超多rundll32.exe，自动添加计划任务，求救~~ bbs.ikaka.com

sunwj - 2009-3-11 15:34:00

进程中超多rundll32.exe，自动添加计划任务，求救~~

瑞星监控每次报worm.win32.ms08-067.c，检测到，并删除成功后，系统就自动添加计划任务，随后进程中就多出一个rundll32.exe进程....

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; GreenBrowser)

附件: SREngLOG.log

超级游戏迷 - 2009-3-11 15:41:00

被驱动程序的内容雷倒了，原因查找中……:default20:

byxxdrls - 2009-3-11 16:23:00

使用sreng安全桌面扫描看看。
在命令提示符下输入 SREngLdr.EXE /safedesktop (具体的路径应该知道吧）

sunwj - 2009-3-11 16:40:00

引用:

原帖由 byxxdrls 于 2009-3-11 16:23:00 发表
使用sreng安全桌面扫描看看。
在命令提示符下输入 SREngLdr.EXE /safedesktop (具体的路径应该知道吧）

用冰刃结束rundll32.exe后用安全桌面扫描的日志如下：

附件: SREngLOG-safedesktop.log

天月来了 - 2009-3-11 16:51:00

冰刃中查看这两文件，复制出来，压缩发来看
C:\WINNT\system32\hgyyraj.dll
D:\restart.bat

sunwj - 2009-3-11 17:09:00

引用:

原帖由 天月来了 于 2009-3-11 16:51:00 发表
冰刃中查看这两文件，复制出来，压缩发来看
C:\WINNT\system32\hgyyraj.dll
D:\restart.bat

找不到"hgyyraj.dll“,restart.bat是我写的shutdown -r -m [url=file://\\127.0.0.1]\\127.0.0.1[/url] -t 1用于每天服务器自动重启用的。

天月来了 - 2009-3-11 17:40:00

噢
那我日志里看不出什么了。

汗

不知道怎么了:default2:

byxxdrls - 2009-3-11 18:16:00

用xdelbox删除C:\WINNT\system32\hgyyraj.dll（右键“剪贴板导入不检查路径”），重启后把xdelbox文件夹内的backup文件夹内的这个文件发上来。谢谢。

日志没其它问题。
建议在断网情况下观察有没有异常。如有，则说明系统有问题，用http://download.eset.com/special/EConfickerRemover.exe检查一下，或者用卡巴的专杀http://www.kafan.cn/kaba/200901263670.html，或者用微软的恶意软件清除工具。
如果断网情况下没有异常，则说明有网络攻击。请打上ms08-067补丁，给用户加上强壮密码。

瑞星卡卡安全论坛