网页只有在关闭瑞星防火墙才能打开！救命估计是木马！ bbs.ikaka.com

咕咕虫 - 2008-12-13 13:32:00

出现svchost.exe应用程序错误后按照置顶帖打上补丁，重新启动后，浏览器还是打不开网页，但是关闭防火墙就能打开了！
救命！扫描报告

另外老提示windows下的temp文件夹下有bot。exe文件要执行，删除后不久就又出现了！附件中。

瑞星防火墙还发现一个服务项没有任何说明 npdsvc.exe ，查找后没有该文件，发现windows\system32下有个npdsvc.ini文件
是木马么?

急疯了，请帮帮我

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

附件: SREngLOG.log

附件: bot.rar

附件: Npclsvc.rar

帅哥阿福 - 2008-12-13 13:38:00

C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\TbmstfS.dll
提交到这里，或者提交给瑞星，地址如下：http://mailcenter.rising.com.cn/index.shtml

咕咕虫 - 2008-12-13 13:41:00

现在关闭防火墙后打开网页现在超级慢，提交给他们了至今没有回复啊

帅哥阿福 - 2008-12-13 13:44:00

页面上提交的bot损坏，需要重新上传。
另外楼主是通过什么方式上传的？
如果是瑞星网站的邮件服务提交，这里提交成功后，会发送到邮箱中一封电脑签收的回复的。如果收到该回复，说明瑞星收到你的邮件，肯定会有回复的，要是没有这个回复，还需要重新上报。
直接从这里上报，解决速度较快，但是不一定会有回复的。

咕咕虫 - 2008-12-13 13:46:00

另外老提示windows下的temp文件夹下有bot。exe文件要执行，删除后不久就又出现了！附件中。

瑞星防火墙还发现一个服务项没有任何说明 npdsvc.exe ，查找后没有该文件，发现windows\system32下有个npdsvc.ini文件
是木马么?
这两个是木马么怎么办

我的扫描报告里面就那两个有问题提交后等信？谢谢。。。

帅哥阿福 - 2008-12-13 13:52:00

npdsvc.ini文件里的内容确实可疑。不过就文件本身而言，ini文件起不到危害作用。
至于npdsvc.exe如果找到的话，应该是病毒文件。

咕咕虫 - 2008-12-13 14:04:00

一阵好一阵坏，现在又开瑞星防火墙后打不开网页了，用sreng扫描提示 api hook一些函数内容与预期值不符，一大堆入口点错误，修复后再开还是错误。

还有提示注册表值APPINIT——dlls被修改为非正常值，查看关联着一个叫KMON.DLL的文件，怎么办啊，疯掉了！！大家帮帮我吧

咕咕虫 - 2008-12-13 14:10:00

网页只有在关闭瑞星防火墙才能打开！救命估计是木马！
出现svchost.exe应用程序错误后按照置顶帖打上补丁，重新启动后，浏览器还是打不开网页，但是关闭防火墙就能打开了！
救命！扫描报告

另外老提示windows下的temp文件夹下有bot。exe文件要执行，删除后不久就又出现了！附件中。

瑞星防火墙还发现一个服务项没有任何说明 npdsvc.exe ，查找后没有该文件，发现windows\system32下有个npdsvc.ini文件
是木马么?

急疯了，请帮帮我

一阵好一阵坏，现在又开瑞星防火墙能打开，后又打不开网页了用sreng扫描还提示 api hook一些函数内容与预期值不符，一大堆入口点错误，修复后再开还是错误。截图了请看下在附件里

还有提示注册表值APPINIT——dlls被修改为非正常值，查看关联着一个叫KMON.DLL的文件，怎么办啊，疯掉了！！大家帮帮我吧

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Maxthon; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

附件: SREngLOG.log

附件: Npclsvc.rar

帅哥阿福 - 2008-12-13 14:15:00

KMON.DLL是瑞星的文件，应属正常。
开防火墙就无法上网，首先确认安全级别是否设定为高，将其设为中试试。
另外关闭网址过滤后再检查一下，同时还需要检查系统修复里的lsp修复是否有损。

咕咕虫 - 2008-12-13 14:37:00

一阵好一阵坏，现在又开瑞星防火墙能打开，后又打不开网页了用sreng扫描还提示 api hook一些函数内容与预期值不符，一大堆入口点错误，修复后再开还是错误。截图了请看下在附件里
未命名.JPG (22.76 K)

2008-12-13 14:09:51

这个呢没事么

aaccbbdd - 2008-12-13 14:42:00

1.建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

c:\WINDOWS\ system32\DRIVERS\lirsgt.sys

启动项目－－服务－－ Win32服务应用程序之如下项禁用：

[Background Intelligent Transfer Service / BITS][Running/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\TbmstfS.dll><@ Microsoft Corporation. All rights reserved.>
启动项目－－服务－－驱动程序之如下项删除：
(选中有问题的驱动/服务后，点"删除服务"，点"设置"按钮即可。注意弹出的窗口中要点"否NO"才是确认删除服务）

[lirsgt / lirsgt][Running/Auto Start]
<system32\DRIVERS\lirsgt.sys><N/A>

有毒必问 - 2008-12-13 14:49:00

可能是瑞星防火墙设置太高了。。。

诚心加虚心 - 2008-12-13 16:28:00

你在“我的电脑”中把系统还原关掉，在服务中也关掉系统还原。替换以下文件：
C:\WINDOWS\system32\srsvc.dll
C:\WINDOWS\system32\svchost.exe
注意，要找同版本的干净文件。替换方法，换替换C:\WINDOWS\system32\dllcache\下的，在替换
C:\WINDOWS\system32\下的。

咕咕虫 - 2008-12-13 22:31:00

从哪里才能找到干净的这两个文件啊？

怎么替换？方法是什么请教教我。

aaccbbdd - 2008-12-13 22:31:00

先试试11楼。。。。。。。。。。。。。

咕咕虫 - 2008-12-13 22:48:00

11楼已经照做了，还是如此，瑞星防火墙必须关掉才能上网，开着就打不开网页，qq没问题不受影响。
目前的扫描报告

附件: SREngLOG.log

aaccbbdd - 2008-12-13 22:48:00

新日志发上来

咕咕虫 - 2008-12-13 22:50:00

已经发上来了，在附件里。请您看下。谢谢了

aaccbbdd - 2008-12-13 22:54:00

建议
sreng-启动项目－－服务－－ Win32服务应用程序之如下项禁用：

[Background Intelligent Transfer Service / BITS][Running/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\TbmstfS.dll><@ Microsoft Corporation. All rights reserved.>

C:\WINDOWS\system32\TbmstfS.dll
用附件删除

附件: c-_j_-x-_j.rar

附件: 修改的2007年金-山-粉-碎-器.rar

咕咕虫 - 2008-12-13 23:19:00

谢谢您啊。用您给的附件已经删除掉了，可是重新启动后，那个文件又出现了，服务项没有再出现。
目前开着防火墙上网，不过有些慢，似乎还是不正常好像。打开网页老半天没响应，然后突然一下子打开，或者是浏览器没有响应，只能从任务栏里结束任务
新扫描日志您看下。谢谢谢谢

附件: SREngLOG.log

aaccbbdd - 2008-12-13 23:29:00

建议使用XDelBox删除以下文件： Xdelbox1.8下载地址
使用说明：先勾选抑制再生，删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入不检查路径，导入后在要删除文件上点击右键，选择立刻重启删除(不论文件是否存在，继续操作重启删除
)，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。

C:\WINDOWS\system32\TbmstfS.dll

清理助手下载
升级清理助手，全盘扫描
清理系统

c:\windows\system32\acs.exe
发上来看看

咕咕虫 - 2008-12-13 23:43:00

谢谢那个文件终于删除掉了重新启动后没有了
这是最新的扫描文件。您给看看还有问题么谢谢。

目前我开着防火墙上网还正常。

还是感觉有点卡不过。

另外之前我提到的那个老是打开sreng时候提示一大推入口点错误没事么？

acs.exe 在附件里。我安装了无线网卡，是不是这个是无线网卡有关的程序？

真是非常感谢您！再次谢谢您。

附件: acs.rar

附件: SREngLOG.log

aaccbbdd - 2008-12-13 23:49:00

Atheros 无线网卡的驱动进程？

建议清理助手清理系统
附件清空临时文件夹

另外之前我提到的那个老是打开sreng时候提示一大推入口点错误没事么？2个是瑞星防火墙弄的，别的事卡卡上网助手弄得

附件: 清理临时文件工具ATF-Cleaner-cn.zip

咕咕虫 - 2008-12-13 23:54:00

好的真是太谢谢您了。时间不早今天不打扰您了，如果打扰您休息了真是非常抱歉。
目前似乎还没问题。明天接着上再看看。

非常感谢!!

咕咕虫 - 2008-12-14 9:11:00

真是非常感谢，今天开机目前正常。
不过ie刚才提示system32下的kernel32.dll这个文件错误，然后自动关闭了。
这是今天的扫描报告和这个文件的附件，麻烦高手给看一下有问题么。

真是太谢谢昨天晚上的大哥了，折腾到12点非常感谢

附件: SREngLOG.log

附件: kernel32.rar

天月来了 - 2008-12-14 9:17:00

找相同系统的kernel32.dll文件替换掉试试

或者卸载IE

再重装试试

瑞星卡卡安全论坛