瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 急!急!急!公司中了rootkit.agent.dg

12345   3  /  5  页   跳转

急!急!急!公司中了rootkit.agent.dg

收藏
hedycola
头像
初生襁褓狮
  • 帖子:56
  • 注册: 2006-06-14
  • 来自:
发表于: 2006-06-15 11:36 | 显示全部 短消息 资料
字号: 21楼

引用:
【lansely的贴子】直接用IP访问能行么?
如果是 扫个HJ日志看看也许更清楚
顺便说下 你杀完了 再连网 之后 会不会又被感染呢?

...........................


证状不像是鸽子。。
我就是直接用IP访问的。。
我现在正在用瑞星杀,没再发现有rofl.sys提示了。。。
路由,交换机的灯在狂闪  ....
gototop
 
hedycola
头像
初生襁褓狮
  • 帖子:56
  • 注册: 2006-06-14
  • 来自:
发表于: 2006-06-15 11:40 | 显示全部 短消息 资料
字号: 22楼

我这里一条光纤一个路由,下面都是24口交换机,都能上外网,就是局域网提示无法找到网络,但能ping 通
gototop
 
hedycola
头像
初生襁褓狮
  • 帖子:56
  • 注册: 2006-06-14
  • 来自:
发表于: 2006-06-15 12:03 | 显示全部 短消息 资料
字号: 23楼

顶~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
gototop
 
hedycola
头像
初生襁褓狮
  • 帖子:56
  • 注册: 2006-06-14
  • 来自:
发表于: 2006-06-15 12:37 | 显示全部 短消息 资料
字号: 24楼

是一直都能上外网,自从瑞星提示有MS40-11 这个漏洞攻击打上补丁后就不能互相访问了,
你说的服务是哪一项?
我也在安全指派哪里访问此计算机everyone 打上勾了..
gototop
 
hedycola
头像
初生襁褓狮
  • 帖子:56
  • 注册: 2006-06-14
  • 来自:
发表于: 2006-06-15 14:02 | 显示全部 短消息 资料
字号: 25楼

引用:
【lansely的贴子】可以PING通 说明内网的物理线路是正常的
你内网如此多的机器 因该不是所有的都中毒 是吧 没中毒的 也不能互相访问 那说明不是病毒的关系
在装MS40-11这个补丁之前 可以互相访问 装完了 就不能互相访问了? 那问题会不会出在这个补丁上面呢 一起去查一下吧 呵呵
...........................


我有台win2003系统做共享文件的,都能访问它,但就是其它的2000机子都不能互相访问
gototop
 
hedycola
头像
初生襁褓狮
  • 帖子:56
  • 注册: 2006-06-14
  • 来自:
发表于: 2006-06-15 14:04 | 显示全部 短消息 资料
字号: 26楼

引用:
【lansely的贴子】顺便说句 一般来说  路由器和交换机级连的口 狂闪是正常的 其他的口出现频闪 因该还是有问题的
...........................


不是路由和交换机级连口,是所有的交换机口都是狂闪,拔掉些中毒的下级交换机线后就是正常的闪动
gototop
 
hedycola
头像
初生襁褓狮
  • 帖子:56
  • 注册: 2006-06-14
  • 来自:
发表于: 2006-06-15 14:06 | 显示全部 短消息 资料
字号: 27楼

引用:
【LOVE憨憨的贴子】那个补丁应该更改了什么
你最好重新配置一下局域网

...........................


局域网怎么重新配置?我只是用路由+交换机上网的,子机装好系统好都能互相访问的,你要我怎么重新配置?难不成只有一台台机子重装系统??????
gototop
 
hedycola
头像
初生襁褓狮
  • 帖子:56
  • 注册: 2006-06-14
  • 来自:
发表于: 2006-06-15 14:22 | 显示全部 短消息 资料
字号: 28楼

好像是有看到过中这个病毒后会把系统的IPC$关掉
gototop
 
hedycola
头像
初生襁褓狮
  • 帖子:56
  • 注册: 2006-06-14
  • 来自:
发表于: 2006-06-15 15:02 | 显示全部 短消息 资料
字号: 29楼

刚试了一下,用一台机子刚重装了系统后,装上杀毒防火墙,另一台可能有毒的机子去访问它,能连接打印机,能访问了,但突然又提示出MS40 011漏洞攻击后就又出现找不到网络路径了
gototop
 
hedycola
头像
初生襁褓狮
  • 帖子:56
  • 注册: 2006-06-14
  • 来自:
发表于: 2006-06-15 15:06 | 显示全部 短消息 资料
字号: 30楼

附上新发现rofl.sys后重启的扫描报告
2006-06-15,14:47:07

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows 2000 Professional Service Pack 4 (Build 2195)
- 管理权限用户 - 完整功能

以下内容被选中:
    所有的启动项目(包括注册表、启动文件夹、服务等)
    浏览器加载项
    正在运行的进程(包括进程模块信息)
    文件关联


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><ctfmon.exe>  [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <Synchronization Manager><mobsync.exe /logon>  [Microsoft Corporation]
    <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system>  [Beijing Rising Technology Co., Ltd.]
    <RfwMain><"C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup>  [Beijing Rising Technology Co., Ltd.]
    <IMSCMig><C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload>  [Microsoft Corporation]
    <OrderReminder><C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe>  [Hewlett-Packard]
    <TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot>  [RealNetworks, Inc.]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [Microsoft Corporation]
    <Userinit><C:\WINNT\system32\userinit.exe,>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINNT\system32\RavExt.dll>  [Beijing Rising Technology Co., Ltd.]
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><(无)>  []

==================================
启动文件夹
[Adobe Reader Speed Launch]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Adobe Reader Speed Launch.lnk><N>
[腾讯TM]
  <C:\Documents and Settings\leicy\「开始」菜单\程序\启动\腾讯TM.lnk><N>

==================================
服务
[Logical Disk Manager Administrative Service / dmadmin]
  <C:\WINNT\System32\dmadmin.exe /com><VERITAS Software Corp.>
[Rising Personal Firewall Service / RfwService]
  <c:\program files\rising\rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.>
[Rising Process Communication Center / RsCCenter]
  <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.>
[RsRavMon Service / RsRavMon]
  <"C:\Program Files\Rising\Rav\Ravmond.exe"><Beijing Rising Technology Co., Ltd.>
[Task Manager / Task Manager]
  <"C:\WINNT\taskmrg.exe"><Microsoft Corporation (TM)>

==================================
浏览器加载项
[AcroIEHlprObj Class]
  {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} <C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll, Adobe Systems Incorporated>
[信息检索(&R)]
  {92780B25-18CC-41C8-B9BE-3C9C571A8263} <C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL, Microsoft Corporation>
[@shdoclc.dll,-866]
  {c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A>
[@msdxmLC.dll,-1@2052,电台(&R)]
  {8E718888-423F-11D2-876E-00A0C9082467} <C:\WINNT\System32\msdxm.ocx, Microsoft Corporation>
[AxSubmitControl Class]
  {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} <C:\WINNT\DOWNLO~1\SUBMIT~1.DLL, >
[RootCertInstall Class]
  {D1056C7C-E30B-4234-9A4B-7E1038B167A7} <C:\WINNT\DOWNLO~1\RootCert.dll, >
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINNT\system32\Macromed\Flash\Flash8b.ocx, Macromedia, Inc.>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>
gototop
 
<<上一主题|下一主题>>
12345   3  /  5  页   跳转
页面顶部
Powered by Discuz!NT