【有新发现】电脑借朋友用了下就中了不知道什么病毒！求高手帮忙再看看~~ bbs.ikaka.com

宫城良田 - 2009-3-5 9:51:00

电脑借朋友用了下就中了不知道什么病毒！求高手帮忙看看~~

2009.3.10 加新的瑞星扫描日志

附件: 瑞星听诊信息.rar (2009-3-10 15:09:51, 6.43 K)
该附件被下载次数 240

==================================
API HOOK
入口点错误：NtCreateFile (危险等级: 高, 被下面模块所HOOK: 0x003D5705)
入口点错误：NtCreateKey (危险等级: 高, 被下面模块所HOOK: 0x003D58A5)
入口点错误：NtLoadDriver (危险等级: 高, 被下面模块所HOOK: 0x003D5FF5)
入口点错误：NtSetValueKey (危险等级: 高, 被下面模块所HOOK: 0x003D5975)
入口点错误：NtWriteFile (危险等级: 高, 被下面模块所HOOK: 0x003D57D5)
入口点错误：ZwCreateFile (危险等级: 高, 被下面模块所HOOK: 0x003D5705)
入口点错误：ZwCreateKey (危险等级: 高, 被下面模块所HOOK: 0x003D58A5)
入口点错误：ZwSetValueKey (危险等级: 高, 被下面模块所HOOK: 0x003D5975)
入口点错误：ZwWriteFile (危险等级: 高, 被下面模块所HOOK: 0x003D57D5)
入口点错误：CreateServiceA (危险等级: 高, 被下面模块所HOOK: 0x003D5CB5)
入口点错误：CreateServiceW (危险等级: 高, 被下面模块所HOOK: 0x003D5D85)
入口点错误：LoadLibraryA (危险等级: 高, 被下面模块所HOOK: 0x003D69B5)
入口点错误：LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: 0x003D559D)
入口点错误：CreateFileW (危险等级: 高, 被下面模块所HOOK: 0x003D64D5)
入口点错误：CreateProcessA (危险等级: 高, 被下面模块所HOOK: 0x003D68E5)
入口点错误：CreateProcessW (危险等级: 高, 被下面模块所HOOK: 0x003D6745)
==================================

附件: rslog.txt

附件: SREngLOG.log

宫城良田 - 2009-3-5 9:54:00

！！！！

云曦 - 2009-3-5 10:05:00

C:\WINDOWS\system32\Drivers\0043cf50.sys
C:\WINDOWS\system32\drivers\kmsinput.sys
\SystemRoot\System32\DRIVERS\laftf.sys
C:\WINDOWS\System32\new.sys
system32\DRIVERS\SPCP825K.sys

这些文件找到后，上传到论坛吧。

宫城良田 - 2009-3-5 10:06:00

高手，高手，快快来~~~

云曦 - 2009-3-5 10:12:00

入口点错误那些是因为安装了安全软件的原因，不用担心，还是把那些可疑文件提取上来吧

宫城良田 - 2009-3-5 10:14:00

好的，高手来了~~太好了~~~

宫城良田 - 2009-3-5 10:47:00

引用:

原帖由云曦于 2009-3-5 10:05:00 发表
C:\WINDOWS\system32\Drivers\0043cf50.sys
C:\WINDOWS\system32\drivers\kmsinput.sys
\SystemRoot\System32\DRIVERS\laftf.sys
C:\WINDOWS\System32\new.sys
system32\DRIVERS\SPCP825K.sys

这些文件找到后，上传到论坛吧。

我全盘搜索了，只找到kmsinput.sys

附件: kmsinput.rar

云曦 - 2009-3-5 10:58:00

文件 kmsinput.sys_ 接收于 2009.03.02 11:12:20 (CET)
当前状态: 完成
结果: 10/39 (25.64%)

