瑞星卡卡安全论坛

29号 在玩网页游戏时发作了taskmart.exe  马上断网 关IE窗口 全盘扫毒 无果 Windows Defender 全面扫描无果
在扫毒过程中 IE总是反复弹 那个请求的网页在脱机状态下不可用请求连接的 对话框 任务管理器中发现IE在后台运行，前台没有打开的IE窗口 且该进程杀掉后 还会重新自动运行 最后，发现了 taskmart.exe 这个进程 杀掉后 ，所有症状消失。因为本人杀软不报毒 但程序反应实在异常 在上网查询后又手动干掉了 wmdmpmsvc.dll  和 er.dll  包刮禁掉服务 删掉注册表 和删除这两个文件 。后来又用瑞星在线查毒 查到  sens.dll （这个在Nt服务包反装文件夹下可以直接删掉） dmserver.dll          ipripw.dll  这三个 DLL文件带马， 按查出的文件名 删了后两个DLL的所有相关注册表项目 ，并按注册表内容禁用所有相关服务，并最终在安全模式下删了文件，而后在多方查询的过程中 ，发现中了假自动更新的木马  于是又自作主张想办法 删了两个 wuauclt1.exe , wuaueng1.dll  分别是在 system32 文件夹下 和dllcache  文件夹下 。是两个 两个一组的 真是越删越不安心啊 想想 这个假自动更新的木马 按症状推测 可是有挺长一段时间了真不知道又被下过多少马 因为这个假自动更新的马在查毒时也是没报毒的。但按网上说的这个马的症状，我也的确出现过 所以想来应该是的确中了这个了。现在就是想让各位帮忙看看 系统里还有什么可能是不正常的 dll 或 位置不对的程序 有可能是毒的 。以及这个假Window自动更新怎么能处理掉 网上没找到方法 ，而且我在注册表里没有搜到相关项目。但我在直接删时 该两文件却会自动恢复。

附件: SREngLOG.log

用解压工具WinRAR打开磁盘看根目录下不明文件
D:\Autorun.inf
D:\Info.exe folder.htt 480 480
看看到底是什么？？？，文件压缩发来看看。




还有这下面的计划任务不认识，自己去看看是什么
==================================
计划任务
[已启用] MP Scheduled Scan.job
        C:\Program Files\Windows Defender\MpCmdRun.exe

谢谢您的回复 您问的这个 D:\Autorun.inf 是我机器里本来就有的一个正常文件的名字, 如果没有被病毒改过的话这个文件是安全的.是HP公司设置的一个防止误操作的保险.

至于计划任务中的程序是Windows Defender 的起定时扫描功能的组件

另外 我机器今天又出现了新情况 就是开机后 总是要自动连网 总是弹出那个拔号连接的对话框 取后 还是会反复弹出. 而在任务管理器里却看不到 可疑进程了.也没有IE 的后台进程. 这个是不是隐藏木马在向外连接呢???
还有我要怎么察看这个连接请求是谁发出的 以及这个连接是连去哪里的????    还请更位不吝赐教 谢谢

附件: autorun.rar

你日志是正常的。
“就是开机后 总是要自动连网 总是弹出那个拔号连接的对话框 ”是不是随机启动用于网络连接的客户端？你运行msconfig，看启动项里有这个你熟悉的东东没，有的话就取消前面的勾。真有隐藏进程的话你用冰刃查看下，sreng日志里显示没有的。

您好 首先谢谢您的回复 请问 您所说的 随机启动用于网络连接的客户端 是指什么 ? 我机器里原来是没有这种状况的 应该是没有这种东西 .在启动项里边 比原来多了RSTray    和 RunOnce Application 这两个项目 路径指示是在我新安装的卡卡的目录下边 .其它的就没有别的了.是这两个程序在拨号吗? 

另外再附上 我在弹拨号连接对话框时 用几个工具扫的报告

再有 还请问下 怎么用冰刃查隐藏进程 我在冰刃里看过了 光看名字也看不出什么来的 能不能有什么方法能直接查到是哪个程序在调用这个拨号连接对话框 , 在没连接前我用端口查看 只有几个 SVCHOST.EXE  和安全软件的侦听程序 看不到这个要连接的程序. 可不理它的话它却老弹对话框 差不多两三分钟就弹一次.

附件: SREngLOG.log

附件: Syscheck200812031731.txt

附件: 听诊器的.rar

最好上传拨号连接对话框。
日志很正常。
你删的那几个文件都是系统文件，把附件里的这些文件拷贝到system32和dllcache目录下。 还删其他文件么？

附件: dmserver.rar (2008-12-3 22:32:37, 8.98 K)
该附件被下载次数 199

附件: wuauclt1.rar

附件: wuaueng1.rar

您好 谢谢您的回复 请问如何上传拨号连接对话框 我实在是不知道怎么从进程中找到它. 另外还删了一个 wmiprvse.exe  是在system32\wbem 里的

那是系统重要文件。把附件里的那个文件放到系统文件里去。
出现那个对话框时你截图xxx就可以了。

附件: wmiprvse.rar

您好再次感谢您的回复  另外您在附件中的 dmserver.dll  在多引擎扫毒站上扫描时报毒 具体内容如下

  SecureWeb-Gateway 6.7.6 2008.12.03 Trojan.LooksLike.Patched

你可以提交到http://www.virscan.org/到这里分析，分析结果：
文件信息

文件名称 :	dmserver.dll
文件大小 :	21504 byte
文件类型 :	PE32 executable for MS Windows (DLL) (console) Intel 80386 3
MD5 :	d22b022857d2c8618a92837648156752
SHA1 :	5a8453665355cc8696352049e37a3507942762bb

扫描结果

扫描结果 :	全部的杀毒软件报告没有发现病毒!
时间 :	2008/12/03 23:43:37 (CST)

或提交到瑞星可疑文件交流区  http://bbs.ikaka.com/showforum-20002.aspx

这是今天启动时的拨号连接对话框

那个 dmserver.dll 是在 http://www.virustotal.com/zh-cn/ 这里报毒的 这是置顶贴里的那三个多引擎站之一

附件: 弹框.rar

这说明不了什么，只有一个杀软报毒。你可以在那个网站上测试你的explorer.exe 同样有报毒的。你把删除了的文件用我附件里的补上，再把IE设置都恢复默认值试下。