瑞星卡卡安全论坛

郁闷,删除可疑服务后,并且修改了管理员密码.还是被人给黑了.系统又被人加上了有管理员权限的"user"用户.
并且安装了两个软件上一个是DB Commander 2000 PRO另一个不知道是什么"飞尔世界"游戏程序的软件.
再上传一次再次被人黑掉后的系统扫描,文件名是"SREngLOG_b.log",希望那位大侠能看系统是怎么被人黑掉的.
//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

我都是用最新正版的瑞星2009杀毒软件杀毒,杀完毒后用卡卡和360都检测过了,都没查出什么毛病来.今天偶尔用远程控制服务器,再在服务器上用IE打开了一个卡卡论坛,我的guest用户就被启用,并被自动加上了管理员权限,进程中又多了一个login.src.  360提示正在增加一个系统服务,被我拒绝掉了.
另外系统中还有一个服务名称是"ydoyhm",路径是."C:\WINDOWS\system32\SVCHOST.EXE -k ydoyhm".不知道是做什么的.
帮帮忙,烦死我了.

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

补充一下,我用的是windows 2003操作系统.
刚才发现,c:\program files\internet explorer\目录下,也就是IE的安装路径下,只有三个文件iexplorer.exe,hmmapi.dll,iedw.exe以及另外三个目录.那三个文件可以直接删除掉,但过不了多久,系统又会自动生这个文件.用瑞星2009没有检测到是病毒.

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
现在把c:\windows\system32\xoqqlj.fsl和服务ydoyhm都删除掉了.

现在上传了一份之前SRENG2.6做的扫描日志SREngLOG.log ,以及卡的扫描日志.

再次感谢楼下帮忙的朋友,也请帮忙看看SRENG2.6扫描的结果有没问题.

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
新上传删除可疑服务之后的扫描,以及今天以及前两天瑞星2009的杀毒结果.
我现在主要是担心,有可能被安装了什么后门程序.因为,我的瑞星被病毒删除过,也被安装过什么游戏中心的软件.

附件: rslog.txt

附件: SREngLOG.log

附件: rslog.txt

附件: SREngLOG删除可疑服务后的扫描.log

附件: 之前几天用瑞星2009杀毒的结果.txt

附件: SREngLOG_b.log

补充一下,我用的是windows 2003操作系统.
刚才发现,c:\program files\internet explorer\目录下,也就是IE的安装路径下,只有三个文件iexplorer.exe,hmmapi.dll,iedw.exe以及另外三个目录.那三个文件可以直接删除掉,但过不了多久,系统又会自动生这个文件.用瑞星2009没有检测到是病毒.

c:\windows\system32\xoqqlj.fsl
上面文件用XDelBox一次性删除
(enao.ys168.com 下载)
复制上面所有要删除的文件，打开XDelBox,在待删除列表点 右键==>选择 剪贴版导入不检查路径==>点 右键==>选择==>立刻重启执行删除

删除服务
HKLM\System\CurrentControlSet\Services\ydoyhm

c:\windows\system32\xoqqlj.fsl
有些疑问，可以提交到这里来，另外，建议楼主扫SRENG日志发这论坛来
下载SRENG2.6版工具：http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作，看这贴2楼：http://bbs.ikaka.com/showtopic-8442813.aspx

我都是用最新正版的瑞星2009杀毒软件杀毒,杀完毒后用卡卡和360都检测过了,都没查出什么毛病来.今天偶尔用远程控制服务器,再在服务器上用IE打开了一个卡卡论坛,我的guest用户就被启用,并被自动加上了管理员权限,进程中又多了一个login.src.  360提示正在增加一个系统服务,被我拒绝掉了.
另外系统中还有一个服务名称是"ydoyhm",路径是."C:\WINDOWS\system32\SVCHOST.EXE -k ydoyhm".不知道是做什么的.
帮帮忙,烦死我了.

//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////


SRENG2.6的扫描日志我已经提交了,那个可疑文件和服务也被我删除掉了.谢谢你,再帮我检查一下.

那个服务还在
下载wsyscheck0223中文版.rar ，在服务管理里找到ydoyhm这个服务，右键选择“删除服务与文件”

另外你说的那3个文件是正常的系统文件，删除了会再生的。

///////////////////////////////////////////////////////////////////////////////
我上传的所有扫描日志都是在删除服务之前做的扫描.

另外,删除那个可疑的服务后再重启电脑后,我用360和卡卡,还有win2003自带的那个服务管理器里都没有再检测到那个可疑服务了,那个可疑文件也不存在了.

上传删除服务之前的日志有啥用？现在系统还有异常么？
Guest用户打开了，再禁用试下了。

用六楼的狙剑删除
c:\windows\System32\xoqqlj.fsl


—————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》Win32服务应用程序》里面找下面项删除
==================================
服务

[ydoyhm / ydoyhm][Stopped/Disabled]
  <C:\WINDOWS\system32\SVCHOST.EXE -k ydoyhm-->%SystemRoot%\System32\xoqqlj.fsl><N/A>

又异常了,被人恶意增加了一个user用户,该用户还具有管理员权限.并被安装了一些软件.
要不是我的瑞星我做了一点手脚,让别不能轻易删除或者停止使用.估计老早就是病毒满天飞了.

谁来帮帮我呀?

你把所有的远程有关的服务都禁用了，然后再删除user或给它设足够复杂的密码。也给自己登陆的帐户设复杂的密码。