反病毒引擎	版本	最后更新	扫描结果
a-squared	4.0.0.101	2009.03.02	Email-Worm.Win32.Brontok.q!IK
AhnLab-V3	5.0.0.2	2009.02.27	-
AntiVir	7.9.0.98	2009.03.02	-
Authentium	5.1.0.4	2009.03.01	-
Avast	4.8.1335.0	2009.03.01	-
AVG	8.0.0.237	2009.03.01	Generic6.QQP
BitDefender	7.2	2009.03.02	-
CAT-QuickHeal	10.00	2009.03.02	-
ClamAV	0.94.1	2009.03.02	-
Comodo	986	2009.02.20	-
DrWeb	4.44.0.09170	2009.03.02	-
eSafe	7.0.17.0	2009.02.26	Win32.Brontok.q
eTrust-Vet	31.6.6379	2009.03.02	-
F-Prot	4.4.4.56	2009.03.01	-
F-Secure	8.0.14470.0	2009.03.02	-
Fortinet	3.117.0.0	2009.03.02	W32/Brontok.Q@mm
GData	19	2009.03.02	-
Ikarus	T3.1.1.45.0	2009.03.02	Email-Worm.Win32.Brontok.q
K7AntiVirus	7.10.649	2009.02.27	Trojan.Win32.Malware.1
Kaspersky	7.0.0.125	2009.03.02	-
McAfee	5540	2009.03.01	-
McAfee+Artemis	5540	2009.03.01	-
Microsoft	1.4306	2009.03.02	-
NOD32	3900	2009.03.02	-
Norman	6.00.06	2009.02.27	-
nProtect	2009.1.8.0	2009.03.02	Worm/W32.Brontok.15440
Panda	10.0.0.10	2009.03.01	-
PCTools	4.4.2.0	2009.03.01	-
Prevx1	V2	2009.03.02	Medium Risk Malware
Rising	21.19.02.00	2009.03.02	-
SecureWeb-Gateway	6.7.6	2009.03.02	-
Sophos	4.39.0	2009.03.02	Mal/Generic-A
Sunbelt	3.2.1858.2	2009.02.28	-
Symantec	10	2009.03.02	-
TheHacker	6.3.2.6.268	2009.03.01	-
TrendMicro	8.700.0.1004	2009.03.02	-
VBA32	3.12.10.1	2009.03.01	Email-Worm.Win32.Brontok.q
ViRobot	2009.3.2.1630	2009.03.02	-
VirusBuster	4.5.11.0	2009.03.01	-

附加信息

File size: 15440 bytes

MD5...: f8d6ebcb50c02b42c5ffd5393229c6b6

SHA1..: 5f16b5c64a5dcb8a1d054de31c4473f67b45dcb4

云曦 - 2009-3-5 10:59:00

10/39
挺可疑的

RisingCSC - 2009-3-5 11:04:00

感谢您对瑞星的支持，您所上报的文件已经收集，我们会抓紧分析并跟帖回复。

宫城良田 - 2009-3-5 11:04:00

引用:

原帖由云曦于 2009-3-5 10:59:00 发表
10/39
挺可疑的

上网的时候会自己弹出很多广告网页，
而且用瑞星查都说是没有病毒

宫城良田 - 2009-3-5 11:05:00

引用:

原帖由 RisingCSC 于 2009-3-5 11:04:00 发表
感谢您对瑞星的支持，您所上报的文件已经收集，我们会抓紧分析并跟帖回复。

我不会运气这么好，中了新病毒吧~~~:default6:

天云一剑 - 2009-3-5 11:07:00

安心等一等，可能并不是新物种

宫城良田 - 2009-3-5 11:11:00

引用:

原帖由 天云一剑 于 2009-3-5 11:07:00 发表
安心等一等，可能并不是新物种

好的，那就麻烦各位了~~~ ！:default6:

云曦 - 2009-3-5 11:13:00

引用:

原帖由 宫城良田 于 2009-3-5 11:04:00 发表

引用:

原帖由云曦于 2009-3-5 10:59:00 发表
10/39
挺可疑的

上网的时候会自己弹出很多广告网页，
而且用瑞星查都说是没有病毒

使用卡卡上网安全助手【高级工具】【启动项管理】【IE浏览器插件】

在这里边看看有没有安全级别是红色的插件。

再用卡卡上网安全助手清理流氓软件和电脑使用痕迹清理中的IE缓存文件夹。

雨君009 - 2009-3-5 11:14:00

应该是一种新的病毒.

宫城良田 - 2009-3-5 11:34:00

引用:

原帖由云曦于 2009-3-5 11:13:00 发表

引用:

原帖由 宫城良田 于 2009-3-5 11:04:00 发表

引用:

原帖由云曦于 2009-3-5 10:59:00 发表
10/39
挺可疑的

上网的时候会自己弹出很多广告网页，
而且用瑞星查都说是没有病毒

使用卡卡上网安全助手【高级工具】【启动项管理】【IE浏览器插件】

电脑使用痕迹的IE缓存文件夹清理过了，没有流氓软件

安全级别是红色的插件看附件图片,有两个没有显示的

附件: 图片.rar

宫城良田 - 2009-3-5 11:38:00

引用:

原帖由 雨君009 于 2009-3-5 11:14:00 发表
应该是一种新的病毒.

:default6: 我中大奖了~~~

RisingCSC - 2009-3-5 17:06:00

经过分析，您所上报的文件不是病毒。

宫城良田 - 2009-3-6 9:38:00

引用:

原帖由 RisingCSC 于 2009-3-5 17:06:00 发表
经过分析，您所上报的文件不是病毒。

:default7: 谢谢~~！

宫城良田 - 2009-3-6 10:28:00

引用:

原帖由云曦于 2009-3-5 10:05:00 发表
C:\WINDOWS\system32\Drivers\0043cf50.sys
C:\WINDOWS\system32\drivers\kmsinput.sys
\SystemRoot\System32\DRIVERS\laftf.sys
C:\WINDOWS\System32\new.sys
system32\DRIVERS\SPCP825K.sys

这些文件找到后，上传到论坛吧。

云曦：昨天你让我找的文件没找到，今天我在用瑞星卡卡的时候无意中发现了，但是，无法看文件属性，文件夹里也找不到（无法上传），不过用卡卡上的“跳转到相关位置...”这一项可以进到注册表：0043cf50.sys laftf.sys SPCP825K.sys
kmsinput.sys new0.sys 麻烦各位再帮我看看要怎么操作，谢谢~~~！

云曦 - 2009-3-6 10:32:00

那你打开winrar，在winrar中找到文件所在路径，看看能找到这几个文件么。

宫城良田 - 2009-3-6 10:47:00

引用:

原帖由云曦于 2009-3-6 10:32:00 发表
那你打开winrar，在winrar中找到文件所在路径，看看能找到这几个文件么。

搜索不到，但是在搜索的时候弹出了winrar诊断信息

! C:\Documents and Settings\wwq\Application Data\QQUpdate\4E47F5CA77829F1CB2A86D4762AF383E\12002983821804289383\qq2007IIstable_full.zip: 不可预料的压缩文件末端
! C:\Documents and Settings\wwq\Application Data\QQUpdate\4E47F5CA77829F1CB2A86D4762AF383E\12081430291804289383\qq2008beta1_full.zip: 不可预料的压缩文件末端

! C:\Program Files\rising\rav\Alertman.exe: 不可预料的压缩文件末端
! C:\Program Files\rising\rav\Update\Alertman.exe: 不可预料的压缩文件末端
! C:\Program Files\rising\rfw\Alertman.exe: 不可预料的压缩文件末端
! C:\Program Files\rising\rfw\Update\Alertman.exe: 不可预料的压缩文件末端
! 不能读取 C:\WINDOWS\system32\2dogkiller.sys\* 的内容
! 不能读取 C:\WINDOWS\system32\Com\mfc42.dll\* 的内容
! 不能读取 C:\WINDOWS\system32\dnsq.dll\* 的内容
! 不能读取 C:\WINDOWS\system32\drivers\fat32.sys\* 的内容
! 不能读取 C:\WINDOWS\system32\drivers\obj2.sys\* 的内容
! 不能读取 C:\WINDOWS\system32\drivers\pcibus.sys\* 的内容
! 不能读取 C:\WINDOWS\system32\drivers\pcidisk.sys\* 的内容
! 不能读取 C:\WINDOWS\system32\drivers\pcihdd.sys\* 的内容
! 不能读取 C:\WINDOWS\system32\drivers\puid.sys\* 的内容
! 不能读取 C:\WINDOWS\system32\drivers\usb32k.sys\* 的内容
! 不能读取 C:\WINDOWS\system32\drivers\wxptdi.sys\* 的内容
! D:\网页临时文件夹\Internet 临时文件\Content.IE5\FRL222TA\kakasetupv6[1].exe: 不可预料的压缩文件末端
! H:\TDdownload\Setupfz.exe: 不可预料的压缩文件末端

宫城良田 - 2009-3-6 10:54:00

我把注册表导出来了，你看看

附件: 导出的reg.rar

云曦 - 2009-3-6 11:00:00

使用天月提供的那个工具，提取文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

C:\WINDOWS\system32\Drivers\0043cf50.sys
\SystemRoot\System32\DRIVERS\laftf.sys
C:\WINDOWS\System32\new.sys
system32\DRIVERS\SPCP825K.sys

宫城良田 - 2009-3-6 11:29:00

引用:

原帖由云曦于 2009-3-6 11:00:00 发表
使用天月提供的那个工具，提取文件
http://bbs.ikaka.com/attachment.aspx?attachmentid=486266

C:\WINDOWS\system32\Drivers\0043cf50.sys
\SystemRoot\System32\DRIVERS\laftf.sys
C:\WINDOWS\System3......

单个提取操作成功了，但是看不到文件

附件: 单个隐藏文件提取处理器.rar

附件: 文件批量提取工具.rar

宫城良田 - 2009-3-6 11:36:00

刚刚那个好像不对

附件: 单个隐藏文件提取处理器.rar

宫城良田 - 2009-3-9 11:54:00

:default9:

宫城良田 - 2009-3-10 12:35:00

:default14: 怎么还没消息，该不会是我中毒太深没得救了~~~

夲號ヱ被ジ盜 - 2009-3-10 13:03:00

C:\WINDOWS\system32\msfeedssync.exe
这个IE的组件一般情况下不启用
删了这个计划任务
进入C:\WINDOWS\Tasks
找到msfeedssync.exe的计划任务，删除

瑞星卡卡安全论坛