瑞星卡卡安全论坛

前一阵我的电脑开机以后,发现瑞星的主要监控(实时文件,邮件,网页监控)全部被关闭,无法被打开.重启之后又正常.当时以为是电脑读取出了问题,就没有在意.
想不到到了今天,问题出现了.
在上网过程之中突然会发生所有exe文件不可执行或执行错误的情况(主要表现:IE的菜单工具条在打开新选择卡时会消失,exploerer失灵进不去"我的电脑",taskmgr完全没有反应,瑞星的杀软,防火墙功能完全丧失,卡卡助手无效,Icesword不可运行,QQ自动关闭等等).但是断网之后,一切全都恢复正常.用taskmgr和瑞星的隐藏程序检测也没有发现什么,用netstat -an检查没有发现有不明端口接入,net user检查没有出任何问题.
现在毛病又开始发作了,谁能告诉我这是怎么回事?

PS:由于当时机器故障时无法出sreng日志,只好断网再连之后重新扫描日志~补充一点发现,在我断网之后发现两个iexplore.exe进程卡在那里,不知道是不是它们引起的.还有,问题出现时,连dos命令,如net,netstat -an,包括dir命令都失灵.
今天扫描时看了一眼扫描出来的可能染毒文件,实在是太"精彩"了.....总大小157M.....

怀疑,病毒通过comctl32.dll注入感染了exe文件,现在瑞星已经被感染,第四个附件是系统文件的数字签名.(多谢天月的指点)
用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

附件: SREngLOG.txt

附件: 最新的SREngLOG.log

附件: SREng扫描出来的可疑文件截图.rar

附件: SIGVERIF.TXT

附件: comctl32.rar

日志我个人没看出什么毛病，是不是运行太多的程序导致死机啊

应该不是,当时我只开了QQ,BT,explorer三个应用程序,CPU的利用率在10%以下,不可能突然升高到100%导致死机.而且当时机器并没有卡机的现象(CPU100%应该机器会很卡),运行的非常流畅,就是所有的exe文件全部都挂掉了,断网之后马上又可以用了.
PS:附上今天问题再次出现时扫描的SREng日志.(烦请帮我多关注一下iexplore.exe这个进程,谢谢!)

附件: SREngLOG.txt

个人认为是文件关联出了问题，修复一下试试

D:\WINDOWS\system32\comctl32.dll文件怎么会显示在日志中呢？？

建议楼主设法校验系统目录内的所有系统文件是否有被病毒替换的。

请问一下应该如何校验啊?


怀疑,病毒通过comctl32.dll注入感染了exe文件(多谢天月的指点)
请问谁能告诉我如何证实我的猜想?(icesword在病毒发作时无法正常工作,而SREng在病毒发作时无法保存扫描报告(由于notepad.exe已经被感染))

D:\WINDOWS\system32\comctl32.dll
先把这个上传到http://www.virustotal.com/zh-cn这里看看有没有问题

这样的文件在D:\WINDOWS\system32\comctl32.dll找到3个,去提供的网站分析过后没有任何发现...
补充:SREng抓取了一个732K的comctl32.dll文件并自动改名为comctl32.dll.v,送去扫描之后也没有任何发现...

附件: 1.jpg

附件: 1.jpg

什么叫机器故障时无法出sreng日志,

怎么个无法出？？？

估计是 什么 inject 病毒

简单点说就是SREng保存日志要生成一个.log文件,要调用NOTEPAD.exe
而我在点保存日志时完全没有反应
请大家看6楼和8楼,那里有最新的回复

PS:刚才又用SREng看了一次,comctl32.dll这个模块还是注入了除了rising之外的所有进程.
希望高手不要看我的乱猜,请给予我指点,不胜感激~

至少我没本事帮你了

你在开始——运行——输入“sigverif”——数字签名验证

验证不对路的，原本是系统的文件，你可以去其他相同系统里找相同文件替换试试

其他的我帮不了你了

怎么才149个文件？

难道你系统里不少文件缺了

你还是有可能就还原系统吧

靠看各种日志，难以帮你了。

呵呵,麻烦天月了,我再等一等吧.

生成.log文件是不需要调用NOTEPAD.exe的。
把comctl32.dll打包传上来。

从日志看，不仅是comctl32.dll，其他几个系统dll也通不过签名验证，很难一一确认是否是哪个dll有问题。而且不可能那么多dll都被病毒替换，怀疑楼主使用的是修改版或美化版的系统。

我用的是番茄花园3.2版的系统.
奇怪的是为什么comctl32.dll会注入所有的exe文件中,包括瑞星.

手一抽点错了.....
让我奇怪的是为什么comctl32.dll会注入所有的进程之中.
而且连RavmonD里面都有.
现在RavmonD对应的服务项是关闭着的

请教一下，comctl32.dll会注入所有的进程，您是怎么看到的

也许我的表述有问题,我是个菜鸟,就别和我教真了.呵呵
还是麻烦您帮我看看新扫描的报告吧~

LZ错会了我的意思，我想知道怎么查看注入进程，我的确不会，真的
新日志我还是没看出什么问题
这样吧，你把瑞星杀毒软件卸载，重启电脑，重新安装瑞星
重新安装注意：卸载先前版本，删除安装目录后再安装，如果怀疑安装文件被破坏，请重新下载
如果您没有杀毒软件，可以下载瑞星一年免费版http://rsdownload.rising.com.cn/for_down/rsfree/ravfree08.exe

说过了comctl32.dll本身是系统dll，被大多数进程加载是很正常的，之所以被SREng日志显示，是因为这个dll是修改版系统中的，通不过微软签名验证。
Ravmond.exe的服务状态显示是关闭，但是它的进程还存在，这是瑞星自身出现的现象，不是病毒造成。

至于comctl32.dll，不要再纠缠于这个了，除了这个，shell32.dll、uxtheme.dll等系统dll（同样被大多数进程所加载）的签名也不正常。comctl32.dll与原版系统的相比，其代码段部分内容完全相同，只是其资源段内容比原版系统dll大，这也符合一般修改版修改资源以改变显示出来的图案的方式，因此它应该是修改版系统修改的结果。

如果一连网所有程序都不能正常运行，那么我认为恐怕不是病毒作为，更大可能是自己系统软件冲突的问题，包括tcpip.sys都是被修改过的（这个驱动正是管理TCP/IP协议的，与连网密切相关）。面对一个修改版的系统，我们很难确认和分析这种问题是由于修改版系统自身的兼容性出了问题，还是由于其他的什么原因。

如果实在没有办法，建议你卸载可能造成冲突的软件，如尝试重装瑞星，或者考虑重装原版系统，或者送修。

嗯呢,那这个问题就先告一段落吧.
如果有什么问题再来请教各位.
感谢:天月来了,非拉鐵非,轩辕小聪,IAI ,海上涛头雪,纯音乐网站,以及所有关心过这个问题的朋友们
提前祝大家中秋快乐!

100%病毒.

第三代木马？