10个杀毒软件都没搞死 bbs.ikaka.com

大板牙兔 - 2009-8-12 12:37:00

中了个免杀的灰鸽子,用了10多个杀毒软件都没找出来,这2天接二连三的掉QQ号

开始还以为号被盗,也就用瑞星杀了下,再去QQ网站申述号码,号码拿回来了,但是申述资料也被人搞去了

现在我7个QQ号全部都被盗窃者搞了去,昨天弄了一天,把排名前10的杀毒软件都搞了一次,也没杀出来,最气人的

是我在杀完后上网,他还在远程操纵我的电脑,伤心哦,各位大哥些我电脑上有很重要的资料,全格了装很麻烦的

你们有什么高招没?

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

日志太大了,我上传下

附件: rslog.txt

附件: 可疑文件.zip

大板牙兔 - 2009-8-12 12:37:00

瑞星卡卡电脑诊断日志 v1.30 (2009-8-12 12:27:34) 北京瑞星信息技术有限公司

注释: [A]表示该文件存在自启动关联;
[M]表示该文件在内存中;

+ 注册表自运行项目
+ 系统服务
+ HKLM\System\CurrentControlSet\Services
aspnet_state
[A ] 1. c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
Microsoft Corporation
Microsoft ASP.NET State Server
.text,.data,.rsrc,

Ati HotKey Poller
[AM] 2. c:\windows\system32\ati2evxx.exe
ATI Technologies Inc.
ATI External Event Utility EXE Module
.text,.rdata,.data,.rsrc,

avg8wd
[AM] 3. d:\program files\avg\avg8\avgwdsvc.exe
AVG Technologies CZ, s.r.o.
AVG Watchdog Service
.text,.rdata,.data,.rsrc,

clr_optimization_v2.0.50727_32
[A ] 4. c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
Microsoft Corporation
.NET Runtime Optimization Service
.text,.data,.rsrc,

FontCache3.0.0.0
[A ] 5. c:\windows\microsoft.net\framework\v3.0\wpf\presentationfontcache.exe
Microsoft Corporation
PresentationFontCache.exe
.text,.rsrc,.reloc,

idsvc
[A ] 6. c:\windows\microsoft.net\framework\v3.0\windows communication foundation\infocard.exe
Microsoft Corporation
Windows CardSpace
.text,.rdata,.data,.rsrc,.reloc,

NetTcpPortSharing
[A ] 7. c:\windows\microsoft.net\framework\v3.0\windows communication foundation\smsvchost.exe
Microsoft Corporation
SMSvcHost.exe
.text,.rsrc,.reloc,
文件名和"svchost.exe"类似

RavCCenter
[AM] 8. d:\program files\rising\rav\ccenter.exe
Beijing Rising Information Technology Co., Ltd.
CCenter Application
.text,.rdata,.data,.rsrc,

RavTask
[AM] 9. d:\program files\rising\rav\ravtask.exe
Beijing Rising Information Technology Co., Ltd.
ravtask
.text,.rdata,.data,.rsrc,

RfwCCenter
[AM] 10. d:\program files\rising\rfw\ccenter.exe
Beijing Rising Information Technology Co., Ltd.
CCenter Application
.text,.rdata,.data,.rsrc,

RfwService
[AM] 11. d:\program files\rising\rfw\rfwsrv.exe
Beijing Rising Information Technology Co., Ltd.
rfwsrvex Application
.text,.rdata,.data,.rsrc,

RfwTask
[AM] 12. d:\program files\rising\rfw\ravtask.exe
Beijing Rising Information Technology Co., Ltd.
ravtask
.text,.rdata,.data,.rsrc,

RsRavMon
[AM] 13. d:\program files\rising\rav\ravmond.exe
Beijing Rising Information Technology Co., Ltd.
ravmond
.text,.rdata,.data,.rsrc,

RsScanSrv
[AM] 14. d:\program files\rising\rav\scanfrm.exe
Beijing Rising Information Technology Co., Ltd.
Rising Scan Service Framework
.text,.rdata,.data,.rsrc,

WMPNetworkSvc
[A ] 15. c:\program files\windows media player\wmpnetwk.exe
Microsoft Corporation
Windows Media Player 网络共享服务
.text,.data,.rsrc,.reloc,

WudfSvc
[A ] 16. c:\windows\system32\wudfsvc.dll
Microsoft Corporation
Windows Driver Foundation - User-mode Driver Framework Service
.text,.data,.rsrc,.reloc,

大板牙兔 - 2009-8-12 12:38:00

+ 内核驱动
+ HKLM\System\CurrentControlSet\Services
AmdPPM
[A ] 17. c:\windows\system32\drivers\amdppm.sys
Advanced Micro Devices
AMD Processor Driver
.text,.rdata,.data,PAGE,PAGELK,INIT,.rsrc,.reloc,

AvgLdx86
[A ] 18. c:\windows\system32\drivers\avgldx86.sys
AVG Technologies CZ, s.r.o.
AVG AVI Loader Driver
.text,.rdata,.data,PAGE,INIT,.rsrc,.reloc,

BIOS
[A ] 19. c:\windows\system32\drivers\bios.sys
BIOSTAR Group
I/O Interface driver file
.text,.rdata,.data,PAGE,INIT,.rsrc,.reloc,

BulkUsb
[A ] 20. c:\windows\system32\drivers\fabulk.sys

HDAudBus
[A ] 21. c:\windows\system32\drivers\hdaudbus.sys
Windows (R) Server 2003 DDK provider
High Definition Audio Bus Driver v1.0a
.text,.rdata,.data,PAGE,INIT,.rsrc,.reloc,

hookcont
[A ] 22. c:\windows\system32\drivers\hookcont.sys
Beijing Rising Information Technology Co., Ltd.
HookCont Driver
.text,.rdata,.data,INIT,.rsrc,.reloc,

hooksys
[A ] 23. c:\windows\system32\drivers\hooksys.sys
Beijing Rising Information Technology Co., Ltd.
Hooksys.sys
.text,.rdata,.data,INIT,.rsrc,.reloc,

IntcAzAudAddService
[A ] 24. c:\windows\system32\drivers\rtkhdaud.sys
Realtek Semiconductor Corp.
Realtek(r) High Definition Audio Function Driver
.text,CODE,.rdata,.data,.data1,PAGE,INIT,.rsrc,.reloc,

NVENETFD
[A ] 25. c:\windows\system32\drivers\nvenetfd.sys
NVIDIA Corporation
NVIDIA Networking Function Driver.
.text,.rdata,.data,INIT,.rsrc,.reloc,

nvgts
[A ] 26. c:\windows\system32\drivers\nvgts.sys
NVIDIA Corporation
NVIDIA? nForce(TM) Sata Performance Driver
.text,.rdata,.data,INIT,.rsrc,.reloc,

nvnetbus
[A ] 27. c:\windows\system32\drivers\nvnetbus.sys
NVIDIA Corporation
NVIDIA Networking Bus Driver.
.text,.rdata,.data,INIT,.rsrc,.reloc,

RfwBase9
[A ] 28. c:\windows\system32\drivers\rfwbase.sys
Beijing Rising Information Technology Co., Ltd.
rfwbase.sys
.text,.rdata,.data,INIT,.rsrc,.reloc,

rfwtdi
[A ] 29. d:\program files\rising\rfw\rfwtdi.sys
Beijing Rising Information Technology Co., Ltd.
rfwtdi5.sys
.text,.rdata,.data,INIT,.rsrc,.reloc,

rsfwdrv
[A ] 30. d:\program files\rising\rfw\rsfwdrv.sys
Beijing Rising Information Technology Co., Ltd.
rsfwdrv.sys
.text,.rdata,.data,INIT,.rsrc,.reloc,

RsNTGDI
[A ] 31. c:\windows\system32\drivers\rsntgdi.sys
Beijing Rising Information Technology Co., Ltd.
RsNTGDI
.text,.rdata,INIT,.rsrc,.reloc,

RsProtect
[A ] 32. c:\windows\system32\drivers\rsptect.sys
Beijing Rising Information Technology Co., Ltd.
RsProtect
.text,.rdata,.data,INIT,.rsrc,.reloc,

Secdrv
[A ] 33. c:\windows\system32\drivers\secdrv.sys
Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.
Macrovision SECURITY Driver
.text,.rdata,.data,PAGE,INIT,.rsrc,.reloc,

WudfPf
[A ] 34. c:\windows\system32\drivers\wudfpf.sys
Microsoft Corporation
Windows Driver Foundation - User-mode Driver Framework Platform Driver
.text,.rdata,.data,PAGE,.edata,INIT,.rsrc,.reloc,

WudfRd
[A ] 35. c:\windows\system32\drivers\wudfrd.sys
Microsoft Corporation
Windows Driver Foundation - User-mode Driver Framework Reflector
.text,.rdata,.data,PAGE,INIT,.rsrc,.reloc,

大班老板 - 2009-8-12 16:03:00

使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log

J_muse - 2009-8-12 16:52:00

论坛还是把论坛实习生退了吧，没什么建议，有的只是：
使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log
看得太纠结了

大班老板 - 2009-8-12 17:18:00

楼主12点发的求助，我16点发的。

为什么呢。JMUSE想过没。中间4小时为什么一个人都没回帖呢。想过没啊

看得太纠结就别看了。

上传sreng日志只是为了更好解决问题。see:kaka2:

