12   1  /  2  页   跳转

[已解决] 请帮忙看一下

收藏
qlpssdc
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2008-12-30
  • 来自:
发表于: 2009-08-06 16:42 | 只看楼主 短消息 资料
字号: 1楼

请帮忙看一下

瑞星防火墙被自动删除,和此帖:http://bbs.ikaka.com/showtopic-8650226.aspx情况相同。
进程中莫名其妙多了"firefox.exe"、"privoxy.exe"和"VVisit.exe"三个进程,经查在"C:\WINDOWS\WinSxS\Policies"目录中有一个名为"Database"的文件夹,内有上面三个进程的执行文件,删除后重启即再生,开机刚进入桌面时进程中有"cmd.exe"和"ping.exe"两个进程活动,稍后即自行结束。
附件中是我的"SREng"扫描日志,请各位朋友指教,万分感激。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 1.1.4322; .NET CLR 3.0.04506.30; aff-kingsoft-ciba)

附件附件:

文件名:SREngLOG.log
下载次数:197
文件类型:application/octet-stream
文件大小:
上传时间:2009-8-6 16:56:39
描述:log

最后编辑qlpssdc 最后编辑于 2009-08-06 21:47:48
分享到:
gototop
 
帅哥阿福
头像
雄霸杖朝狮
  • 帖子:21071
  • 注册: 2006-03-29
  • 来自:米兰
论坛8周年活动礼物祖国六十华诞09欢乐圣诞
发表于: 2009-08-06 16:54 | 短消息 资料
字号: 2楼

回复:请帮忙看一下

应该没什么事儿。
防火墙重装一下。
╭∩╮(︶︿︶)╭∩╮
gototop
 
qlpssdc
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2008-12-30
  • 来自:
发表于: 2009-08-06 16:59 | 只看楼主 短消息 资料
字号: 3楼

回复: 请帮忙看一下



引用:
原帖由 帅哥阿福 于 2009-8-6 16:54:00 发表
应该没什么事儿。
防火墙重装一下。

不好意思,刚才上传的日志是我结束了那三个进程后扫描的,已经重新扫描上传,麻烦您再看一下。感谢!
PS:重装后重启即被删除。在线等待中,感谢指教!
最后编辑qlpssdc 最后编辑于 2009-08-06 17:01:59
gototop
 
帅哥阿福
头像
雄霸杖朝狮
  • 帖子:21071
  • 注册: 2006-03-29
  • 来自:米兰
论坛8周年活动礼物祖国六十华诞09欢乐圣诞
发表于: 2009-08-06 17:09 | 短消息 资料
字号: 4楼

回复:请帮忙看一下

看到几个可疑文件,不敢确定是什么。
下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
system32\DRIVERS\atksgt.sys
system32\DRIVERS\lirsgt.sys
system32\drivers\nocashio.sys
System32\DRIVERS\qbeo2.sys

上传病毒样本到可疑文件交流区,地址为:http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心【病毒样本】地址为:http://mailcenter.rising.com.cn/uploadnew.aspx
╭∩╮(︶︿︶)╭∩╮
gototop
 
qlpssdc
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2008-12-30
  • 来自:
发表于: 2009-08-06 17:49 | 只看楼主 短消息 资料
字号: 5楼

回复: 请帮忙看一下



引用:
原帖由 帅哥阿福 于 2009-8-6 17:09:00 发表
看到几个可疑文件,不敢确定是什么。
下载文件批量提取工具提取下面文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266
system32\DRIVERS\atksgt.sys
system32\DRIVERS\lirsgt.sys
system32\drivers\nocashio.sys
System32\DR

感谢!但"qbeo2.sys"提取失败,似乎没有这个文件。
gototop
 
qlpssdc
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2008-12-30
  • 来自:
发表于: 2009-08-06 18:35 | 只看楼主 短消息 资料
字号: 6楼

回复:请帮忙看一下

刚才在安全模式下全盘杀毒未发现异常。于是再次删除"C:\WINDOWS\WinSxS\Policies\Database"文件夹并清理注册表,重启后亦未见异常。而从瑞星官网下载防火墙安装程序运行后再次出现同样问题,且防火墙无法安装
gototop
 
aaccbbdd
头像
卡卡巡查
  • 帖子:45933
  • 注册: 2007-11-17
  • 来自:蜀山仙剑派
论坛8周年活动礼物卡卡名人堂祖国六十华诞09欢乐圣诞吃货勋章2012我眼中的你们幸福玫瑰
发表于: 2009-08-06 18:39 | 短消息 资料
字号: 7楼

回复:请帮忙看一下

1.建议使用XDelBox(Xdelbox解压后运行)删除以下文件:(XDelBox1.8下载)
使用说明:(先勾选抑制再生)删除时复制所有要删除文件的路径,在待删除文件列表里点击右键选择从剪贴板导入不检查路径,导入后在要删除文件上点击右键,选择立刻重启删除,电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质(包括U盘,MP3,手机存储卡等)。

c:\windows\helpctr\wuem\maf\svchost.exe
C:\windows\system32\wscsvc.dll

2.删除重启后使用SREng修复下面各项:

    启动项目 -- 服务 -- Win32服务应用程序之如下项禁用:
[Security Center / wscsvc]    <C:\WINDOWS\helpctr\wuem\maf\svchost.exe-->%SYSTEMROOT%\system32\wscsvc.dll>

**************以上分析报告由SREngLog分析助手提供******************
分析:小狮子
时间:2009-8-6
SREngLog分析助手 1.4 BY 草莽书生 (20090209 更新 BY 小金)
gototop
 
天云一剑
头像
叱咤花甲狮
  • 帖子:2028
  • 注册: 2008-07-06
  • 来自:知识折旧派
发表于: 2009-08-06 19:03 | 短消息 资料
字号: 8楼

回复:请帮忙看一下

http://s8.hk/0g0T  ,保存后,进带网络连接的安全模式
放桌面查杀就行了
如果安全模式进不去,先用SRENG系统修复-修复安全模式,然后按机箱重启按钮立刻重启


备用:
http://s8.hk/0g0U 
放桌面全盘扫一次
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 
qlpssdc
头像
初生襁褓狮
  • 帖子:21
  • 注册: 2008-12-30
  • 来自:
发表于: 2009-08-06 21:47 | 只看楼主 短消息 资料
字号: 9楼

回复:请帮忙看一下

感谢各位朋友!
三位的方法我都做了。用“天云一剑”老师提供的“大蜘蛛杀毒软件”查杀了三个病毒,其中两个在软件“Z武器”的安装目录中,所以想起好像是今天中午在“360安全卫士”的“软件升级”模块中看到“Z武器”有更新版本并进行了升级后,才出现的问题。不过因为今天这个病毒把我搞得晕头转向,所以只是隐约记得,不敢确定。
现在问题已经解决,再次感谢!
最后编辑qlpssdc 最后编辑于 2009-08-06 22:09:01
gototop
 
天云一剑
头像
叱咤花甲狮
  • 帖子:2028
  • 注册: 2008-07-06
  • 来自:知识折旧派
发表于: 2009-08-07 08:56 | 短消息 资料
字号: 10楼

回复 9F qlpssdc 的帖子

现在的免费软件都可能捆绑有插件
在安装时要看清楚,是否安装该插件
有的插件会报恶意程序或木马
当然Z武器这种带驱动更新和硬件检测的软件,偶尔也会有文件被误报
最后编辑天云一剑 最后编辑于 2009-08-07 09:04:39
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT