高手帮帮忙看下什么问题！附日志 bbs.ikaka.com

yesieee - 2009-7-9 22:42:00

突然多出许多进程来，而且都是没见过的，其中有一个十分占CPU，还有一个是H001.exe，具体也记不清楚了，我把这几个进程关了之后，也没再出来。
请高手看下日志，看是什么问题！
谢了！

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)

附件: rslog.txt

Enao2005 - 2009-7-9 22:57:00

扫SRNG日志上来吧
下载Sreng(http://www.kztechs.com/sreng/download.html)

打开Sreng.exe==>智能扫描==>勾选检查进程模块的数字签名==>点扫描==>扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把SREng.LOG的扩展名改成“.txt”后以附件的形式发上来

要是Sreng.exe不能运行，直接重命名为123.bat运行

yesieee - 2009-7-10 9:06:00

传上来了

附件: SREngLOG.txt

夲號ヱ被ジ盜 - 2009-7-10 9:18:00

压缩发上来这3个文件

C:\WINDOWS\system32\tasnp.exe
C:\WINDOWS\system32\oasnp.exe
C:\WINDOWS\system32\bsanp.exe

Enao2005 - 2009-7-10 9:19:00

C:\WINDOWS\system32\bsanp.exe
C:\WINDOWS\system32\oasnp.exe
C:\WINDOWS\system32\tasnp.exe
可疑文件,分别传多引擎扫描下
http://www.virscan.org/

yesieee - 2009-7-10 9:23:00

就是这几个文件，进程里有，从来没见过。

yesieee - 2009-7-10 9:26:00

VirSCAN.org Scanned Report :
Scanned time : 2009/07/10 09:25:58 (CST)
Scanner results: 34%的杀软(13/38)报告发现病毒
File Name : bsanp.exe
File Size : 31744 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 7859745ddc16cf6ae9be8e5d8bd2a194
SHA1 : 10c4e073e196612c1ccc926cef36b6ef5bd5fa69
Online report : http://virscan.org/report/f4dfdfeadb89811762f6e41d427c6dd9.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.5.0.1 20090710062144 2009-07-10 0.38 -
安博士V3 2009.07.09.02 2009.07.09 2009-07-09 0.73 -
AntiVir 8.2.0.204 7.1.4.213 2009-07-09 0.46 TR/Downloader.Gen
安天 2.0.18 20090708.2604486 2009-07-08 0.12 -
Arcavir 2009 200907092124 2009-07-09 0.03 -
Authentium 5.1.1 200907091500 2009-07-09 1.13 W32/QQhelper.C.gen!Eldorado (Possible)
AVAST! 4.7.4 090709-0 2009-07-09 0.01 -
AVG 8.5.288 270.13.9/2228 2009-07-10 0.51 Downloader.Rozena
BitDefender 7.81008.3664489 7.26481 2009-07-10 3.35 Gen:Trojan.Heur.PT.1030CFCFCF
CA (VET) 9.0.0.143 31.6.6604 2009-07-09 7.47 -
ClamAV 0.95.2 9550 2009-07-09 0.01 -
Comodo 3.10 1598 2009-07-09 0.68 -
CP Secure 1.1.0.715 2009.07.08 2009-07-08 10.96 -
Dr.Web 4.44.0.9170 2009.07.10 2009-07-10 4.89 DLOADER.Trojan
F-Prot 4.4.4.56 20090709 2009-07-09 1.13 W32/QQhelper.C.gen!Eldorado (generic, not disinfectable)
F-Secure 5.51.6100 2009.07.09.10 2009-07-09 6.09 -
飞塔 2.81-3.120 10.589 2009-07-09 0.27 -
GData 19.6368/19.391 20090709 2009-07-09 4.33 -
ViRobot 20090709 2009.07.09 2009-07-09 0.41 -
Ikarus T3.1.01.64 2009.07.10.73008 2009-07-10 3.05 -
江民杀毒 11.0.800 2009.07.09 2009-07-09 3.29 TrojanDownloader.Apher.ck
卡巴斯基 5.5.10 2009.07.09 2009-07-09 0.09 -
金山毒霸 2009.2.5.15 2009.7.9.21 2009-07-09 0.45 Win32.Hack.Agent.PT.31744
迈克菲 5.3.00 5671 2009-07-09 2.93 -
Microsoft 1.4803 2009.07.09 2009-07-09 4.96 Backdoor:Win32/Small.D
mks_vir 2.01 2009.07.09 2009-07-09 3.21 -
Norman 6.01.09 6.01.00 2009-07-08 4.00 -
熊猫卫士 9.05.01 2009.07.09 2009-07-09 1.73 Suspicious file
趋势科技 8.700-1004 6.263.00 2009-07-09 0.03 -
Quick Heal 10.00 2009.07.09 2009-07-09 1.04 TrojanDownloader.Apher.giu
瑞星 20.0 21.37.34.00 2009-07-09 0.90 -
Sophos 2.88.0 4.43 2009-07-10 2.76 -
Sunbelt 5240 5240 2009-07-09 1.16 Trojan-Downloader.Win32.Apher
赛门铁克 1.3.0.24 20090709.003 2009-07-09 0.05 -
nProtect 20090710.01 4674958 2009-07-10 5.84 -
The Hacker 6.3.4.3 v00363 2009-07-07 0.64 -
VBA32 3.12.10.8 20090709.1544 2009-07-09 2.03 Trojan.Win32.Inject.2
VirusBuster 4.5.11.10 10.108.2/1805230 2009-07-09 2.22 -

yesieee - 2009-7-10 9:29:00

VirSCAN.org Scanned Report :
Scanned time : 2009/07/10 09:28:59 (CST)
Scanner results: 29%的杀软(11/38)报告发现病毒
File Name : oasnp.exe
File Size : 31744 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 04868c96c72881660881c17e72abd5ca
SHA1 : c0e48416dbd74103cf4ce2ebf1e98948b08e955e
Online report : http://virscan.org/report/325bbee60902cef4a41adbfa6aa632ac.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.5.0.1 20090710062144 2009-07-10 0.39 -
安博士V3 2009.07.09.02 2009.07.09 2009-07-09 0.74 -
AntiVir 8.2.0.204 7.1.4.213 2009-07-09 0.54 TR/Downloader.Gen
安天 2.0.18 20090708.2604486 2009-07-08 0.12 -
Arcavir 2009 200907092124 2009-07-09 0.03 -
Authentium 5.1.1 200907091500 2009-07-09 1.16 W32/QQhelper.C.gen!Eldorado (Possible)
AVAST! 4.7.4 090709-0 2009-07-09 0.01 -
AVG 8.5.288 270.13.9/2228 2009-07-10 0.50 Downloader.Rozena
BitDefender 7.81008.3664489 7.26481 2009-07-10 3.34 Gen:Trojan.Heur.PT.1030CFCFCF
CA (VET) 9.0.0.143 31.6.6604 2009-07-09 5.57 -
ClamAV 0.95.2 9550 2009-07-09 0.01 -
Comodo 3.10 1598 2009-07-09 0.67 -
CP Secure 1.1.0.715 2009.07.08 2009-07-08 11.20 -
Dr.Web 4.44.0.9170 2009.07.10 2009-07-10 4.95 DLOADER.Trojan
F-Prot 4.4.4.56 20090709 2009-07-09 1.12 W32/QQhelper.C.gen!Eldorado (generic, not disinfectable)
F-Secure 5.51.6100 2009.07.09.10 2009-07-09 0.10 -
飞塔 2.81-3.120 10.589 2009-07-09 0.20 -
GData 19.6368/19.391 20090709 2009-07-09 4.86 -
ViRobot 20090709 2009.07.09 2009-07-09 0.42 -
Ikarus T3.1.01.64 2009.07.10.73008 2009-07-10 3.06 -
江民杀毒 11.0.800 2009.07.09 2009-07-09 3.41 -
卡巴斯基 5.5.10 2009.07.09 2009-07-09 0.09 -
金山毒霸 2009.2.5.15 2009.7.9.21 2009-07-09 0.47 -
迈克菲 5.3.00 5671 2009-07-09 2.95 -
Microsoft 1.4803 2009.07.09 2009-07-09 5.16 Backdoor:Win32/Small.D
mks_vir 2.01 2009.07.09 2009-07-09 3.26 -
Norman 6.01.09 6.01.00 2009-07-08 6.01 -
熊猫卫士 9.05.01 2009.07.09 2009-07-09 1.75 Suspicious file
趋势科技 8.700-1004 6.263.00 2009-07-09 0.03 -
Quick Heal 10.00 2009.07.09 2009-07-09 1.28 Suspicious - DNAScan
瑞星 20.0 21.37.34.00 2009-07-09 0.92 -
Sophos 2.88.0 4.43 2009-07-10 2.73 -
Sunbelt 5240 5240 2009-07-09 1.05 Trojan-Downloader.Win32.Apher
赛门铁克 1.3.0.24 20090709.003 2009-07-09 0.05 -
nProtect 20090710.01 4674958 2009-07-10 7.40 -
The Hacker 6.3.4.3 v00363 2009-07-07 0.66 -
VBA32 3.12.10.8 20090709.1544 2009-07-09 2.03 Trojan.Win32.Inject.2
VirusBuster 4.5.11.10 10.108.2/1805230 2009-07-09 2.23 -

yesieee - 2009-7-10 9:31:00

VirSCAN.org Scanned Report :
Scanned time : 2009/07/10 09:31:37 (CST)
Scanner results: 45%的杀软(17/38)报告发现病毒
File Name : tasnp.exe
File Size : 31744 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 2a33d358e13b8442667f123d12db63cf
SHA1 : 985883d04935ac70e1ceebce8e3771cce6d85aaa
Online report : http://virscan.org/report/38e2d91d84a8a55b546a0d460783950c.html

Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 4.5.0.1 20090710062144 2009-07-10 0.42 Trojan-Downloader.Win32.Small!IK
安博士V3 2009.07.09.02 2009.07.09 2009-07-09 0.91 -
AntiVir 8.2.0.204 7.1.4.213 2009-07-09 0.06 TR/Downloader.Gen
安天 2.0.18 20090708.2604486 2009-07-08 0.12 -
Arcavir 2009 200907092124 2009-07-09 0.03 -
Authentium 5.1.1 200907091500 2009-07-09 1.20 W32/QQhelper.C.gen!Eldorado (Possible)
AVAST! 4.7.4 090709-0 2009-07-09 0.01 -
AVG 8.5.288 270.13.9/2228 2009-07-10 0.52 Dropper.Rozena
BitDefender 7.81008.3664489 7.26481 2009-07-10 3.34 Gen:Trojan.Heur.PT.1030CFCFCF
CA (VET) 9.0.0.143 31.6.6604 2009-07-09 3.34 -
ClamAV 0.95.2 9550 2009-07-09 0.01 -
Comodo 3.10 1598 2009-07-09 0.70 -
CP Secure 1.1.0.715 2009.07.08 2009-07-08 11.05 -
Dr.Web 4.44.0.9170 2009.07.10 2009-07-10 4.86 DDoS.Attack.origin
F-Prot 4.4.4.56 20090709 2009-07-09 1.11 W32/QQhelper.C.gen!Eldorado (generic, not disinfectable)
F-Secure 5.51.6100 2009.07.09.10 2009-07-09 0.09 Trojan-Downloader.Win32.Apher.gjf [AVP]
飞塔 2.81-3.120 10.589 2009-07-09 0.21 -
GData 19.6368/19.391 20090709 2009-07-09 4.71 Trojan-Downloader.Win32.Apher.gjf [Engine:A]
ViRobot 20090709 2009.07.09 2009-07-09 0.41 -
Ikarus T3.1.01.64 2009.07.10.73008 2009-07-10 3.01 Trojan-Downloader.Win32.Small
江民杀毒 11.0.800 2009.07.09 2009-07-09 3.35 -
卡巴斯基 5.5.10 2009.07.09 2009-07-09 0.08 Trojan-Downloader.Win32.Apher.gjf
金山毒霸 2009.2.5.15 2009.7.9.21 2009-07-09 0.47 -
迈克菲 5.3.00 5671 2009-07-09 2.90 -
Microsoft 1.4803 2009.07.09 2009-07-09 5.00 Backdoor:Win32/Small.D
mks_vir 2.01 2009.07.09 2009-07-09 3.16 -
Norman 6.01.09 6.01.00 2009-07-08 4.01 -
熊猫卫士 9.05.01 2009.07.09 2009-07-09 2.00 Suspicious file
趋势科技 8.700-1004 6.263.00 2009-07-09 0.03 -
Quick Heal 10.00 2009.07.09 2009-07-09 1.01 Suspicious - DNAScan
瑞星 20.0 21.37.34.00 2009-07-09 1.51 -
Sophos 2.88.0 4.43 2009-07-10 2.74 Mal/Generic-A
Sunbelt 5240 5240 2009-07-09 1.04 Trojan-Downloader.Win32.Apher
赛门铁克 1.3.0.24 20090709.003 2009-07-09 0.05 -
nProtect 20090710.01 4674958 2009-07-10 5.84 -
The Hacker 6.3.4.3 v00363 2009-07-07 0.67 -
VBA32 3.12.10.8 20090709.1544 2009-07-09 2.04 Trojan.Win32.Inject.2
VirusBuster 4.5.11.10 10.108.2/1805230 2009-07-09 2.24 -

yesieee - 2009-7-10 9:52:00

PS：现在网速也好慢，请帮帮忙吧！

Enao2005 - 2009-7-10 9:54:00

建议如下操作
C:\WINDOWS\system32\bsanp.exe
C:\WINDOWS\system32\tasnp.exe
C:\WINDOWS\system32\oasnp.exe
上面文件用XDelBox一次性删除
(enao.ys168.com 下载)
复制上面所有要删除的文件，打开XDelBox,在待删除列表点右键==>选择剪贴版导入不检查路径==>点右键==>选择==>立刻重启执行删除

删除服务
[bsanp / bsanp][Running/Auto Start]
<C:\WINDOWS\system32\bsanp.exe><N/A>
[oasnp / oasnp][Running/Auto Start]
<C:\WINDOWS\system32\oasnp.exe><N/A>
[tasnp / tasnp][Running/Auto Start]
<C:\WINDOWS\system32\tasnp.exe><N/A>

yesieee - 2009-7-10 10:17:00

郁闷，这几个文件是解决了，可是在开机的时候，瑞星报了毒，而且还有个压缩的病毒包，两次开机都这样，估计瑞星删了之后，日志就没扫上，该怎么办？

yesieee - 2009-7-10 10:18:00

我还注意了下，是连网的时候瑞星报的毒！

Enao2005 - 2009-7-10 10:19:00

引用:

原帖由 yesieee 于 2009-7-10 10:17:00 发表
郁闷，这几个文件是解决了，可是在开机的时候，瑞星报了毒，而且还有个压缩的病毒包，两次开机都这样，估计瑞星删了之后，日志就没扫上，该怎么办？

把瑞星报的截图上来,或者说下文件名和具体路径

夲號ヱ被ジ盜 - 2009-7-10 10:23:00

大哥你能不能发上来那几个文件？

想成为狼的兔子 - 2009-7-10 10:24:00

%SystemRoot%\system32\browseui.dll]
开机杀毒有它吗.这是什么东西?

yesieee - 2009-7-10 10:59:00

引用:

原帖由 Enao2005 于 2009-7-10 10:19:00 发表
[quote] 原帖由 yesieee 于 2009-7-10 10:17:00 发表
郁闷，这几个文件是解决了，可是在开机的时候，瑞星报了毒，而且还有个压缩的病毒包，两次开机都这样，估计瑞星删了之后，日志就没扫上，该怎么办？ [......

[img]file:///F:/工具/截图工具/Rdfsnap/屏幕截图/截图00.png[/img]

[img]file:///F:/工具/截图工具/Rdfsnap/屏幕截图/截图01.png[/img]

还有，网速还是很慢。

yesieee - 2009-7-10 10:59:00

- -``
图怎么没出来``

晕``

yesieee - 2009-7-10 11:00:00

[img]file:///F:/工具/截图工具/Rdfsnap/屏幕截图/截图01.png[/img]

引用:

原帖由 Enao2005 于 2009-7-10 10:19:00 发表
[quote] 原帖由 yesieee 于 2009-7-10 10:17:00 发表
郁闷，这几个文件是解决了，可是在开机的时候，瑞星报了毒，而且还有个压缩的病毒包，两次开机都这样，估计瑞星删了之后，日志就没扫上，该怎么办？ [......

yesieee - 2009-7-10 11:01:00

引用:

原帖由 yesieee 于 2009-7-10 10:59:00 发表
- -``
图怎么没出来``

晕``