瑞星卡卡安全论坛

天月，你说删掉那两个东东，可今天我去看没用，它会自己生成一个形如那个样式的东东。能不能再研究研究日志，是不是新病毒，我的瑞星过期了，查不出来那毒。
猫叔测试瑞星新版本可以查那毒，他是针对那两个东东测试的，不知道她电脑里还有没有其他的东东。



瑞星工程师19：
1、文件名：证明3pErWSC.dll
  病毒名：AdWare.Win32.Agent.dlo

您所上报的病毒文件将在瑞星2009的21.39.33版本中处理解决。

附件: 加工费一览表WYMFu.rar

附件: 证明3pErWSC.rar

附件: 加工费一览表WYMFu.rar

附件: 证明3pErWSC.rar

有经济利益推动，当然多了，没关系，出问题了，自己搞不定，就来这里求助吧

上次别人电脑有问题，我说你扫描，我让卡卡里天月，小日，他们看看，结果没人理，后来，私密天月看报告，可能朋友误报，日志没什么问题，还让天月臭骂了一通。

这次又应朋友请求，发日志上来，请高手们指点。我们网管，把电脑搬到他们那里都没有解决，所以我只好求助大家了。


开始出现中毒症状时，是突然自动安装wps办公软件，PP网络电视,弹出网页。经过我们网管（其实是局域网维护这一块，杀毒这块不是他的强项）抱回去后，成了现在这样了。症状就描述这些了。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)

附件: SREngLOG.log

嗯，有问题，我一般来这里求助

c:\windows\System32\qagentrt.dll
c:\windows\System32\kmsvc.dll
c:\windows\System32\eapsvc.dll
上传样本到可疑文件交流区，地址为：http://bbs.ikaka.com/showforum-20002.aspx
或者直接发送给瑞星的邮件服务中心为：http://mailcenter.rising.com.cn/uploadnew.aspx

这两文件什么东西呢？？？
D:\加工一览表\加工费一览表WYMFu.dll
D:\劳动所资料\证明3pErWSC.dll

下面这些又是什么软件呢？？
[PID: 1068 / cw-xqz][C:\WINDOWS\system32\ep2k_certd_bc.exe]  [, 1, 0, 6, 814]
    [C:\WINDOWS\system32\ep2pk11_bc.dll]  [, 2, 4, 4, 1103]
[PID: 3312 / cw-xqz][C:\PPENSB\Win32\FREEIME.EXE]  [N/A, ]
    [C:\PPENSB\Win32\pptool32.dll]  [N/A, ]
    [C:\PPENSB\Win32\uni2000.dll]  [N/A, ]
    [C:\PPENSB\Win32\ppconv.dll]  [N/A, ]
    [C:\PPENSB\Win32\PPDRAW.DLL]  [N/A, ]
    [C:\PPENSB\Win32\PPSET.DLL]  [PenPower, 8, 0, 0, 0]
    [C:\PPENSB\Win32\RECOGGBK.DLL]  [N/A, ]
    [C:\PPENSB\Win32\TTSUNI.DLL]  [N/A, ]
    [C:\PPENSB\Win32\PPGHOST.DLL]  [PenPower, 8, 0, 0, 0]
    [C:\PPENSB\Win32\PHONDLL.DLL]  [N/A, ]
    [C:\PPENSB\Win32\PPINPUT.DLL]  [PenPower, 8, 0, 0, 0]
    [C:\PPENSB\Win32\PPHRASE.DLL]  [N/A, ]
    [C:\PPENSB\Win32\PPSTDINK.DLL]  [N/A, ]
    [C:\PPENSB\Win32\PPHBDLL.DLL]  [N/A, ]
    [C:\PPENSB\Win32\ppstnt.dll]  [N/A, ]
[PID: 3388 / cw-xqz][C:\PPENSB\Win32\DRAWOBJ.EXE]  [N/A, ]
    [C:\PPENSB\Win32\PPDRAW.DLL]  [N/A, ]
[PID: 3408 / cw-xqz][C:\PPENSB\Win32\PPHBUF.EXE]  [N/A, ]
    [C:\PPENSB\Win32\PPDRAW.DLL]  [N/A, ]
    [C:\PPENSB\Win32\PPCONV.DLL]  [N/A, ]
    [C:\PPENSB\Win32\uni2000.dll]  [N/A, ]
    [C:\PPENSB\Win32\ppstnt.dll]  [N/A, ]

D:\加工一览表\加工费一览表WYMFu.dll
D:\劳动所资料\证明3pErWSC.dll
这应该是EXCEL表的吧。是不是有病毒把插入到了EXCEL的程序文件了？

下面这些又是什么软件呢？？

她电脑里有手写板的驱动，还有一个叫蒙恬笔的东东，就是和手写板有关的。其他的我不清楚。
天月没有参加2010内测？还是百忙之中？
多谢！

目前从来没见过EXCEL表有这类东西存在的情况

得你自己判断了，实在不会，就将文件拿来看

D:\加工一览表\加工费一览表WYMFu.dll
D:\劳动所资料\证明3pErWSC.dll

好，我马上过去看看，
她的机子装的有工行的，交行的安全控件，其他的进程应该你都熟悉。

C:\PPENSB文件夹内装的什么软件，她自己难道不知道？？

我一般不帮助自己都不知道自己安装了什么软件的求助贴的。

因为一般自己都不知道自己安装什么软件的人，是无法手工操作清理的。

得靠送修呢:kaka6:

她什么都不会，手工操作我会，我看过你的贴子，对常见的工具的操作略知一二。
她是不一般的头，我要等几分钟才能请示动一下她的机器。
PPENSB是不是蒙恬笔的驱动？真不行，杀了它，重新安装，她电脑也曾有过蒙恬笔不能用的情况。

如果存在曾经她的什么帐户被盗号

可能过两天体现出来被盗的结果

那时候，可能她都无法确定是你盗的，还是病毒盗的了

一般不能随意为使用问题电脑上银行的类似电脑进行私人的处理操作。

你考虑清楚了？？？

:kaka6:

我从来不为电脑上银行啦，重要游戏登陆呀等等电脑进行私人的修理操作

那很麻烦的

应该不怕，她安全意识都没有，电脑给网管抱走几天都没当回事。

我刚去看了，是一个EXCEL文件，加工费.xls后面一个隐藏的.dll文件
证明.xls也是

哎，都不知道有没有沦为肉鸡，她装的第三只眼监控都不知道有没有BUG。如果她的电脑被控，她下面的被控的电脑惨了。

隐藏的.dll文件压缩发来嘛

唉:kaka6:

好，多谢

D:\加工一览表\加工费一览表WYMFu.dll

啥DD啊？

能不能

你能不能将文件发来:kaka6:

刚天月要这两个隐藏文件呢，我刚压缩好。

嘿嘿

偶知道呢

那玩意很有趣的:kaka12:

请问怎么发上去啊

D:\加工一览表\加工费一览表WYMFu.dll

如果D盘是NTFS格式，用NTFS权限把上面这个dll完全封死。重启，删除之。

文件以附件形式发来
点击我这贴右下角的“引用”,然后就应该知道怎么发了。

具体如何操作，是ntfs，直接用iceword删除行不？

就这两个东东在作怪？

两个压缩文件已经上传来了，您 们看看，C盘那个文件夹也压缩了，如果要，我也发上来？压缩密码123

去删除那两文件吧，直接改名，重启电脑就可以删除了

别的没问题？
C盘你问的那个文件夹我已经压缩了，你要不要，太大，我发你邮箱？