J_muse - 2009-8-12 17:19:00

“NetTcpPortSharing
[A ] 7. c:\windows\microsoft.net\framework\v3.0\windows communication foundation\smsvchost.exe
Microsoft Corporation
SMSvcHost.exe
.text,.rsrc,.reloc,
文件名和"svchost.exe"类似”
这个要毙掉吧，LZ既然装了兔子那就先用兔子清理一遍系统吧。另外，LZ所说的可疑文件是安全的。我帮LZ看看SReng报告

J_muse - 2009-8-12 17:22:00

咱俩在这儿争论个什么劲儿啊，先帮LZ解决问题吧，我就是说你那个回复太规则了。。。
如果你觉得我冒犯了你，我道歉。。。

大班老板 - 2009-8-12 17:29:00

c:\windows\microsoft.net\framework\v3.0\windows communication foundation\smsvchost.exe

看路径是正常系统文件。microsoft.net\framework

J_muse - 2009-8-12 17:42:00

。。。。我眼花了，原来LZ是用的瑞星日志，能换个SReng的不？
PS：LS说的是，我刚开始以为是在sys32目录下的呢。如果是那个目录下，一定要删掉。

夲號ヱ被ジ盜 - 2009-8-12 17:45:00

如果楼主带宽好的话
留下QQ，远程控制看看
就再牺牲次:kaka6:

大板牙兔 - 2009-8-12 19:40:00

用sreng扫描出来的也很大哦,弄出来的可疑问题更多了

不过首先要感谢下J_muse 等大人的热心帮助,这几天真的搞的我焦头烂额的,下午那会QQ又被人申述去了,哎

附件: SREngLOG.log

大板牙兔 - 2009-8-12 19:44:00

这次扫描出来的可疑文件有8M多呢

附件: SuspiciousFiles.part01.rar

附件: SuspiciousFiles.part02.rar

附件: SuspiciousFiles.part03.rar

附件: SuspiciousFiles.part04.rar

附件: SuspiciousFiles.part05.rar

附件: SuspiciousFiles.part06.rar

大板牙兔 - 2009-8-12 19:53:00

夲號ヱ被ジ盜大人我的带宽不怎么行,上个8M的文件搞了差不多10分钟

是昔流芳 - 2009-8-12 19:57:00

呵呵，一般来说上行速度是不如下行速度的，上传慢很正常。

大板牙兔 - 2009-8-12 20:13:00

大人门我还发现我的系统里有2个svchost文件

不知道是不是马

一个在SYS32下面,还有个在C:\WINDOWS\system32\dllcache

2个的MD5是一样的

70012 F:\PROGRAM FILES\THUNDER NETWORK\THUNDER\COMDLLS\XUNLEIBHO_NOW.DLL
70025 C:\WINDOWS\INF\MSMSGS.INF
70000 D:\PROGRA~1\AVG\AVG8\AVGWDSVC.EXE
70000 D:\PROGRA~1\RISING\RAV\RAVMOND.EXE
70012 F:\PROGRAM FILES\THUNDER NETWORK\THUNDER\COMDLLS\TDATONCE_NOW.DLL
70004 D:\PROGRA~1\AVG\AVG8\AVGTRAY.EXE
70012 C:\WINDOWS\SYSTEM32\RAVEXT.DLL
70004 D:\PROGRAM FILES\RISING\RFW\RSTRAY.EXE
70000 D:\PROGRA~1\RISING\RFW\CCENTER.EXE
70012 D:\PROGRAM FILES\AVG\AVG8\AVGSE.DLL
70000 D:\PROGRAM FILES\RISING\RAV\RAVTASK.EXE
70023 C:\WINDOWS\SYSTEM32\AVGRSSTX.DLL
70025 C:\WINDOWS\INF\MSNETMTG.INF
70012 C:\WINDOWS\SYSTEM32\MSVCP71.DLL
70012 F:\PROGRAM FILES\THUNDER NETWORK\THUNDER\COMPONENTS\RESWORKER\DATAPROCESSOR_00.DLL
70012 D:\PROGRAM FILES\WINRAR\RAREXT.DLL
70004 C:\WINDOWS\RTHDCPL.EXE
70004 C:\WINDOWS\SYSTEM32\KMON.DLL
70014 D:\PROGRAM FILES\RISING\ANTISPYWARE\SYSLAY.DLL
71001 F:\SRENG2\SRENGLDR.EXE
70000 D:\PROGRA~1\RISING\RAV\SCANFRM.EXE
70004 D:\PROGRAM FILES\RISING\ANTISPYWARE\RSTRAY.EXE
70000 D:\PROGRA~1\RISING\RAV\CCENTER.EXE
70000 C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE
70025 C:\WINDOWS\INF\WMP11.INF
70014 D:\PROGRAM FILES\RISING\ANTISPYWARE\COMX3.DLL
70012 C:\WINDOWS\SYSTEM32\MSVCR71.DLL
70012 C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\ATIACMXX.DLL
70015 C:\WINDOWS\SYSTEM32\ATI2EVXX.DLL
70004 D:\PROGRAM FILES\RISING\RAV\RSTRAY.EXE
70004 D:\PROGRAM FILES\RISING\RAV\RSSAFETY.EXE
70004 C:\WINDOWS\ALCMTR.EXE
70011 C:\WINDOWS\SYSTEM32\MSI.DLL
70012 D:\PROGRAM FILES\ALIWANGWANG\ALIIMEXT.DLL
70000 D:\PROGRA~1\RISING\RFW\RFWSRV.EXE
70012 C:\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\ATIAMCHS.DLL
70012 F:\PROGRAM FILES\THUNDER NETWORK\THUNDER\COMPONENTS\RESWORKER\DSBHO_00.DLL
70000 D:\PROGRAM FILES\RISING\RFW\RAVTASK.EXE

学飞的龙 - 2009-8-12 20:21:00

C:\WINDOWS\system32\dllcache是SYS32下系统文件备份，正常的
看日志没发现什么病毒，但不是说没有问题，也可能装了什么软件
等其他高手来看吧
还有你这个8M多的可疑文件是正常的（我杀过了，都是些应用程序扩展），不知道你用什么软件提取出来的

大板牙兔 - 2009-8-12 20:28:00

Windows 进程激活服务 (WAS) 是 Windows Server 2008 新增的进程激活机制，它向使用非 HTTP 协议的应用程序提供了与类似 IIS 的功能，这些功能以前只对基于 HTTP 的应用程序可用。Windows Communication Foundation (WCF) 使用侦听器适配器接口传递激活请求，该激活请求通过由 WCF 支持的非 HTTP 协议（如 TCP、命名管道和 MSMQ）接收。用于通过非 HTTP 协议接收请求的功能由 SMSvcHost.exe 中运行的托管 Windows 服务承载。

Net.Msmq Listener Adapter 服务 (NetMsmqActivator) 根据队列中的消息激活排队的应用程序。

SMSvcHost.exe 看来这个是没问题的

8M多的是用sreng提取的,说是可疑文件

基牛 - 2009-8-12 22:27:00

先用SReng工具看看有没有API HOOK与预期值不符的提示，如果有，修复了再上传日志。还有一点
C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll 这项系统服务怎么是禁用的。。

大板牙兔 - 2009-8-13 8:19:00

引用:

原帖由基牛于 2009-8-12 22:27:00 发表
先用SReng工具看看有没有API HOOK与预期值不符的提示，如果有，修复了再上传日志。还有一点
C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll 这项系统服务怎么是禁用的。。

svchost.exe 这个服务我好象关过,不知道有什么用

日志扫描好了,谢谢大人

附件: SREngLOG.log

大板牙兔 - 2009-8-13 12:41:00

又搞了一上午,还是没搞出什么名堂来,依旧查不到毒

是昔流芳 - 2009-8-13 13:16:00

引用:

原帖由基牛于 2009-8-12 22:27:00 发表
先用SReng工具看看有没有API HOOK与预期值不符的提示，如果有，修复了再上传日志。还有一点
C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll 这项系统服务怎么是禁用的。。

这个服务本来就是这样的

still刀刀 - 2009-8-13 13:50:00

所有人的回答都看了一遍:kaka6: 问题还是没有解决啊
楼主现在的情况是杀不出毒，但是别人依旧可以控制你的电脑
你去一些杀毒官网在线查杀，一并把恶意程序流氓软件查杀，确定了到底中了什么毒和电脑里被注入了什么恶意程序。不必搞10个杀毒软件
那么搞，还没去杀毒他们自己都打起来了，然后在下个灰鸽子专杀吧，我怀疑你的系统或者第三方软件存在漏洞！

大板牙兔 - 2009-8-13 17:43:00

刚才我用卡卡助手在查看联网程序管理的时候无意间发现个没回缀没地址的文件在监听,不知道是不是就是这个

刚开始发现2个叫416的没回缀,我关掉后进去又发现个叫3712的,后面无地址那些,我一点启用地址解析这文件就没了,而且2个发现没

回缀的文件都是那个IP,怀疑正在被人超控中

论坛不让我上传图片,我把截的图压缩了给各位大人看

附件: 未命名.rar

se7ensun - 2009-8-13 20:16:00

在系统下这种强力的病毒是很难删的，你在PE下杀过没

瑞星卡卡安全论坛