日志上传，估计是木马，自己解决不了，帮忙解决下，谢！ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛日志上传，估计是木马，自己解决不了，帮忙解决下，谢！

	瑞星ESM助力北京石龙医院筑牢安全防线		瑞星恶意代码管理系统助金华电力提升防御能力		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		助力国家网络安全瑞星获病毒应急处理中心感谢信
	实力拉满瑞星第四十四次通过VB100测评		瑞星发布2024年六大网络安全趋势		瑞星携手中国农业大学共筑网络安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[求助] 日志上传，估计是木马，自己解决不了，帮忙解决下，谢！

毒太狠初生襁褓狮帖子:52 注册: 2007-09-24 来自:	发表于： 2010-08-24 21:13 \| 只看楼主短消息资料字号：小中大 1楼日志上传，估计是木马，自己解决不了，帮忙解决下，谢！中毒后现在瑞星和卡卡都不能升级。基本是每次开机发现病毒，然后杀掉，再开机在发现，重复出现。有几个网站上不了。特别是百度，还有一些搜索用网站。用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727) 附件: 文件名:srenglog.txt 下载次数:279 文件类型:text/plain 文件大小: 上传时间:2010-8-24 21:12:55 描述:txt
毒太狠初生襁褓狮帖子:52 注册: 2007-09-24 来自:	分享到：

巨狮狂舞飘泊而立狮帖子:723 注册: 2010-01-11 来自:河外星系	发表于： 2010-08-24 21:14 \| 短消息资料字号：小中大 2楼回复：日志上传，估计是木马，自己解决不了，帮忙解决下，谢！不能升级有什么提示啊
巨狮狂舞飘泊而立狮帖子:723 注册: 2010-01-11 来自:河外星系

毒太狠初生襁褓狮帖子:52 注册: 2007-09-24 来自:	发表于： 2010-08-24 21:19 \| 只看楼主短消息资料字号：小中大 3楼回复：日志上传，估计是木马，自己解决不了，帮忙解决下，谢！每次都是获取升级地址失败，请稍后再试。另外我把放火墙关了，升级也还是不行。
毒太狠初生襁褓狮帖子:52 注册: 2007-09-24 来自:

天月来了版主帖子:76896 注册: 2007-02-06 来自:	发表于： 2010-08-24 21:48 \| 短消息资料字号：小中大 4楼回复：日志上传，估计是木马，自己解决不了，帮忙解决下，谢！这些都是些什么呢？？？启动项目注册表 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <WCU><"C:\Program Files\Wireless\WCU\WCU.exe" -nogui> [] <JSCACBPMRun><C:\Program Files\CBPM\jsca_z2000\UserMgr.exe> [] <srvset><srvset.exe> [CICC] ================================== 服务 [help / help][Stopped/Auto Start] <C:\Program Files\help\srvany.exe><N/A> [Human Interface Device Access / HidServ][Running/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\Program Files\NetMeeting\%SESSIONNAME%\iuqum.cc3><N/A> [ffrererewfqr / Ias][Running/Auto Start] <C:\WINDOWS\\System32\\svchost.exe -k netsvcs-->C:\Documents and Settings\All Users\Application Data\\Iasid.dll><Microsof Corporatio> [Routing and Remote Access / RemoteAccess][Running/Auto Start] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\Program Files\NetMeeting\%SESSIONNAME%\kcdxb.cc3><N/A> [Task Scheduler / Schedule][Running/Auto Start] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\vuyyu.cc3><N/A> [Zzvirennr / Zzvirennr][Stopped/Auto Start] <C:\Program Files\Zzvirennr\srvany.exe><N/A> ================================== 浏览器加载项 [迅雷看看相关插件] {6C79D1E6-F778-400A-A4BE-4AFE759E0257} <C:\WINDOWS\5B85E413.dll, N/A> ================================== 正在运行的进程 [c:\program files\netmeeting\%sessionname%\iuqum.cc3] [N/A, ] [c:\program files\netmeeting\%sessionname%\kcdxb.cc3] [N/A, ] [c:\windows\system32\vuyyu.cc3] [N/A, ] [C:\Program Files\Common Files\helppa.dll] [N/A, ] [C:\WINDOWS\TEMP\BClib\krnln.fne] [, 1, 0, 0, 1] [C:\WINDOWS\TEMP\BClib\Exmlrpc.fne] [N/A, ] [C:\WINDOWS\TEMP\BClib\dp1.fne] [N/A, ] [C:\Program Files\Wuovvccni.dll] [N/A, ] [C:\WINDOWS\TEMP\BClib\krnln.fne] [, 1, 0, 0, 1] [C:\WINDOWS\TEMP\BClib\Exmlrpc.fne] [N/A, ] [C:\WINDOWS\TEMP\BClib\dp1.fne] [N/A, ] 百年以后，你的墓碑旁刻着的名字不是我
天月来了版主帖子:76896 注册: 2007-02-06 来自:

天鹰之翼飘泊而立狮帖子:644 注册: 2010-06-22 来自:	发表于： 2010-08-24 21:50 \| 短消息资料字号：小中大 5楼回复：日志上传，估计是木马，自己解决不了，帮忙解决下，谢！ 1.建议楼主把以下文件传到http://www.virscan.org看看有没问题有问题的话建议使用费尔.rar工具（内附说明）删除，删除前勾选“删除前备份”。 c:\program files\netmeeting\%sessionname%\iuqum.cc3 c:\program files\netmeeting\%sessionname%\kcdxb.cc3 c:\windows\system32\vuyyu.cc3 c:\windows\temp\bclib\dp1.fne c:\windows\temp\bclib\exmlrpc.fne c:\windows\temp\bclib\krnln.fne c:\program files\wuovvccni.dll c:\windows\system32\vuyyu.cc3 c:\program files\netmeeting\%sessionname%\kcdxb.cc3 c:\program files\netmeeting\%sessionname%\iuqum.cc3 c:\program files\zzvirennr\srvany.exe c:\program files\help\srvany.exe c:\documents and settings\all users\application data\\iasid.dll c:\windows\5b85e413.dll 建议你用可牛工具箱修复一下以下文件下载地址：http://dl.sd.keniu.com/killer/SysFixBox.exe （联网修复） c:\windows\system32\shdoclc.dll 2.删除重启后使用SREng修复下面各项：启动项目－－　启动文件夹之如下项删除： [PPTV] <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\PPTV.lnk> 启动项目－－服务－－ Win32服务应用程序之如下项禁用： [Task Scheduler / Schedule] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\vuyyu.cc3> [Routing and Remote Access / RemoteAccess] <C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\Program Files\NetMeeting\%SESSIONNAME%\kcdxb.cc3> [Human Interface Device Access / HidServ] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->C:\Program Files\NetMeeting\%SESSIONNAME%\iuqum.cc3> [Zzvirennr / Zzvirennr] <C:\Program Files\Zzvirennr\srvany.exe> [help / help] <C:\Program Files\help\srvany.exe> [ffrererewfqr / Ias] <C:\WINDOWS\\System32\\svchost.exe -k netsvcs-->C:\Documents and Settings\All Users\Application Data\\Iasid.dll> 系统修复－－　浏览器加载项之如下项删除： [迅雷看看相关插件] <C:\WINDOWS\5B85E413.dll> 弄完以后记得修复下瑞星即可。天鹰之翼最后编辑于 2010-08-24 21:53:52
天鹰之翼飘泊而立狮帖子:644 注册: 2010-06-22 来自:

kingyan 健康舞勺狮帖子:264 注册: 2007-01-24 来自:	发表于： 2010-08-24 21:51 \| 短消息资料字号：小中大 6楼回复：日志上传，估计是木马，自己解决不了，帮忙解决下，谢！ C:\Program Files\Coopen\Coopen.exe C:\Program Files\help\srvany.exe C:\Documents and Settings\All Users\Application Data\\Iasid.dll C:\Program Files\NetMeeting\%SESSIONNAME%\kcdxb.cc3 C:\Program Files\NetMeeting\%SESSIONNAME%\iuqum.cc3 C:\WINDOWS\system32\acs.exe C:\WINDOWS\system32\vuyyu.cc3 C:\Program Files\Zzvirennr\srvany.exe C:\WINDOWS\5B85E413.dll 将上述文件压缩打包后上传到论坛上吧，或者上传到virustotal网站进行病毒检测。另外搜索srvset.exe和nwiz.exe 两个文件，进行同样的检查。
kingyan 健康舞勺狮帖子:264 注册: 2007-01-24 来自:

追梦女孩拙长孩提狮帖子:216 注册: 2010-05-27 来自:	发表于： 2010-08-24 22:00 \| 短消息资料字号：小中大 7楼回复：日志上传，估计是木马，自己解决不了，帮忙解决下，谢！应该是每次杀毒都没有杀彻底吧，再次开机时，病毒再次感染其他盘或者就是开机触发的病毒。到安全模式下查杀看能不能杀掉。百度等不能上是不是host记录被修改了，楼主可以查看一下。至于扫描日志，看了一下，没看出什么大毛病，不过好像有很多没有经过verifed的项，楼主可以对照看一下是不是安全的。
追梦女孩拙长孩提狮帖子:216 注册: 2010-05-27 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT