瑞星卡卡安全论坛

前二天開始公司的電腦（windows 2003，XP）出現異常，表現為server,自動更新等服務被自動關閉，開啟之後不定時的又自動關閉
ping瑞星、微軟、諾頓等網站提示解析，將dns client服務停掉之後可以解析


用瑞星、norton查病毒沒有任何發現


請教一下論壇的各位，有遇到過這種情況沒？



用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/525.19 (KHTML, like Gecko) Chrome/1.0.154.36 Safari/525.19

当电脑出问题时

尝试扫SRENG日志发这论坛来

下载最新版本的SRENG工具：http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包，必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的：智能扫描=》扫描=》保存报告
4 把报告保存后，将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
请不要开新贴发日志，就原贴接贴发日志即可。

SRENG日志在這裡，見附檔
請教
急為什麼發不了附檔？？？！！！！:

• 对不起，您访问的页面不存在或出现错误，如果您认为i是卡卡安全论坛的问题，请点击 提交问题及建议 或 继续浏览卡卡安全论坛。 
  
  
• 　　　对您造成的不便我们深表歉意。感谢您的支持 

再嘗試發附檔！

完整日志贴上来

改文件名再嘗試發附檔

附件: log.txt

終於放上來了，之前默認的SREngLOG.log 文件放不上，不知是什麼問題，現在改了txt文件放上，請大家幫忙看看！

前二天開始公司的電腦（windows 2003－sp2，XP-sp2）出現異常，表現為server,自動更新等服務被自動關閉，開啟之後不定時的又自動關閉
ping瑞星、微軟、諾頓等網站均無法解析DNS（其他的一般網站可以），將dns client服務停掉之後可以解析


用瑞星、norton查病毒沒有任何發現

[TapeWare / TapeWare][Running/Auto Start]
  <C:\Program Files\TapeWare\TWWINSDR.EXE><N/A>
什么软件

備份的軟件，早裝了

就這台裝了，其他電腦都沒裝

沒人知道是怎麼回事？

下面这些在其他电脑也有吗？我不认识
启动项目
注册表
[HKEY_CURRENT_USER\Control Panel\Desktop]
    <SCRNSAVE.EXE><C:\WINDOWS\TRAVEL~1.SCR>  []

==================================
驱动程序
[acernbm / acernbm][Running/Auto Start]
  <\SystemRoot\system32\drivers\acernbm.sys><N/A>

==================================
正在运行的进程
    [C:\WINDOWS\TEMP\wmsetup.dll]  [N/A, ]
    [C:\DOCUME~1\acer\LOCALS~1\Temp\wmsetup.dll]  [N/A, ]

==================================
文件关联
.TXT  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\acer.vbs" %1 %* ]
.REG  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\acer.vbs" %1 %* ]
.CHM  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\acer.vbs" %1 %* ]
.HLP  Error. [%SystemRoot%\System32\WScript.exe "C:\WINDOWS\acer.vbs" %1 %* ]

樓上的兄弟，你貼的這些不是在我的log裡的啊
你跟其他貼弄錯了吧

呵呵！！

我看的是你七楼的日志呀

那日志不是你的:default3:

6楼日志去看了

未看出什么

靠日志难以帮你了

有一點發現
每次自動更新服務被停止前有一個可疑服務被啟動
稍後截圖請各位幫忙看看

那個可疑服務很狡滑，服務名稱每台機都不一樣，說明也是copy其他正常進程的說明
以我這台機為例
在日志中在自動更新服務被停止前有這樣一條記錄：
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
事件類型:    資訊
事件來源:    Service Control Manager
事件類別目錄:    無
事件識別xxx:    7035
日期:        2009/1/3
時間:        上午 08:21:01
使用者:        NT AUTHORITY\SYSTEM
電腦:    37DA3D6A17
描述:
smjhtqy 服務已成功地傳送一個 開始 控制。

請在 http://go.microsoft.com/fwlink/events.asp 查看說明及支援中心，以取得其他資訊。
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
按我的經驗這就是狐狸的尾巴
於是我去服務裡找，但沒找到這個名稱的服務，這也是這個病毒的狡滑之處，但找到一個顯示名稱是,manager microsoft的服務，描述：追蹤諸如 Windows 登入、網路、和電源事件的系統事件。通知這些事件的 COM+ 事件系統訂閱者。（TMD，從正常服務裡抄的，怪不得我瞄了幾次都沒瞄到），一看真正的名稱：rhzpiruf ，肯定就是這個了，靠，藏的真好，一看執行路徑：C:\WINDOWS\system32\svchost.exe -k netsvcs　　TMD，好xxx險，怪不得在進程裡也沒有！

我去注冊表svchost的注冊項netsvcs中，刪了這個名稱
重啟
自動更新這些服務暫時都正常了
但關於這個病毒的更詳細的情況還是未知
請高手指教

公司裡所有的電腦都中了
很奇怪
那個服務在注冊表server中的注冊是空的，沒有指向任何dll文件，服務本身開機時也未能啟動
但卻實實在在的影響了系統，如自動更新會被停止