瑞星卡卡安全论坛

做的网站服务器，首次发现病毒是在安装应用软件过程中杀软报警，但杀不干净，自己手工处理了下貌似还有（见日志 A，参考看下），遂重装，系统装完，只加载了网卡驱动就装了杀软，升级病毒库后，基本上算一步一杀，未见报警，做了ghost。24小时后登陆察看，发现报杀40个，次日达到50个，第三日发现，尽管报杀的都能清理，但c区已存在大量未知病毒，根目录下有boot.exe sc.exe,其它处的忘了（见日志B），另提供ghost恢复后的日志 C，另外说一下，还原后，升级了病毒库全盘杀毒仍未报警。 另外，发作晚期是一10位名字exe隐藏文件大量充斥，中期开始就无法调用任务管理器了，并感染所有exe文件，运行感染exe程序，自产生同名快捷方式一个和10位名字隐藏文件一个，启动文件夹下也有此病毒程序。真不知道这是哪个我没见过的老病毒。。。。争取周二中午把这个10位病毒传上来（Ps不知道是不是后期繁衍的）
  现求助如下
  1。是否为隐藏病毒，未能发现遇到触发后期发作？
  2。如果为外部入侵挂马所致，谁能看出传染点是哪里？或是哪些防御漏洞所致？

  万分感谢，折腾一星期了。。。

补充上传几个病毒及可疑文件

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.11) Gecko/2009060215 Firefox/3.0.11

附件: A.log

附件: B.log

附件: C.log

附件: YGX5Y59MH6.rar

附件: 5HP77SCKDRKC.rar

附件: L6DEFSI1.rar

附件: System Volume Information.rar

最后一个日志看，系统没什么异常

第一个日志看，系统也没什么

但是中间的日志看，发现乱码群强感染型病毒，它的变种以及免杀做的很勤快，几乎能达到全球所有主流杀毒软件毒不杀的程序。

日志中可见：
==================================
启动文件夹
[KTLR4FJGP]
  <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\KTLR4FJGP.scr -->  [File is missing]><H>

==================================
服务
[BackGround Switch Disktop Control / BackGround switch][Stopped/Auto Start]
  <C:\WINDOWS\system32\regedit32.exe><奇虎网>

[bsycjq / bsycjq][Running/Auto Start]
  <C:\WINDOWS\system32\SVCHOST.EXE -k bsycjq-->%SystemRoot%\System32\qdhbri.dll><N/A>

[IP Helper / iphlpsvc][Stopped/Auto Start]
  <C:\WINDOWS\system32\iphlpsvc.dll><奇虎网>

[joyjyd / joyjyd][Running/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k joyjyd-->%SystemRoot%\System32\fxwclc.dll><Beijing Rising Information Technology Co., Ltd.>

[MS Media Control Center / MediaCenter][Running/Auto Start]
  <C:\WINDOWS\System32\svchost.exe -k krnlsrvc-->C:\WINDOWS\system32\RvmcttC.dll><Microsoft Corporation>

[National Instruments Domain Service / Providesv1.2][Stopped/Auto Start]
  <C:\WINDOWS\system32\TTPloyer.exe><>

[SQLDebugxin / SQLDebugke][Running/Auto Start]
  <C:\WINDOWS\system32\svchost -k SQLDebugke-->%SystemRoot%\System32\mqzweu.kll><Kaspersky Lab>

[Windows Time / W32Time][Stopped/Auto Start]
  <C:\WINDOWS\system32\svchost.exe -k LocalService-->%SystemRoot%\System32\fywd.dll><N/A>

[Windows XP 安全更新 / Windows XP 安全更新][Stopped/Auto Start]
  <C:\WINDOWS\KE120089.exe><TENCENT>

[Windowqhsdaws Help System / WinHewwqaqqwcxzlp32][Stopped/Auto Start]
  <C:\WINDOWS\system32\WinHelsdawhjwmyp32.exe><Beijing Rising Information Technology Co., Ltd.>

[XMNEIQRF8O1 / XMNEIQRF8O1][Stopped/Auto Start]
  <C:\Program Files\BU1FLUCY\E36Q8.exe -PKRX5HCQU5><镦裳恸铝穴>

[yicnwi / yicnwi][Running/Auto Start]
  <C:\WINDOWS\system32\svchost -k yicnwi-->%SystemRoot%\System32\yicnwi.kll><Microsoft Corporation>

==================================
正在运行的进程
    [c:\windows\system32\qdhbri.dll]  [N/A, ]
    [c:\windows\system32\fxwclc.dll]  [Beijing Rising Information Technology Co., Ltd., 21, 0, 0, 5]
    [c:\windows\system32\mqzweu.kll]  [Kaspersky Lab, 7.0.1.325]
    [c:\windows\system32\yicnwi.kll]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 2008 / SYSTEM][C:\Program Files\BU1FLUCY\E36Q8.exe]  [镦裳恸铝穴, 1, 0, 0, 1]

因为你已经重装系统

所以请尽量去其他盘找一些单文件可以运行，文件量小于3M的*.exe文件压缩些发来看。

还有因为此毒可能通过局域网感染其他电脑，或者说是其他中毒电脑会持续感染你的服务器这台电脑。

所以你还得去将局域网内所有的其他电脑全部找些其他盘*.exe文件压缩发些来，否则没法确定是否其他盘文件被感染。

大致就这样了，其感染可能是目前主流杀毒软件都不能检测出来的。

作为系统安全防护来说，一般只建议网内所有电脑执行进程防护，仅允许指定程序运行，非指定程序禁止运行，尤其是作为服务器用的电脑，更应该遵循此原则，其他的没好办法防毒。

嘿嘿，谢谢天月。病毒好像我保留了一个存下来了，其它盘下的可执行文件及可见病毒全被我删了。。。尽快传上来。在确认一下，既然 第三个日志系统没见异常是否可基本确认非自身引起，而是由于外来的感染了？？？

我哪知道你这台服务器的其他盘文件是否还存在感染哟

以及我哪知道你其他能够访问这台服务器的所有网内其他电脑是否有毒哟:kaka6:

。。。明白了:kaka6: