瑞星卡卡安全论坛
pmkarl - 2009-1-29 2:05:00
前两天一个朋友拿手机来我这想弄点歌,他刚一插上手机,360就提示删除了autorun.inf(我这已经用超级兔子关闭了自动播放功能,还开了360实时防护),我感觉不太对,就用WinRAR打开他的手机,发现里面果然有毒,有N个和文件夹名相同的病毒(比如有个book文件夹,还有个book.exe病毒,依次类推),我把他们都删了后拔掉手机再插上,然后用WinRAR打开看没有病毒了,然后就用双击打开手机内存,给他传歌,但是我发现图片那个文件夹里有个乱码文件夹,删了半天无法删除,而且这个文件夹很奇怪,在WinRAR里看不到!而且WinRAR里看图片文件夹里竟然有5.6个乱码无后缀文件,在资源管理器里显示隐藏文件和系统文件都无法显示,我弄了半天无法删除也就没管,传完歌后我就一直感觉我电脑不太对劲,CPU在100%左右时鼠标总是一卡一卡的,而且这时用千千静听听歌的话也是一卡一卡的,歌还被慢放,而且我开着Maxthon2和QQ、360用暴风播放视频时(动画片100M左右,不是高清的,是RMVB格式的),也总是一顿一顿的,原来完全不会有问题,而且我感觉最奇怪的是,有时明明没干什么CPU却占用很高(80-90%左右,不是一直这样有时就一会儿),但是打开任务管理器看进程占用CPU最多的竟然是System Idle Process!我检查了进程,没有可疑进程,用瑞星(最新病毒库)在安全模式下杀了毒,没有,360扫,没有,我怀疑是不是病毒模块插入了某些进程,但是我实在是找不到,大家帮我分析下是不是中毒了,要怎样才能找到病毒?
附上我机子的配置,虽然老点,但是我感觉不应该是配置的问题,因为在弄朋友的手机前就这配置没有出现任何问题
CPU:Intel P4 511 2.8G(超频至3.11G使用,出问题前已经使用将近两个月,没问题)
主板:精英945P-A(Ver1.1)
内存:1G DDRII 533(金士顿,两条512M的组双通道)
显卡:双敏 火旋风 X550(128M/128bit)
硬盘:希捷 7200.7 160G
系统:Windows XP SP3 Pro VOL 原版(SP2原版手动升为SP3)
如果需要SREng或者其他什么的扫描日志来进行分析麻烦说一下,我马上发上来!
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; MAXTHON 2.0)
aaccbbdd - 2009-1-29 2:10:00
用CPU最多的竟然是System Idle Process
表明系统很清闲
好事
我感觉不太对,就用WinRAR打开他的手机,发现里面果然有毒,有N个和文件夹名相同的病毒(比如有个book文件夹,还有个book.exe病毒,依次类推
EXE文件发到可疑文件交流区
pmkarl - 2009-1-29 12:34:00
病毒已经删了,没法发,而且你没看全我说的,我是说CPU性能显示使用80-90%时,System Idle Process占用50-60%!你觉得这可能吗?而且不是瞬间这样,要持续一段时间的,可以肯定不是系统没有反应过来
天月来了 - 2009-1-29 12:43:00
那些%不能作为判断是否有毒的最高标准的。
你磁盘里的乱码文件时磁盘错误导致的
格式化即可
pmkarl - 2009-1-29 13:05:00
同样的文件,同样的程序,同样条件下使用,如果前后结果不一样是不是能说明系统有了问题?
中毒前(假设现在是中毒了),开Maxthon2、QQ、迅雷,用暴风看普通的视频完全没有问题;中毒后(现在),不要说开什么东西了,昨晚我实验了一下,即使只开暴风看同样的视频仍然每2秒左右卡一下,而且千千静听听歌时竟然能卡成慢放歌曲!为了防止有人又说暴风垃圾等等的话我刚刚用KMPlayer实验了一下,同样也是卡
天月来了 - 2009-1-29 13:08:00
那你给个SRENG日志看看吧
pmkarl - 2009-1-29 13:24:00
SREng日志发上来了,谢谢天月来了版主帮忙!
附件:
SREngLOG.log
天月来了 - 2009-1-29 13:36:00
日志确实没看出什么
这个应该是你的正常软件的
==================================
驱动程序
[Vax347b / Vax347b][Running/Boot Start]
<\SystemRoot\system32\DRIVERS\Vax347b.sys><>
[Vax347s / Vax347s][Running/Boot Start]
<\SystemRoot\System32\Drivers\Vax347s.sys><>
pmkarl - 2009-1-29 13:49:00
麻烦你了天月,我再自己找找看,会不会是硬盘有问题了?
WANGYOUFUZHAO - 2009-1-29 13:58:00
木马会占用大量资源的,建议杀一下木马。
天月来了 - 2009-1-29 14:00:00
和你硬盘有什么关系???
他是手机里有乱码文件而已
pmkarl - 2009-1-29 14:37:00
现在问题不是他的手机怎么样,而是我的电脑用起来卡
天月来了 - 2009-1-29 14:58:00
pmkarl - 2009-1-29 19:30:00
谢了,我今晚试试,明天给你报告!
pmkarl - 2009-1-30 9:44:00
报告送上:
用Windows清理助手扫描后我自己看了下结果,感觉下面几个文件很可疑,麻烦天月帮忙看下:
C:\WINDOWS\system32\drivers\npf.sys(查了下,网上说是传奇木马,但是如果装过winpcap也会有这个东西,我这扫出来结果里确实有WinPcap的相关项目,但是我不记得我曾经装过这个软件)
C:\WINDOWS\system32\drivers\pfc.sys
C:\WINDOWS\system32\drivers\smartAVS.sys
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\2052\mdmui.dll
用Dr.Web CureIt扫描,我明明设置的全部扫描,但是我总感觉C盘都没扫完,但是扫出来俩广告,都是原来装Real时留下来CNNIC广告,其他正常
backway - 2009-1-30 10:04:00
windows清理助手 有提示那些文件异常么?
C:\WINDOWS\system32\drivers\pfc.sys光驱有关的驱动文件
smartAVS.sys所属公司为All-In-Smart [CWJ,你可以看下
mdmui.dll公司签名为Microsoft Corporation, 7.00.9466
这些不用管
大蜘蛛扫描时选择全盘扫描就行了
pmkarl - 2009-1-30 10:13:00
Windows清理助手显示那几个文件是黑色的,别的正常文件都是灰色的,而且mdmui.dll是我隐藏了微软签名后依然显示的,我怀疑是不是那个签名是伪造的
夲號ヱ被ジ盜 - 2009-1-30 10:30:00
pmkarl - 2009-1-30 12:06:00
谁能告诉我C:\WINDOWS\system32\drivers\npf.sys是不是病毒啊?
pmkarl - 2009-1-31 14:28:00
在某个小论坛上发帖,有人回帖说他曾经中过这个病毒,然后建议用了个专杀,能修复,昨晚用了一下,修复了以下三个东西:
c:\boot
c:\windows\csc
C:\Windows\system32\cid_store.dat
现在机子用起来比原来好多了,虽然偶尔也还是卡,但是要比以前流畅的多了,有和我一样情况的朋友建议去试试USBclean出的文件夹图标病毒专杀工具FolderCure
pmkarl - 2009-2-1 1:06:00
终于让我给解决了!!!
原来是硬盘传输模式变为了PIO!从网上找到了解决的办法,现在感觉一切正常!回来报告一声!
1
© 2000 - 2025 Rising Corp. Ltd.