中了个免杀的灰鸽子,用了10多个杀毒软件都没找出来,这2天接二连三的掉QQ号

开始还以为号被盗,也就用瑞星杀了下,再去QQ网站申述号码,号码拿回来了,但是申述资料也被人搞去了

现在我7个QQ号全部都被盗窃者搞了去,昨天弄了一天,把排名前10的杀毒软件都搞了一次,也没杀出来,最气人的

是我在杀完后上网,他还在远程操纵我的电脑,伤心哦,各位大哥些我电脑上有很重要的资料,全格了装很麻烦的

你们有什么高招没?

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

日志太大了,我上传下

瑞星卡卡电脑诊断日志 v1.30 (2009-8-12 12:27:34)  北京瑞星信息技术有限公司

注释:    [A]表示该文件存在自启动关联;
    [M]表示该文件在内存中;

+ 注册表自运行项目
  + 系统服务
    + HKLM\System\CurrentControlSet\Services
      aspnet_state
        [A ] 1. c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
          Microsoft Corporation
          Microsoft ASP.NET State Server
          .text,.data,.rsrc,


      Ati HotKey Poller
        [AM] 2. c:\windows\system32\ati2evxx.exe
          ATI Technologies Inc.
          ATI External Event Utility EXE Module
          .text,.rdata,.data,.rsrc,


      avg8wd
        [AM] 3. d:\program files\avg\avg8\avgwdsvc.exe
          AVG Technologies CZ, s.r.o.
          AVG Watchdog Service
          .text,.rdata,.data,.rsrc,


      clr_optimization_v2.0.50727_32
        [A ] 4. c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
          Microsoft Corporation
          .NET Runtime Optimization Service
          .text,.data,.rsrc,


      FontCache3.0.0.0
        [A ] 5. c:\windows\microsoft.net\framework\v3.0\wpf\presentationfontcache.exe
          Microsoft Corporation
          PresentationFontCache.exe
          .text,.rsrc,.reloc,


      idsvc
        [A ] 6. c:\windows\microsoft.net\framework\v3.0\windows communication foundation\infocard.exe
          Microsoft Corporation
          Windows CardSpace
          .text,.rdata,.data,.rsrc,.reloc,


      NetTcpPortSharing
        [A ] 7. c:\windows\microsoft.net\framework\v3.0\windows communication foundation\smsvchost.exe
          Microsoft Corporation
          SMSvcHost.exe
          .text,.rsrc,.reloc,
          文件名和"svchost.exe"类似


      RavCCenter
        [AM] 8. d:\program files\rising\rav\ccenter.exe
          Beijing Rising Information Technology Co., Ltd.
          CCenter Application
          .text,.rdata,.data,.rsrc,


      RavTask
        [AM] 9. d:\program files\rising\rav\ravtask.exe
          Beijing Rising Information Technology Co., Ltd.
          ravtask
          .text,.rdata,.data,.rsrc,


      RfwCCenter
        [AM] 10. d:\program files\rising\rfw\ccenter.exe
          Beijing Rising Information Technology Co., Ltd.
          CCenter Application
          .text,.rdata,.data,.rsrc,


      RfwService
        [AM] 11. d:\program files\rising\rfw\rfwsrv.exe
          Beijing Rising Information Technology Co., Ltd.
          rfwsrvex Application
          .text,.rdata,.data,.rsrc,


      RfwTask
        [AM] 12. d:\program files\rising\rfw\ravtask.exe
          Beijing Rising Information Technology Co., Ltd.
          ravtask
          .text,.rdata,.data,.rsrc,


      RsRavMon
        [AM] 13. d:\program files\rising\rav\ravmond.exe
          Beijing Rising Information Technology Co., Ltd.
          ravmond
          .text,.rdata,.data,.rsrc,


      RsScanSrv
        [AM] 14. d:\program files\rising\rav\scanfrm.exe
          Beijing Rising Information Technology Co., Ltd.
          Rising Scan Service Framework
          .text,.rdata,.data,.rsrc,


      WMPNetworkSvc
        [A ] 15. c:\program files\windows media player\wmpnetwk.exe
          Microsoft Corporation
          Windows Media Player 网络共享服务
          .text,.data,.rsrc,.reloc,


      WudfSvc
        [A ] 16. c:\windows\system32\wudfsvc.dll
          Microsoft Corporation
          Windows Driver Foundation - User-mode Driver Framework Service
          .text,.data,.rsrc,.reloc,

+ 内核驱动
    + HKLM\System\CurrentControlSet\Services
      AmdPPM
        [A ] 17. c:\windows\system32\drivers\amdppm.sys
          Advanced Micro Devices
          AMD Processor Driver
          .text,.rdata,.data,PAGE,PAGELK,INIT,.rsrc,.reloc,


      AvgLdx86
        [A ] 18. c:\windows\system32\drivers\avgldx86.sys
          AVG Technologies CZ, s.r.o.
          AVG AVI Loader Driver
          .text,.rdata,.data,PAGE,INIT,.rsrc,.reloc,


      BIOS
        [A ] 19. c:\windows\system32\drivers\bios.sys
          BIOSTAR Group
          I/O Interface driver file
          .text,.rdata,.data,PAGE,INIT,.rsrc,.reloc,


      BulkUsb
        [A ] 20. c:\windows\system32\drivers\fabulk.sys


      HDAudBus
        [A ] 21. c:\windows\system32\drivers\hdaudbus.sys
          Windows (R) Server 2003 DDK provider
          High Definition Audio Bus Driver v1.0a
          .text,.rdata,.data,PAGE,INIT,.rsrc,.reloc,


      hookcont
        [A ] 22. c:\windows\system32\drivers\hookcont.sys
          Beijing Rising Information Technology Co., Ltd.
          HookCont Driver
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      hooksys
        [A ] 23. c:\windows\system32\drivers\hooksys.sys
          Beijing Rising Information Technology Co., Ltd.
          Hooksys.sys
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      IntcAzAudAddService
        [A ] 24. c:\windows\system32\drivers\rtkhdaud.sys
          Realtek Semiconductor Corp.
          Realtek(r) High Definition Audio Function Driver
          .text,CODE,.rdata,.data,.data1,PAGE,INIT,.rsrc,.reloc,


      NVENETFD
        [A ] 25. c:\windows\system32\drivers\nvenetfd.sys
          NVIDIA Corporation
          NVIDIA Networking Function Driver.
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      nvgts
        [A ] 26. c:\windows\system32\drivers\nvgts.sys
          NVIDIA Corporation
          NVIDIA? nForce(TM) Sata Performance Driver
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      nvnetbus
        [A ] 27. c:\windows\system32\drivers\nvnetbus.sys
          NVIDIA Corporation
          NVIDIA Networking Bus Driver.
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      RfwBase9
        [A ] 28. c:\windows\system32\drivers\rfwbase.sys
          Beijing Rising Information Technology Co., Ltd.
          rfwbase.sys
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      rfwtdi
        [A ] 29. d:\program files\rising\rfw\rfwtdi.sys
          Beijing Rising Information Technology Co., Ltd.
          rfwtdi5.sys
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      rsfwdrv
        [A ] 30. d:\program files\rising\rfw\rsfwdrv.sys
          Beijing Rising Information Technology Co., Ltd.
          rsfwdrv.sys
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      RsNTGDI
        [A ] 31. c:\windows\system32\drivers\rsntgdi.sys
          Beijing Rising Information Technology Co., Ltd.
          RsNTGDI
          .text,.rdata,INIT,.rsrc,.reloc,


      RsProtect
        [A ] 32. c:\windows\system32\drivers\rsptect.sys
          Beijing Rising Information Technology Co., Ltd.
          RsProtect
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      Secdrv
        [A ] 33. c:\windows\system32\drivers\secdrv.sys
          Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.
          Macrovision SECURITY Driver
          .text,.rdata,.data,PAGE,INIT,.rsrc,.reloc,


      WudfPf
        [A ] 34. c:\windows\system32\drivers\wudfpf.sys
          Microsoft Corporation
          Windows Driver Foundation - User-mode Driver Framework Platform Driver
          .text,.rdata,.data,PAGE,.edata,INIT,.rsrc,.reloc,


      WudfRd
        [A ] 35. c:\windows\system32\drivers\wudfrd.sys
          Microsoft Corporation
          Windows Driver Foundation - User-mode Driver Framework Reflector
          .text,.rdata,.data,PAGE,INIT,.rsrc,.reloc,

用sreng扫描出来的也很大哦,弄出来的可疑问题更多了

不过首先要感谢下J_muse 等大人的热心帮助,这几天真的搞的我焦头烂额的,下午那会QQ又被人申述去了,哎

这次扫描出来的可疑文件有8M多呢

夲號ヱ被ジ盜大人我的带宽不怎么行,上个8M的文件搞了差不多10分钟

大人门我还发现我的系统里有2个svchost文件

不知道是不是马

一个在SYS32下面,还有个在C:\WINDOWS\system32\dllcache

2个的MD5是一样的


70012 F:\PROGRAM FILES\THUNDER NETWORK\THUNDER\COMDLLS\XUNLEIBHO_NOW.DLL
70025 C:\WINDOWS\INF\MSMSGS.INF
70000 D:\PROGRA~1\AVG\AVG8\AVGWDSVC.EXE
70000 D:\PROGRA~1\RISING\RAV\RAVMOND.EXE
70012 F:\PROGRAM FILES\THUNDER NETWORK\THUNDER\COMDLLS\TDATONCE_NOW.DLL
70004 D:\PROGRA~1\AVG\AVG8\AVGTRAY.EXE
70012 C:\WINDOWS\SYSTEM32\RAVEXT.DLL
70004 D:\PROGRAM FILES\RISING\RFW\RSTRAY.EXE
70000 D:\PROGRA~1\RISING\RFW\CCENTER.EXE
70012 D:\PROGRAM FILES\AVG\AVG8\AVGSE.DLL
70000 D:\PROGRAM FILES\RISING\RAV\RAVTASK.EXE
70023 C:\WINDOWS\SYSTEM32\AVGRSSTX.DLL
70025 C:\WINDOWS\INF\MSNETMTG.INF
70012 C:\WINDOWS\SYSTEM32\MSVCP71.DLL
70012 F:\PROGRAM FILES\THUNDER NETWORK\THUNDER\COMPONENTS\RESWORKER\DATAPROCESSOR_00.DLL
70012 D:\PROGRAM FILES\WINRAR\RAREXT.DLL
70004 C:\WINDOWS\RTHDCPL.EXE
70004 C:\WINDOWS\SYSTEM32\KMON.DLL
70014 D:\PROGRAM FILES\RISING\ANTISPYWARE\SYSLAY.DLL
71001 F:\SRENG2\SRENGLDR.EXE
70000 D:\PROGRA~1\RISING\RAV\SCANFRM.EXE
70004 D:\PROGRAM FILES\RISING\ANTISPYWARE\RSTRAY.EXE
70000 D:\PROGRA~1\RISING\RAV\CCENTER.EXE
70000 C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
70025 C:\WINDOWS\INF\WMP11.INF
70014 D:\PROGRAM FILES\RISING\ANTISPYWARE\COMX3.DLL
70012 C:\WINDOWS\SYSTEM32\MSVCR71.DLL
70012 C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\ATIACMXX.DLL
70015 C:\WINDOWS\SYSTEM32\ATI2EVXX.DLL
70004 D:\PROGRAM FILES\RISING\RAV\RSTRAY.EXE
70004 D:\PROGRAM FILES\RISING\RAV\RSSAFETY.EXE
70004 C:\WINDOWS\ALCMTR.EXE
70011 C:\WINDOWS\SYSTEM32\MSI.DLL
70012 D:\PROGRAM FILES\ALIWANGWANG\ALIIMEXT.DLL
70000 D:\PROGRA~1\RISING\RFW\RFWSRV.EXE
70012 C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\ATIAMCHS.DLL
70012 F:\PROGRAM FILES\THUNDER NETWORK\THUNDER\COMPONENTS\RESWORKER\DSBHO_00.DLL
70000 D:\PROGRAM FILES\RISING\RFW\RAVTASK.EXE

Windows 进程激活服务 (WAS) 是 Windows Server 2008 新增的进程激活机制，它向使用非 HTTP 协议的应用程序提供了与类似 IIS 的功能，这些功能以前只对基于 HTTP 的应用程序可用。Windows Communication Foundation (WCF) 使用侦听器适配器接口传递激活请求，该激活请求通过由 WCF 支持的非 HTTP 协议（如 TCP、命名管道和 MSMQ）接收。用于通过非 HTTP 协议接收请求的功能由 SMSvcHost.exe 中运行的托管 Windows 服务承载。

Net.Msmq Listener Adapter 服务 (NetMsmqActivator) 根据队列中的消息激活排队的应用程序。


SMSvcHost.exe 看来这个是没问题的

8M多的是用sreng提取的,说是可疑文件

svchost.exe 这个服务我好象关过,不知道有什么用

日志扫描好了,谢谢大人

又搞了一上午,还是没搞出什么名堂来,依旧查不到毒