http://bbs.ngacn.cc/read.php?tid=2375077&fpage=1&toread=&&page=1

上面是NGA的关于讨论近期被盗号的帖

本人就是受害者之一
用瑞星 卡巴 诺顿 NOD 等杀软全盘查杀 没发现任何可疑文件或者类木马文件 并且用的都是最新版本
我是5月3日被盗的

所有受害者基本都是4月底-5月初期间中招
是不是这个时间里爆发了什么流行性木马？

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30)

附件: SREngLOG.log (2009-5-9 16:06:23, 47.00 K)
该附件被下载次数 198

是这样么？
谢谢你的回复这么快。。

没使用代理服务器
是否把这个服务删除了就不会被盗号了？
被盗之后没重装系统 怀疑盗号木马仍然在系统中。。。
真快被折磨疯了 重装需要大量的备份 我没那个时间备份啊。。。

正在扫描
本号被盗兄弟提供的那几个服务 删除不？

Avira AntiRootkit Tool - Beta (1.0.1.17)

========================================================================================================
- Scan started 2009年5月9日 - 16:42:55
========================================================================================================

--------------------------------------------------------------------------------------------------------
  Configuration:
--------------------------------------------------------------------------------------------------------
- [X] Scan files
- [X] Scan registry
- [X] Scan processes
- [ ] Fast scan
- Working disk total size : 9.76 GB
- Working disk free size : 914.85 MB (9 %)
--------------------------------------------------------------------------------------------------------

Results:
Hidden value : HKEY_USERS\S-1-5-21-515967899-162531612-682003330-1003\Software\SecuROM\License information -> datasecu
Hidden value : HKEY_USERS\S-1-5-21-515967899-162531612-682003330-1003\Software\SecuROM\License information -> rkeysecu

--------------------------------------------------------------------------------------------------------
Files: 0/133022
Registry items: 2/237102
Processes: 0/38
Scan time: 00:03:35
--------------------------------------------------------------------------------------------------------
Active processes:
  - jnbwpdlh.exe    (PID 776) (Avira AntiRootkit Tool - Beta)
  - ImeUtil.exe      (PID 3292)
  - System          (PID 4)
  - SMSS.EXE        (PID 548)
  - CSRSS.EXE        (PID 608)
  - WINLOGON.EXE    (PID 632)
  - SERVICES.EXE    (PID 676)
  - LSASS.EXE        (PID 692)
  - SVCHOST.EXE      (PID 856)
  - SVCHOST.EXE      (PID 900)
  - CCenter.exe      (PID 952)
  - SVCHOST.EXE      (PID 960)
  - RavTask.exe      (PID 1000)
  - SVCHOST.EXE      (PID 1076)
  - SVCHOST.EXE      (PID 1128)
  - RavMonD.exe      (PID 1256)
  - SPOOLSV.EXE      (PID 1396)
  - SVCHOST.EXE      (PID 1484)
  - AppleMobileDeviceService.exe (PID 1512)
  - mDNSResponder.exe (PID 1540)
  - NVSVC32.EXE      (PID 1728)
  - EXPLORER.EXE    (PID 1880)
  - RTHDCPL.EXE      (PID 1984)
  - ScanFrm.exe      (PID 148)
  - SVCHOST.EXE      (PID 176)
  - EM_EXEC.EXE      (PID 276)
  - RSTray.exe      (PID 288)
  - ALG.EXE          (PID 1628)
  - iTunesHelper.exe (PID 1828)
  - RUNDLL32.EXE    (PID 1920)
  - rsnetsvr.exe    (PID 1996)
  - RsTray.exe      (PID 1180)
  - rssafety.exe    (PID 2060)
  - CTFMON.EXE      (PID 2084)
  - iPodService.exe  (PID 2572)
  - iexplore.exe    (PID 3364)
  - firefox.exe      (PID 3124)
  - avirarkd.exe    (PID 2152)
========================================================================================================
- Scan finished  2009年5月9日 - 16:46:31
========================================================================================================

将你提供的那几个服务压缩传上来？
我试试看。

附件: sys.rar (2009-5-9 16:48:36, 100.67 K)
该附件被下载次数 202

只能提供这两个了

H：的那个查无此人
XDVA的那个已经删除

就剩这俩了

帮我看下扫描结果 谢谢了

附件: avirarkd.log (2009-5-9 17:38:53, 5.66 K)
该附件被下载次数 229

.............那我是如何被盗号的？
难道有完成盗号自动销毁的木马程序？
或者说完成盗号自动隐藏的木马？
这世界太神奇了。。。

传说中的杀人于无形？
那这木马自动删除了，不会死而复生吧？留了个尸体之类的等着复活。。