瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 最近电脑上面发生的非常奇怪的事情,求教高手![问题结束,请锁帖]

1   1  /  1  页   跳转

[求助] 最近电脑上面发生的非常奇怪的事情,求教高手![问题结束,请锁帖]

收藏
jade51
头像
初生襁褓狮
  • 帖子:50
  • 注册: 2008-02-10
  • 来自:
发表于: 2008-09-07 05:43 | 显示全部 短消息 资料
字号: 1楼

最近电脑上面发生的非常奇怪的事情,求教高手![问题结束,请锁帖]

前一阵我的电脑开机以后,发现瑞星的主要监控(实时文件,邮件,网页监控)全部被关闭,无法被打开.重启之后又正常.当时以为是电脑读取出了问题,就没有在意.
想不到到了今天,问题出现了.
在上网过程之中突然会发生所有exe文件不可执行或执行错误的情况(主要表现:IE的菜单工具条在打开新选择卡时会消失,exploerer失灵进不去"我的电脑",taskmgr完全没有反应,瑞星的杀软,防火墙功能完全丧失,卡卡助手无效,Icesword不可运行,QQ自动关闭等等).但是断网之后,一切全都恢复正常.用taskmgr和瑞星的隐藏程序检测也没有发现什么,用netstat -an检查没有发现有不明端口接入,net user检查没有出任何问题.
现在毛病又开始发作了,谁能告诉我这是怎么回事?

PS:由于当时机器故障时无法出sreng日志,只好断网再连之后重新扫描日志~补充一点发现,在我断网之后发现两个iexplore.exe进程卡在那里,不知道是不是它们引起的.还有,问题出现时,连dos命令,如net,netstat -an,包括dir命令都失灵.
今天扫描时看了一眼扫描出来的可能染毒文件,实在是太"精彩"了.....总大小157M.....

怀疑,病毒通过comctl32.dll注入感染了exe文件,现在瑞星已经被感染,第四个附件是系统文件的数字签名.(多谢天月的指点)
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

附件附件:

文件名:SREngLOG.txt
下载次数:113
文件类型:text/plain
文件大小:
上传时间:2008-9-7 17:43:36
描述:txt

附件附件:

下载次数:96
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-10 9:39:42
描述:log

附件附件:

下载次数:176
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-10 9:39:42
描述:rar

附件附件:

文件名:SIGVERIF.TXT
下载次数:308
文件类型:text/plain
文件大小:
上传时间:2008-9-10 10:00:22
描述:txt

附件附件:

文件名:comctl32.rar
下载次数:263
文件类型:application/octet-stream
文件大小:
上传时间:2008-9-10 12:41:30
描述:rar

最后编辑jade51 最后编辑于 2008-09-10 16:33:04
分享到:
gototop
 
jade51
头像
初生襁褓狮
  • 帖子:50
  • 注册: 2008-02-10
  • 来自:
发表于: 2008-09-08 03:31 | 显示全部 短消息 资料
字号: 2楼

回复:最近电脑上面发生的非常奇怪的事情,求教高手![SREng日志已上传]

应该不是,当时我只开了QQ,BT,explorer三个应用程序,CPU的利用率在10%以下,不可能突然升高到100%导致死机.而且当时机器并没有卡机的现象(CPU100%应该机器会很卡),运行的非常流畅,就是所有的exe文件全部都挂掉了,断网之后马上又可以用了.
PS:附上今天问题再次出现时扫描的SREng日志.(烦请帮我多关注一下iexplore.exe这个进程,谢谢!)

附件附件:

文件名:SREngLOG.txt
下载次数:154
文件类型:text/plain
文件大小:
上传时间:2008-9-8 6:53:23
描述:txt

最后编辑jade51 最后编辑于 2008-09-08 06:53:23
gototop
 
jade51
头像
初生襁褓狮
  • 帖子:50
  • 注册: 2008-02-10
  • 来自:
发表于: 2008-09-10 00:57 | 显示全部 短消息 资料
字号: 3楼

回复: 最近电脑上面发生的非常奇怪的事情,求教高手![SREng日志已上传]



引用:
原帖由 天月来了 于 2008-9-8 8:39:00 发表
D:\WINDOWS\system32\comctl32.dll文件怎么会显示在日志中呢??

建议楼主设法校验系统目录内的所有系统文件是否有被病毒替换的。


请问一下应该如何校验啊?


怀疑,病毒通过comctl32.dll注入感染了exe文件(多谢天月的指点)
请问谁能告诉我如何证实我的猜想?(icesword在病毒发作时无法正常工作,而SREng在病毒发作时无法保存扫描报告(由于notepad.exe已经被感染))
最后编辑jade51 最后编辑于 2008-09-10 09:54:26
gototop
 
jade51
头像
初生襁褓狮
  • 帖子:50
  • 注册: 2008-02-10
  • 来自:
发表于: 2008-09-10 01:39 | 显示全部 短消息 资料
字号: 4楼

回复: 最近电脑上面发生的非常奇怪的事情,求教高手![SREng日志已上传]



引用:
原帖由 IAI 于 2008-9-10 1:01:00 发表
D:\WINDOWS\system32\comctl32.dll
先把这个上传到http://www.virustotal.com/zh-cn这里看看有没有问题


这样的文件在D:\WINDOWS\system32\comctl32.dll找到3个,去提供的网站分析过后没有任何发现...
补充:SREng抓取了一个732K的comctl32.dll文件并自动改名为comctl32.dll.v,送去扫描之后也没有任何发现...

附件附件:

文件名:1.jpg
下载次数:409
文件类型:image/pjpeg
文件大小:
上传时间:2008-9-10 2:25:55
描述:jpg



附件附件:

文件名:1.jpg
下载次数:399
文件类型:image/pjpeg
文件大小:
上传时间:2008-9-10 2:30:03
描述:jpg



最后编辑jade51 最后编辑于 2008-09-10 09:47:02
gototop
 
jade51
头像
初生襁褓狮
  • 帖子:50
  • 注册: 2008-02-10
  • 来自:
发表于: 2008-09-10 08:13 | 显示全部 短消息 资料
字号: 5楼

回复: 最近电脑上面发生的非常奇怪的事情,求教高手![SREng日志已上传]



引用:
原帖由 天月来了 于 2008-9-10 7:59:00 发表
什么叫机器故障时无法出sreng日志,

怎么个无法出???


简单点说就是SREng保存日志要生成一个.log文件,要调用NOTEPAD.exe
而我在点保存日志时完全没有反应
请大家看6楼和8楼,那里有最新的回复

PS:刚才又用SREng看了一次,comctl32.dll这个模块还是注入了除了rising之外的所有进程.
希望高手不要看我的乱猜,请给予我指点,不胜感激~
最后编辑jade51 最后编辑于 2008-09-10 09:13:19
gototop
 
jade51
头像
初生襁褓狮
  • 帖子:50
  • 注册: 2008-02-10
  • 来自:
发表于: 2008-09-10 10:30 | 显示全部 短消息 资料
字号: 6楼

回复: 最近电脑上面发生的非常奇怪的事情,求教高手![更新最新SREng日志+扫描出来的可疑文件截图]



引用:
原帖由 天月来了 于 2008-9-10 10:15:00 发表
怎么才149个文件?

难道你系统里不少文件缺了

你还是有可能就还原系统吧

靠看各种日志,难以帮你了。


呵呵,麻烦天月了,我再等一等吧.
gototop
 
jade51
头像
初生襁褓狮
  • 帖子:50
  • 注册: 2008-02-10
  • 来自:
发表于: 2008-09-10 13:20 | 显示全部 短消息 资料
字号: 7楼

回复: 最近电脑上面发生的非常奇怪的事情,求教高手![更新最新SREng日志+扫描出来的可疑文件截图]



引用:
原帖由 轩辕小聪 于 2008-9-10 13:15:00 发表
从日志看,不仅是comctl32.dll,其他几个系统dll也通不过签名验证,很难一一确认是否是哪个dll有问题。而且不可能那么多dll都被病毒替换,怀疑楼主使用的是修改版或美化版的系统。


我用的是番茄花园3.2版的系统.
奇怪的是为什么comctl32.dll会注入所有的exe文件中,包括瑞星.
gototop
 
jade51
头像
初生襁褓狮
  • 帖子:50
  • 注册: 2008-02-10
  • 来自:
发表于: 2008-09-10 13:21 | 显示全部 短消息 资料
字号: 8楼

回复: 最近电脑上面发生的非常奇怪的事情,求教高手![更新最新SREng日志+扫描出来的可疑文件截图]

手一抽点错了.....
让我奇怪的是为什么comctl32.dll会注入所有的进程之中.
而且连RavmonD里面都有.
现在RavmonD对应的服务项是关闭着的
最后编辑jade51 最后编辑于 2008-09-10 13:22:07
gototop
 
jade51
头像
初生襁褓狮
  • 帖子:50
  • 注册: 2008-02-10
  • 来自:
发表于: 2008-09-10 13:35 | 显示全部 短消息 资料
字号: 9楼

回复: 最近电脑上面发生的非常奇怪的事情,求教高手![更新最新SREng日志+扫描出来的可疑文件截图]



引用:
comctl32.dll会注入所有的进程之中

也许我的表述有问题,我是个菜鸟,就别和我教真了.呵呵
还是麻烦您帮我看看新扫描的报告吧~
最后编辑jade51 最后编辑于 2008-09-10 13:36:14
gototop
 
jade51
头像
初生襁褓狮
  • 帖子:50
  • 注册: 2008-02-10
  • 来自:
发表于: 2008-09-10 16:31 | 显示全部 短消息 资料
字号: 10楼

回复:最近电脑上面发生的非常奇怪的事情,求教高手![更新最新SREng日志+扫描出来的可疑文件截图]

嗯呢,那这个问题就先告一段落吧.
如果有什么问题再来请教各位.
感谢:天月来了,非拉鐵非,轩辕小聪,IAI ,海上涛头雪,纯音乐网站,以及所有关心过这个问题的朋友们
提前祝大家中秋快乐!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT