这是病毒吗？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛这是病毒吗？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

[已解决] 这是病毒吗？

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-13 20:10 \| 显示全部短消息资料字号：小中大 1楼这是病毒吗？截图4.JPG (19.14 K) 2008-11-13 20:09:41 今天QQ医生可疑文件扫描出了四个可疑文件，kk也有可疑进程，要不要删掉呢？瑞星完全查不出来！那天去问进程，已有人问过了http://bbs.ikaka.com/showtopic-8566287.aspx 截图3.jpg (43.70 K) 2008-11-13 20:09:41 可就是瑞星查不出来，现在扫描日志上传了，分析一下是不是毒吧。而QQ医生查出的要不要删掉呢？用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ) 附件: 文件名:SREngLOG.log 下载次数:238 文件类型:application/octet-stream 文件大小: 上传时间:2008-11-13 22:23:15 描述:log Find皮卡丘最后编辑于 2008-11-15 16:19:02
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	分享到：

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-14 18:23 \| 显示全部短消息资料字号：小中大 2楼回复: 这是病毒吗？没人帮忙吗？再提供一点线索，kk里有几个奇怪注册表信息 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\StartupPrograms HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\AppSetup HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Logon HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Logon HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Shell HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Shell HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run + RTHDCPL Realtek HD Audio Control Panel Realtek Semiconductor Corp. C:\WINDOWS\RTHDCPL.EXE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce C:\Documents and Settings\All Users\「开始」菜单\程序\启动 C:\Documents and Settings\Administrator\「开始」菜单\程序\启动 + QQ游戏启动加速程序.lnk 提升游戏大厅启动速度，极速畅游QQ游戏世界深圳市腾讯计算机系统有限公司 C:\PROGRA~1\TENCENT\QQGAME\ACCEL.EXE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run C:\WINDOWS\WIN.INI C:\WINDOWS\SYSTEM.INI HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Protocols\Filter HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Protocols\Handler HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components + 0 ABOUT:HOME.EXE HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved + 显示摇曳 CPL 扩展 DESKPAN.DLL + Shell Scrap DataHandler Shell scrap object handler Microsoft Corporation C:\WINDOWS\SYSTEM32\SHSCRAP.DLL + Directory Query UI Directory Service Find Microsoft Corporation C:\WINDOWS\SYSTEM32\DSQUERY.DLL + Shell properties for a DS object Directory Service Find Microsoft Corporation C:\WINDOWS\SYSTEM32\DSQUERY.DLL + Directory Object Find Directory Service Find Microsoft Corporation C:\WINDOWS\SYSTEM32\DSQUERY.DLL + Directory Start/Search Find Directory Service Find Microsoft Corporation C:\WINDOWS\SYSTEM32\DSQUERY.DLL + Cab 文件 Cabinet File Viewer Shell Extension Microsoft Corporation C:\WINDOWS\SYSTEM32\CABVIEW.DLL + WinRAR C:\PROGRAM FILES\WINRAR\RAREXT.DLL HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\Shellex\ColumnHandlers HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects + IcbcBho Class 中国工商银行IE工具栏中国工商银行 C:\PROGRAM FILES\中国工商银行\工行IE浏览器安全插件\ICBCTOOLBAR.DLL HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar + 工行工具栏中国工商银行IE工具栏中国工商银行 C:\PROGRAM FILES\中国工商银行\工行IE浏览器安全插件\ICBCTOOLBAR.DLL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Extensions + 启动迅雷5 Thunder Networking Technologies,LTD C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\THUNDER.EXE HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Extensions + HTTP://WWW.YLMF.COM/INDEX.HTM 计划任务 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services(Drivers) + IntcAzAudAddService Realtek(r) High Definition Audio Function Driver Realtek Semiconductor Corp. C:\WINDOWS\SYSTEM32\DRIVERS\RTKHDAUD.SYS + JGOGO SCSI Port upper filter driver JMicron C:\WINDOWS\SYSTEM32\DRIVERS\JGOGO.SYS + nv NVIDIA Compatible Windows 2000 Miniport Driver, Version 163.75 NVIDIA Corporation C:\WINDOWS\SYSTEM32\DRIVERS\NV4_MINI.SYS + nvrd32 NVIDIA? nForce(TM) RAID Driver NVIDIA Corporation C:\WINDOWS\SYSTEM32\DRIVERS\NVRD32.SYS + presafe C:\WINDOWS\SYSTEM32\DRIVERS\PRESAFE.SYS + Tcpip TCP/IP Protocol Driver Microsoft Corporation C:\WINDOWS\SYSTEM32\DRIVERS\TCPIP.SYS HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\BootExecute HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor\AutoRun HKEY_CURRENT_USER\SOFTWARE\Microsoft\Command Processor\AutoRun HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager\KnownDlls HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GinaDLL HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BootVerificationProgram\ImageName HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Print\Monitors HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa\Authentication Packages
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-14 22:35 \| 显示全部短消息资料字号：小中大 3楼回复 4F aaccbbdd 的帖子 http://bbs.ikaka.com/showtopic-8566301.aspx里已说taskmagr.exe 不是系统进程（非任务管理器），现在要做什么？先结束进程再把QQ医生里的4个文件删掉吗？
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-15 13:47 \| 显示全部短消息资料字号：小中大 4楼回复：这是病毒吗？严重问题啊！服务禁止了，粉碎时蓝屏，重启4个文件还在，是不是要勾选禁止文件再次生成？而且windows防火墙不断提示IE，是不是注册表中HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components + 0 ABOUT:HOME.EXE 这段出问题了？快帮我吧
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-15 14:01 \| 显示全部短消息资料字号：小中大 5楼回复：这是病毒吗？有一个木马类程序和未知的风险软件，删不删？
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-15 14:20 \| 显示全部短消息资料字号：小中大 6楼回复：这是病毒吗？要删几个啊？两个都删？
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-15 14:27 \| 显示全部短消息资料字号：小中大 7楼回复: 这是病毒吗？只有木马是高危哦，要备份吗？顺便把刚才的日志发一下，清理前的附件: 文件名:SREngLOG2.log 下载次数:165 文件类型:application/octet-stream 文件大小: 上传时间:2008-11-15 14:26:58 描述:log
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-15 14:34 \| 显示全部短消息资料字号：小中大 8楼回复：这是病毒吗？不看不知道，一看吓一跳，昨天停止的服务又运行，上诉服务找不到，还有清理助手提示要不要备份（木马），选什么？
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-15 14:46 \| 显示全部短消息资料字号：小中大 9楼回复: 这是病毒吗？成功了！清理助手把木马清理后，卡卡里的可疑进程消失，不过是否有残留还要看看，最新日志附件: 文件名:SREngLOG3.log 下载次数:137 文件类型:application/octet-stream 文件大小: 上传时间:2008-11-15 14:46:29 描述:log
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:

Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:	发表于： 2008-11-15 14:57 \| 显示全部短消息资料字号：小中大 10楼回复: 这是病毒吗？病毒文件在里面了，有问题吗？附件: 文件名:wmdmpmsvc.rar 下载次数:256 文件类型:application/octet-stream 文件大小: 上传时间:2008-11-15 14:56:52 描述:rar
Find皮卡丘初生襁褓狮帖子:70 注册: 2008-08-25 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT