瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 电脑无限向外发出大量的包。。。
海帝 - 2009-2-14 10:31:00
如题。。。
请问这是中了什么病毒了?哪里有专杀工具。
发包把整个网络都弄瘫痪了。。
急~~~!!!!

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7)
piao2008 - 2009-2-14 10:31:00
扫SRENG日志发这论坛来

下载最新版本的SRENG工具:http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包,必须解压缩后再运行。
2 运行SREng***.EXE
3 选择主界面左边的:智能扫描=》扫描=》保存报告
4 把报告保存后,将日志文件发这论坛来。

建议日志文件以附件形式发来
点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。
不要随意开多贴求助,随意开多贴求助,将被删除多余求助贴。
揍黑客 - 2009-2-14 10:34:00
好象是arp欺骗
piao2008 - 2009-2-14 10:40:00
ARP病毒预防的方法,请参见:
http://bbs.ikaka.com/showtopic-8367063.aspx
http://bbs.ikaka.com/showtopic-8514154.aspx
海帝 - 2009-2-14 10:50:00


引用:
原帖由 piao2008 于 2009-2-14 10:31:00 发表
扫SRENG日志发这论坛来

下载最新版本的SRENG工具:http://www.kztechs.com/sreng/download.html
操作方法可以看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx

1 下载的是压缩包,必须解压缩后再运行。
2 运行SREng***.EXE
3 选


附件: SREngLOG扫描报告.log
夲號ヱ被ジ盜 - 2009-2-14 10:55:00
快点用我附件的东西
这个是具有ARP攻击的和感染EXE的东西,名称不好说,因为这东西屏蔽

威胁:
注册表
启动项
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [N/A]
[c:\windows\sdf.dll]  [N/A, ]
[PID: 1252 / SYSTEM][C:\WINDOWS\System32\migration\smss.exe]  [N/A, ]

附件: wori.rar
夲號ヱ被ジ盜 - 2009-2-14 11:02:00
用完之后
处理这些
(强烈建议重装,系统糟蹋的不成样子了)
驱动\服务如下删除
[jlfk / jlfk][Running/Auto Start]
  <C:\WINDOWS\system32\jlfk.exe><N/A>
[jlqk / jlqk][Running/Auto Start]
  <C:\WINDOWS\system32\jlqk.exe><Beijing Rising Information Technology Co., Ltd.>
[jwmk / jwmk][Running/Auto Start]
  <C:\WINDOWS\system32\jwmk.exe><Beijing Rising Information Technology Co., Ltd.>
[jywk / jywk][Running/Auto Start]
  <C:\WINDOWS\system32\jywk.exe><N/A>
[vidop / adshe][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k adshe-->%SystemRoot%\sdf.dll><N/A>
[AuthIP IPsec Keying Modules / AuthISvc][Running/Auto Start]
  <C:\WINDOWS\System32\migration\smss.exe><N/A>
[KTAgent / KTAgent][Running/Auto Start]
  <"C:\Program Files\KOUTON\CTBS Standard 5.0.7.5\CTBS Agent\AgentService.exe"><N/A>
[KTCoreServer / KTCoreServer][Running/Auto Start]
  <"C:\Program Files\KOUTON\CTBS Standard 5.0.7.5\CTBS Server\KTCoreServer.exe"><TODO: <公司名>>
[KTGateway / KTGateway][Running/Auto Start]
  <"C:\Program Files\KOUTON\CTBS Standard 5.0.7.5\CTBS Gateway\Gateway.exe"><TODO: <公司名>>
[KTGuard / KTGuard][Running/Auto Start]
  <"C:\Program Files\KOUTON\CTBS Standard 5.0.7.5\CTBS Guard\ServiceGuard.exe"><N/A>
[KtLicService / KtLicService][Running/Auto Start]
  <"C:\Program Files\KOUTON\CTBS Standard 5.0.7.5\CTBS Server\LicenseService.exe"><N/A>
[KTLogServer / KTLogServer][Running/Auto Start]
  <"C:\Program Files\KOUTON\CTBS Standard 5.0.7.5\CTBS Server\ktlogserver.exe"><TODO: <公司名>>
[KTPrintManage / KTPrintManage][Running/Auto Start]
  <"C:\Program Files\KOUTON\CTBS Standard 5.0.7.5\CTBS Agent\KTPrintManage.exe"><TODO: <公司名>>
[MS Media Control Center / MediaCenter][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k krnlsrvc-->C:\WINDOWS\system32\TjmitlD.dll><@ Microsoft Corporation. All rights reserved.>
夲號ヱ被ジ盜 - 2009-2-14 11:06:00
第3布步下载我签名的第三个(文件删除终!结!者!)里面有说明
删除以下文件:
    [c:\windows\sdf.dll]  [N/A, ]
[PID: 1252 / SYSTEM][C:\WINDOWS\System32\migration\smss.exe]  [N/A, ]
[PID: 1456 / SYSTEM][C:\WINDOWS\system32\jlfk.exe]  [N/A, ]
    [C:\WINDOWS\system32\PDS.DLL]  [LANDesk Software Ltd., 6.12.0.137 E]
    [C:\WINDOWS\system32\NTS.dll]  [LANDesk Software Ltd., 6.12.0.137 E]
[PID: 1456 / SYSTEM][C:\WINDOWS\system32\jlfk.exe]  [N/A, ]
[PID: 1520 / SYSTEM][C:\WINDOWS\system32\jlqk.exe]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 5]
[PID: 1580 / SYSTEM][C:\WINDOWS\system32\jwmk.exe]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 5]
[PID: 1624 / SYSTEM][C:\WINDOWS\system32\jywk.exe]  [N/A, ]
[C:\WINDOWS\system32\SecuComm.dll]  [N/A, ]
[这个目录下所有
C:\Program Files\KOUTON
d:\U8SOFT\
有这个签名的LANDesk Software Ltd., 6.12.0.137 E
dmmkfox2006 - 2009-2-14 11:49:00
该用户帖子内容已被屏蔽
p1x2l31988 - 2009-2-14 20:59:00
我的电脑上网老掉线,而且机器反应超慢,怀疑中病毒了,老是有个jiqk的程序运行!!!

附件: SREngLOG.log
夲號ヱ被ジ盜 - 2009-2-15 9:02:00
回复LS:用360打上系统补丁解决
以下删除:
[Internet sverices        / Internet sverices][Stopped/Auto Start]
  <C:\WINDOWS\surts.exe><N/A>
[Internet svrvwes        / Internet sviveces      ]
[Stopped/Auto Start]
  <C:\WINDOWS\sejs.exe><N/A>
[Internet svrvices        / Internet svrvices      ]
[Stopped/Auto Start]
  <C:\WINDOWS\scanFrm.exe><N/A>
[jlqk / jlqk][Stopped/Disabled]
  <C:\WINDOWS\system32\jlqk.exe><Beijing Rising Information Technology Co., Ltd.>
[jywk / jywk][Stopped/Disabled]
  <C:\WINDOWS\system32\jywk.exe><(File is missing)>
[Master ccenter services  / Master ccenter services ][Stopped/Auto Start]
  <C:\WINDOWS\dowsn.scr><N/A>
[rx 2008 / rx_2008][Stopped/Auto Start]
  <C:\Program Files\Common Files\xiaogang.exe><(File is missing)>
[Stormser / Stormser][Stopped/Auto Start]
  <><(File is missing)>
C:\WINDOWS\system32\GDI32.dll正常情况下不应该加载
C:\WINDOWS\system32\nvapi.dll发上来鉴定
黄坚寡人 - 2009-2-15 9:53:00
arp,赶紧杀
1
查看完整版本: 电脑无限向外发出大量的包。。。
© 2000 - 2025 Rising Corp. Ltd.