瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 瑞星被映像劫持了,上报
choubaa - 2009-1-29 21:17:00

附件: 劫持.log (2009-1-29 21:19:58, 47.96 K)
该附件被下载次数 200

这是扫描的文件,希望工程师们分析一下,谢谢

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727)
超级游戏迷 - 2009-1-29 21:35:00
日志中的异常内容如下:
===========================================
注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    <ESafe><; d:\TEMP\Rar$EX01.312\Csrss.exe -start -hide>  [File is missing]
    <RavTask><; "d:\Program Files\Rising\Rav\RavTask.exe" -system>  [File is missing]
    <RfwMain><; "d:\Program Files\Rising\Rfw\rfwmain.exe" -Startup>  [File is missing]
    <runeip><; "d:\Program Files\Rising\AntiSpyware\runiep.exe" /startup>  [File is missing]
1、兰色部分表示瑞星杀软、防火墙及卡卡的程序文件丢失,怀疑被天网防火墙拦截,或没有正确地回应360的提示。
2、红色部分不详,怀疑为病毒添加。

驱动程序
[ExpScaner / ExpScaner][Stopped/Auto Start]
  <\??\D:\PROGRAM FILES\RISING\RAV\ExpScan.sys><N/A>
[MEMSCAN / MEMSCAN][Stopped/Auto Start]
  <\??\D:\PROGRAM FILES\RISING\RAV\MEMSCAN.sys><N/A>
[mProcRs / mProcRs][Stopped/Auto Start]
  <\??\d:\program files\rising\rfw\mProcRs.sys><N/A>
瑞星防火墙和杀软的驱动程序组建异常。

浏览器加载项
[番茄工具条3.1.5]
  {6451F285-9E41-4D8C-813D-794CA7BFEAB4} <C:\WINDOWS\system32\IETool.dll, N/A>
[番茄工具条3.1.5]
  {6451F285-9E41-4D8C-813D-794CA7BFEAB4} <C:\WINDOWS\system32\IETool.dll, N/A>
[SrchHook Class]
  {F08555B0-9CC3-11D2-AA8E-000000000000} <c:\program files\hottools\iebho.dll, N/A>
番茄系统带来的垃圾加载项,建议删除。
===================================================
分析:
1、个人认为瑞星出问题的主要原因是安装了多个防火墙导致冲突。请彻底卸载你机上的瑞星杀软和所有防火墙(瑞星+天网),然后先安装瑞星杀软,然后从天网防火墙和瑞星防火墙中选择一个安装。
2、个人建议将注册表中的红色部分及前文所列浏览器加载项删除。
choubaa - 2009-1-29 21:47:00
瑞星防火墙和卡卡早就卸载了,因为2009防火墙不能上网,就用的是天网,可能没卸干净。
刚才扫描的时候360提示添加启动项什么的,我以为病毒发作,全部拒绝了。
我再看看
超级游戏迷 - 2009-1-29 21:51:00


引用:
原帖由 choubaa 于 2009-1-29 21:47:00 发表
瑞星防火墙和卡卡早就卸载了,因为2009防火墙不能上网,就用的是天网,可能没卸干净。
刚才扫描的时候360提示添加启动项什么的,我以为病毒发作,全部拒绝了。
我再看看
新手的话,建议卸载360,这个DD对瑞星杀软和防火墙的正常进程加载和注册表项创建也神经病地出一大堆提示,选错的话会很麻烦……:default21:
超级游戏迷 - 2009-1-29 21:56:00
[RSPPSYS / RSPPSYS][Stopped/Auto Start]
  <\??\D:\PROGRAM FILES\RISING\RAV\RSPPSYS.sys><N/A>

你安装过瑞星的木马群专杀工具么?:default27:
choubaa - 2009-1-29 21:57:00
刚才病毒又发作了,瑞星挂了,没开360又扫描了一份日志,把可疑文件也上传上来了
可疑文件每次都生成在TEMP目录下,文件名是7位随机数字,不准上传这个文件类型,我+了1个后缀,本来是没后缀的。
日志有这2行
特殊特权被允许: SeDebugPrivilege [PID = 276, D:\TEMP\3906989]
特殊特权被允许: SeLoadDriverPrivilege [PID = 276, D:\TEMP\3906989]

附件: 劫持.log

附件: 3906989.log
choubaa - 2009-1-29 21:59:00


引用:
原帖由 超级游戏迷 于 2009-1-29 21:56:00 发表
[RSPPSYS / RSPPSYS][Stopped/Auto Start]
  <\??\D:\PROGRAM FILES\RISING\RAV\RSPPSYS.sys><N/A>

你安装过瑞星的木马群专杀工具么?:default27:


没有,我去下载看看
超级游戏迷 - 2009-1-29 22:04:00


引用:
原帖由 choubaa 于 2009-1-29 21:59:00 发表
[quote] 原帖由 超级游戏迷 于 2009-1-29 21:56:00 发表
[RSPPSYS / RSPPSYS][Stopped/Auto Start]
  <\??\D:\PROGRAM FILES\RISING\RAV\RSPPSYS.sys><N/A>

你安装过瑞星的木马群专杀工具么......
不用安装瑞星的专杀工具。请将D:\TEMP\3906989这个文件用WINRAR压缩,然后上传压缩包……
choubaa - 2009-1-29 22:15:00
那个文件已经被清理掉了,我重新上传,360,天网,绿鹰都没有挂,只有瑞星挂了,看来是针对的啊

附件: bingdu.rar
超级游戏迷 - 2009-1-29 22:24:00


引用:
原帖由 choubaa 于 2009-1-29 22:15:00 发表
那个文件已经被清理掉了,我重新上传,360,天网,绿鹰都没有挂,只有瑞星挂了,看来是针对的啊
可能是病毒本体释放的一群临时文件喽罗,瑞星MISS了,病毒本体不详,稍后替你上报“可疑文件交流区”:

文件名称 :  bingdu.rar
文件大小 :  269843 byte
文件类型 :  RAR archive data, v1d, os
MD5 :  22c5889a6abda79775baf1bd07d12127
SHA1 :  e9ee61258003238eccafbc17fd6a3e750d58c7b4

扫描结果
扫描结果 :  70%的杀软(26/37)报告发现病毒
时间 :  2009/01/29 22:20:32 (CST)
软件名称引擎版本
病毒库版本
病毒库时间
扫描结果
时间
a-squared4.0.0.29200901281704512009-01-28Trojan-Dropper.Agent!IK
5.221
AntiVir7.9.0.607.1.1.2012009-01-29TR/Dropper.Gen
2.002
Authentium5.1.12009012817452009-01-28W32/OnlineGames.AJ.gen!Eldorado (Possible)
1.255
AVAST!3.0.1090128-02009-01-28-
0.001
AVG7.5.52.442270.10.15/19232009-01-29-
2.312
BitDefender7.81008.26173877.233822009-01-29Rootkit.Agent.AIWN
2.909
CA (VET)9.0.0.14331.6.63342009-01-29Win32/SillyDl!generic trojan.
5.957
ClamAV0.94.289192009-01-29-
0.681
Comodo3.09522009-01-29-
1.311
CP Secure1.1.0.7152009.01.292009-01-29Troj.W32.Runner.bh
7.227
Dr.Web4.44.0.91702009.01.292009-01-29MULDROP.Trojan
4.317
F-Prot4.4.4.56200901282009-01-28W32/OnlineGames.AJ.gen!Eldorado (generic, not disinfectable)
1.223
F-Secure5.51.61002009.01.29.042009-01-29Trojan-Downloader:W32/Small.HBS [Orion]
4.418
GData19.2638/19.201200901292009-01-29Trojan-Dropper.Win32.Agent.afws [Engine:A]
6.406
IkarusT3.1.01.452009.01.29.722292009-01-29Trojan-Dropper.Agent
3.599
Microsoft1.42052009.01.292009-01-29TrojanDownloader:Win32/Small.gen!K
8.596
mks_vir2.012009.01.292009-01-29-
3.001
Norman5.93.015.93.002009-01-20W32/Packed_FSG.D
6.628
nProtect20090129.0130747622009-01-29-
40.126
Quick Heal10.002009.01.292009-01-29Suspicious - DNAScan
1.947
Sophos2.83.34.382009-01-29Mal/Behav-024
3.599
Sunbelt478647862009-01-28Trojan.Win32.Packed.gen (v)
8.449
The Hacker6.3.1.5v002312009-01-29-
2.001
VBA323.12.8.1120090128.11052009-01-28Win32.Trojan.Downloader (http://...) (suspicious)
3.582
ViRobot200901282009.01.282009-01-28Dropper.Agent.39305
0.989
VirusBuster4.5.11.1010.100.41/7847102009-01-28Trojan.DL.Small.AYWE
1.343
卡巴斯基5.5.102009.01.292009-01-29Trojan-Dropper.Win32.Agent.afws
0.362
安博士V32009.01.29.042009.01.292009-01-29Win-Trojan/Downloader.39305
1.159
安天2.0.1820090118.20639252009-01-18-
0.017
江民杀毒11.0.7062009.01.292009-01-29-
1.615
熊猫卫士9.05.012009.01.282009-01-28Trj/Downloader.MDW 
12.471
瑞星20.021.14.20.002009-01-28-
4.383
赛门铁克1.3.0.2420090128.0032009-01-28Trojan.Dropper
0.286
趋势科技8.700-10045.804.042009-01-29TROJ_DLOADR.UC
0.023
迈克菲5.3.0055092009-01-28-
5.160
金山毒霸2008.9.8.182009.1.29.212009-01-29Win32.Troj.DropRootKit.a.155648
0.948
飞塔2.81-3.1179.9772009-01-29PossibleThreat
0.191
注意: 就算报告发现病毒,也可能是杀软误报,请根据查毒结果自行判断

复制到剪贴板

choubaa - 2009-1-29 22:31:00
附上瑞星挂后扫描图一张
还有个可以文件

附件: schand.rar

附件: 桌面.rar
choubaa - 2009-1-29 22:45:00
运行任何程序,好像都会激活这些喽啰文件
超级游戏迷 - 2009-1-29 22:52:00
BAOHE大叔已经回复了:http://bbs.ikaka.com/showtopic-8592485.aspx

建议到这里看看:http://bbs.ikaka.com/showtopic-8592394.aspx
choubaa - 2009-1-29 23:32:00
大哥,我刚重启电脑,小弟对电脑了解不多,不知道哪些文件是毒啊,请指点

附件: 劫持.log
1
查看完整版本: 瑞星被映像劫持了,上报
© 2000 - 2025 Rising Corp. Ltd.