瑞星卡卡安全论坛

我电脑中了Trojan病毒,11月份被瑞星扫描到杀掉6个未知病毒,12月20号左右发现系统异常,比如关机时总有程序在运行,用其他杀木马的程序查杀才发现中了Trojan.VBS.Soraci.A变种木马#7166 可是用尽办法都无法清楚,把计算机抱到电脑城找朋友帮忙,最后还是把硬盘全部卡掉,重新分区,装了XP SP2 没用98了,回来后安装我的瑞星2006,顺便说一下,2006好象对付木马不怎么滴,我们的工程师加油哦~~~跑题了,哈哈,继续说安装完2006时突然显示了一个对话框,问我是否把IP202.165.102.123列入可信??迷糊~~~不知道是什么,开始上网 打好补丁,防火墙提示
2006-01-02 09:54:12, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1045[RASmin木马] => 202.165.100.115:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
????显示软件公司名为北京三七二一
这是什么?选择拒绝总是访问,立即卸载了雅虎助手
再用搜索有关3721的所有文件和文件夹,手动删除
用瑞星再查IP发现IP是
官方数据查询结果：
查询IP：202.165.100.115 
地理位置：澳大利亚,市名未知,
防火墙日志里又决绝了好几个IP
网络的请求，地址为：TCP, 0.0.0.0:1122 => 202.165.102.133:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-02 10:05:06, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1121 => 202.165.102.132:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-02 10:05:06, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1120 => 202.165.102.131:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-02 10:05:06, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1119 => 202.165.102.130:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-02 10:05:06, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1118 => 202.165.102.129:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-02 09:54:12, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1051 => 202.165.102.129:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-02 09:54:12, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1050 => 202.165.102.125:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-02 09:54:12, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1049 => 202.165.102.124:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
2006-01-02 09:54:12, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1048 => 202.165.102.123:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
现在也不知道还有没有木马了,用瑞星吃扫不出来的
所以在这里提醒大家暂时不要用3721,以免不必要的损失
我原来中了木马后是一上网就会不停中毒,各种各样的都有,一天多几个,每天都要杀几个,而且木马是杀了又有杀了又有,手动删除也不行,可能有备份文件,也可能是病毒本身具有下载其它病毒的功能,大家小心~~~~
还希望高手可以帮我看下这个文件里还有病毒么?
C:\WINDOWS\system32\rundll32.exe

晕 文件传不上来

C:\WINDOWS\system32\rundll32.exe你说这个是病毒？

这个文件里面扫描的木马程序

这个文件本身应该不是病毒,我怕木马和我的这个程序绑定在一起了

晕死，这是windows必要的文件，
只不过有些木马文件名和他一样而已。
区分方法就是看路径。

请问这个程序连接Internet属于不属于正常情况啊?大哥们帮帮我啊?

要看是哪个程序在用它。

2006-01-02 09:54:12, 系统禁止本地rundll32.exe连接网络的请求，地址为：TCP, 0.0.0.0:1045[RASmin木马] => 202.165.100.115:80[WEB网页]程序名称为：C:\WINDOWS\system32\rundll32.exe
日志里是这样的

[RASmin木马]？？？？？
你电脑里有木马？

那个日志什么意思 瑞星查不出来

那个只是一个记录而已，有的木马瑞星是不会报的。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Cnsmin                  3721                  北京三七二一科技有限公司        c:\WINDOWS\DOWNLO~1\CNSMIN.DLL
这个文件按路径找不到？但每次启动　防火墙的启动选项里就会出现　以前没有的

3721会用到rundll32.exe 来调用一些程序的.没什么.