瑞星卡卡安全论坛

不知道什么情况下会自动探出浏览http://www.7115.com这个网址然后立刻消失。就是闪一下，几次都不知道闪的是什么，看了一眼历史纪录才发现。
谢谢。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)

附件: SREngLOG.log

下2.7的么


为了高效解决问题，请配合

1.扫日志前建议清理助手清理系统
http://www.arswp.com/download.html
解压后运行，升级清理助手，全盘扫描，只清理高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作

如清理无效
2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序

3.到官方下载SReng
下载地址
http://www.kztechs.com/sreng/download.html
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)

PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr

4.为了对病毒准确定位和判断，找出替换文件的病毒，必须同时上传金山清理专家日志
下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.已发帖请跟贴，勿另开新帖。

如以上工具不能打开或正常运行，短消息call我

谢谢浏览别的帖子看到你的发言了刚弄好。

自己判断下服务：
[Logical Disk Manager / dmserver][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\dmserver.dll><Microsoft Corp.>

操作前强烈要求先断网

1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
C:\WINDOWS\System32\wmdmpmsvc.dll



SRENG-    启动项目 －－ 服务－－ 驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）


[Portable Media Serial Number Service / WmdmPmSN][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\wmdmpmsvc.dll><N/A>


这是什么东东？
C:\WINDOWS\System32\msbios.dll

- -不知道呢。。。。

先操作么:default3: :default3:

C:\WINDOWS\System32\msbios.dll                                       
打包发到可疑文件交流区

请问又没有办法删除后看看系统有没有问题如果有问题在恢复的方法？既然那个文件不知道是不是有问题删除看看。

好的我先发过去然后断网删除那些再上来。

C:\WINDOWS\System32\msbios.dll   
你先发上来看看么


1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
C:\WINDOWS\System32\wmdmpmsvc.dll


2.
SRENG-    启动项目 －－ 服务－－ 驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）


[Portable Media Serial Number Service / WmdmPmSN][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\wmdmpmsvc.dll><N/A>
这个100%病毒

让我自己判断dmserver.dll这个服务我也不清楚是什么请问怎么处理为好？

我已经发过去了http://bbs.ikaka.com/showtopic-8567144.aspx
另外这边也发一份方便查看。

附件: msbios.rar

病毒


VirSCAN.org Scanned Report :
Scanned time  : 2008/11/14 14:53:32 (CST)
Scanner results: 62%的杀软(24/39)报告发现病毒
File Name      : msfnot.dll.vir
File Size      : 63488 byte
File Type      : PE32 executable for MS Windows (DLL) (GUI) Intel 80386 32-bi
MD5            : 866c241de7e786935beec877c0000333
SHA1          : ef6347ab126499630d2e61bdc0b3f4cec91c53a7
Online report  : http://virscan.org/report/639f61b32fb552eeb6bd4945ae290ca0.html

Scanner        Engine Ver      Sig Ver          Sig Date    Time  Scan result
a-squared      4.0.0.26        20081114130145    2008-11-14  3.44  Virus.Win32.VunDrop!IK
安博士V3      2008.11.13.02  2008.11.13        2008-11-13  1.37  -
AntiVir        7.9.0.31        7.1.0.83          2008-11-13  1.53  TR/Crypt.XPACK.Gen
安天          2.0.18          20081112.1570491  2008-11-12  0.12  Trojan/Win32.Agent.aohb[Downloader]
Arcavir        1.0.5          200811061144      2008-11-06  1.21  -
Authentium    5.1.1          200811131815      2008-11-13  1.15  W32/STZ_like!Generic (Heuristic)
AVAST!        3.0.1          081113-1          2008-11-13  0.01  Win32:VunDrop [Drp]
AVG            7.5.52.442      270.9.3/1786      2008-11-13  1.76  -
BitDefender    7.81008.2167927 7.21856          2008-11-14  2.02  Trojan.Generic.953486
CA (VET)      9.0.0.143      31.6.6209        2008-11-13  5.72  -
ClamAV        0.94.1          8629              2008-11-14  0.02  -
Comodo        2.11            2.0.0.705        2008-11-12  0.46  -
CP Secure      1.1.0.715      2008.11.14        2008-11-14  6.46  Troj.Downloader.W32.Agent.aohb
Dr.Web        4.44.0.9170    2008.11.14        2008-11-14  3.46  Trojan.DownLoad.12624
ewido          4.0.0.2        2008.11.13        2008-11-13  3.66  -
F-Prot        4.4.4.56        20081113          2008-11-13  1.12  Possible W32/STZ_like!Generic
F-Secure      5.51.6100      2008.11.14.01    2008-11-14  0.04  Trojan-Downloader.Win32.Agent.aohb [AVP]
飞塔          2.81-3.117      9.707            2008-11-13  0.40  W32/Agent.AOHH!tr.dldr
GData          19.1521/19.104  20081113          2008-11-13  3.88  Trojan-Downloader.Win32.Agent.aohb [Engine:A]
ViRobot        20081113        2008.11.13        2008-11-13  0.40  Trojan.Win32.Downloader.63488.AM
Ikarus        T3.1.01.45      2008.11.14.71853  2008-11-14  3.40  Virus.Win32.VunDrop
江民杀毒      11.0.706        2008.11.13        2008-11-13  1.74  Trojan/Agent.bomy
卡巴斯基      5.5.10          2008.11.13        2008-11-13  0.04  Trojan-Downloader.Win32.Agent.aohb
金山毒霸      2008.9.8.18    2008.11.13.23    2008-11-13  0.72  -
迈克菲        5.3.00          5433              2008-11-13  2.47  Generic.dx
Microsoft      1.4104          2008.11.14        2008-11-14  5.96  Trojan:Win32/Mesoum.A
mks_vir        2.01            2008.11.14        2008-11-14  2.75  -
Norman        5.93.01        5.93.00          2008-11-13  5.09  W32/Agent.dam
熊猫卫士      9.05.01        2008.11.13        2008-11-13  3.88  Generic Trojan     
趋势科技      8.700-1004      5.652.11          2008-11-13  0.02  TROJ_MESOUM.AA
Quick Heal    10.00          2008.11.13        2008-11-13  1.49  -
瑞星          20.0            21.03.31.00      2008-11-13  1.78  -
Sophos        2.80.0          4.35              2008-11-14  1.92  Troj/Dloadr-BYY
Sunbelt        3.1.1785.2      4374              2008-11-04  0.47  -
赛门铁克      1.3.0.24        20081113.004      2008-11-13  0.29  -
nProtect      2008-11-13.00  2541089          2008-11-13  4.16  Trojan-Downloader/W32.Agent.63488.R
The Hacker    6.3.1.1        v00153            2008-11-13  0.46  -
VBA32          3.12.8.9        20081113.1132    2008-11-13  1.40  Trojan-Downloader.Win32.Agent.aohb
VirusBuster    4.5.11.10      10.93.1/671578    2008-11-13  0.88  -

修改的解决方法：
1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。
C:\WINDOWS\System32\wmdmpmsvc.dll
C:\WINDOWS\System32\msbios.dll   



SRENG-    启动项目 －－ 服务－－ 驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）


[Portable Media Serial Number Service / WmdmPmSN][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\wmdmpmsvc.dll><N/A>

C:\WINDOWS\System32\msbios.dll
100%病毒
是快车这类
应该是你那个快车安装包被篡改了
建议卸载快车

http://www.kpfans.com/bbs/thread-364835-1-1.html

谢谢，我去操作。
另外你让我自己判断的：
[Logical Disk Manager / dmserver][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\dmserver.dll><Microsoft Corp.>我不能确定我发上来请帮我看看。谢谢。
同时在C:\WINDOWS\System32\与C:\WINDOWS\System32\dllcache\目录下发现同名同大小文件。

附件: dmserver.rar

dmserver.dll？
C:\WINDOWS\System32\dllcache\目录下
？？

那个也发上来
看看是不是一回事

以上操作均已完成。
附上C:\WINDOWS\System32\dllcache\dmserver.dll
回14楼网际快车已卸载。其中有个文件无法删除，我将其重命名后重启删除完毕。另那个文件我一会上qq找人要。
谢谢两位。帮我分析一下这个文件。

附件: dmserver.rar

文件名：dmserver.dll

级别：安全

MD5值：d69aaa7e6911501cdc8f2e925d8b31f3
    各大安全厂商对本文件扫描情况
杀毒软件     扫描结果     扫描时间
360安全卫士     安全     2008-06-20
卡巴斯基     安全     2008-06-20
诺顿     安全     2008-06-20
BitDefender     安全     2008-06-22
Nod32     安全     2008-06-23
趋势反病毒     安全     2007-10-08


安全级别：安全      文件名：dmserver.dll  MD5:D69AAA7E6911501CDC8F2E925D8B31F3
      文件大小：21504 byte, 出品公司：Microsoft Corp., 版本号：2600.2180.503.0
      文件上报时间：2008-1-25 14:21:25  查看评论(1)

两个文件都安全？

17楼的

15楼的呢？

差点误杀

也是正常的

不对呀
不是我提到的16楼的文件

怎么还不操作？瞎胡问什么:default2: :default2:

17楼就是16楼说的那个C:\WINDOWS\System32\dllcache\目录下的dmserver.dll
是不是都没事亚？你说过的操作我都作了。

重启
再看看是否正常了

- -这个我重启了，但是无法看正常不正常。平时也没什么大问题就是1个星期内我发现两次弹出那个网页立刻消失。速度快的根本看不清。只有看纪录才能清楚出现过这个网址。如果要看是否正常恐怕我得等一个星期吧？而且我也没找到他以什么触发来弹出。你能帮我推测一下吗？

晕死

下载金山清理专家
http://www.duba.net/qing/
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告


这个没事干自己做下诊断
很简单的

哦，谢谢。看来没有问题了。
我得没事查查。不过难道我应该改用金山？瑞星太惨了。
多谢两位高手了。

什么呀
那是金山清理专家
辅助安全软件罢了
和瑞星不冲突

没事诊断下系统
很好的:default6:

谢谢，我以修改标题。