&fpage=1&toread=&&page=1

上面是NGA的关于讨论近期被盗号的帖

本人就是受害者之一
用瑞星 卡巴 诺顿 NOD 等杀软全盘查杀 没发现任何可疑文件或者类木马文件 并且用的都是最新版本
我是5月3日被盗的

所有受害者基本都是4月底-5月初期间中招
是不是这个时间里爆发了什么流行性木马？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)

Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
（点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。）

附件: SREngLOG.log (2009-5-9 16:06:23, 47.00 K)
该附件被下载次数 176

是这样么？
谢谢你的回复这么快。。

日志个人认为无异常

那只烤狮子复制的怎么能不快


可疑文件：
驱动程序
[atksgt / atksgt][Running/Auto Start]
  <system32\DRIVERS\atksgt.sys><N/A>（应该为微软签名）
[FXDrv32 / FXDrv32][Stopped/Manual Start]
  <\??\H:\FXDrv32.sys><N/A>
[lirsgt / lirsgt][Running/Auto Start]
  <system32\DRIVERS\lirsgt.sys><N/A>

[XDva200 / XDva200][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\XDva200.sys><N/A>

sreng-启动项目 －－ 服务－－ 驱动程序之如下项删除：
(勾选隐藏已认证的微软项目,选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否"才是确认删除服务）
[XDva200 / XDva200]    <\??\C:\WINDOWS\system32\XDva200.sys>


是否使用代理服务器？

没使用代理服务器
是否把这个服务删除了就不会被盗号了？
被盗之后没重装系统 怀疑盗号木马仍然在系统中。。。
真快被折磨疯了 重装需要大量的备份 我没那个时间备份啊。。。

sreng不能对抗rootkit病毒


http://bbs.kafan.cn/viewthread.php?tid=459626&highlight=
扫下看看情况

正在扫描
本号被盗兄弟提供的那几个服务 删除不？

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started 2009年5月9日 - 16:42:55
========================================================================================================

--------------------------------------------------------------------------------------------------------
  Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 9.76 GB
- Working disk free size : 914.85 MB (9 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden value : HKEY_USERS\S-1-5-21-515967899-162531612-682003330-1003\Software\SecuROM\License information -> datasecu
Hidden value : HKEY_USERS\S-1-5-21-515967899-162531612-682003330-1003\Software\SecuROM\License information -> rkeysecu

--------------------------------------------------------------------------------------------------------
Files: 0/133022
Registry items: 2/237102
Processes: 0/38
Scan time: 00:03:35
--------------------------------------------------------------------------------------------------------
Active processes:
  - jnbwpdlh.exe    (PID 776) (Avira AntiRootkit Tool - Beta)
  - ImeUtil.exe      (PID 3292)
  - System          (PID 4)
  - SMSS.EXE        (PID 548)
  - CSRSS.EXE        (PID 608)
  - WINLOGON.EXE    (PID 632)
  - SERVICES.EXE    (PID 676)
  - LSASS.EXE        (PID 692)
  - SVCHOST.EXE      (PID 856)
  - SVCHOST.EXE      (PID 900)
  - CCenter.exe      (PID 952)
  - SVCHOST.EXE      (PID 960)
  - RavTask.exe      (PID 1000)
  - SVCHOST.EXE      (PID 1076)
  - SVCHOST.EXE      (PID 1128)
  - RavMonD.exe      (PID 1256)
  - SPOOLSV.EXE      (PID 1396)
  - SVCHOST.EXE      (PID 1484)
  - AppleMobileDeviceService.exe (PID 1512)
  - mDNSResponder.exe (PID 1540)
  - NVSVC32.EXE      (PID 1728)
  - EXPLORER.EXE    (PID 1880)
  - RTHDCPL.EXE      (PID 1984)
  - ScanFrm.exe      (PID 148)
  - SVCHOST.EXE      (PID 176)
  - EM_EXEC.EXE      (PID 276)
  - RSTray.exe      (PID 288)
  - ALG.EXE          (PID 1628)
  - iTunesHelper.exe (PID 1828)
  - RUNDLL32.EXE    (PID 1920)
  - rsnetsvr.exe    (PID 1996)
  - RsTray.exe      (PID 1180)
  - rssafety.exe    (PID 2060)
  - CTFMON.EXE      (PID 2084)
  - iPodService.exe  (PID 2572)
  - iexplore.exe    (PID 3364)
  - firefox.exe      (PID 3124)
  - avirarkd.exe    (PID 2152)
========================================================================================================
- Scan finished  2009年5月9日 - 16:46:31
========================================================================================================

不删
只是可疑
建议将文件发上来（Rar压缩文件）