瑞星卡卡安全论坛
首页
»
技术交流区
»
反病毒/反流氓软件论坛
»
奇怪进程!(附日志)
Find皮卡丘 - 2009-8-13 19:24:00
QQ截图未命名.png
(9.45 K)
2009-8-13 19:24:01
最近电脑莫名发出打开网页的声音,用卡卡查看进程,出现进程everest,而我是有这款软件,不过版本和存放地址都不对(这个在system文件夹下),还偶尔出现微软图标进程,卡卡未收入,公司是微软中国,同样可疑
WINDOWS清理助手没查出什么,附上日志看看是什么问题
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; Maxthon; .NET CLR 2.0.50727)
附件:
SREngLOG6.log
dipahole - 2009-8-13 19:47:00
使用附件的工具删除以下文件:c:\windows\system32\drivers\presafe.sys
其他没发现问题..
附件:
费 尔.rar
Find皮卡丘 - 2009-8-13 19:51:00
保险的问一下:c:\windows\system32\drivers\presafe.sys
这是什么问题,毕竟删出问题一点不好玩……
se7ensun - 2009-8-13 19:54:00
可能是一个恶意驱动
merrk_chuan - 2009-8-13 20:00:00
网上是说 雨林木风的恶意驱动,你怕出问题 可以先备份下 然后选择删除
再者 C:\WINDOWS\system32\srsvc.dll 这个文件也被感染了,找相同系统版本的文件替换下
http://bbs.ikaka.com/showtopic-8417665.aspx
Find皮卡丘 - 2009-8-13 20:07:00
引用:
原帖由
merrk_chuan
于 2009-8-13 20:00:00 发表
网上是说 雨林木风的恶意驱动,你怕出问题 可以先备份下 然后选择删除
再者 C:\WINDOWS\system32\srsvc.dll 这个文件也被感染了,找相同系统版本的文件替换下[url]http://bbs.ikaka.com/showtopic-8417665.aspx[/u......
网上找到的
http://baike.360.cn/4047614/4702820.html
然而在6楼
这个貌似IE辅助软件吧,允许在IE地址栏直接输入中文或E文进行“搜索”。一般我们常用的搜索引擎“百度”:先在地址栏输入百度地址,然后再到百度搜索页面键入需要搜索的内容,这个所谓的“BHO”只是帮我们一步到位而已,要不就直接去默认的“中国电信”看我的抓图吧。雨林木风只是把到“电信”的直接改为到“百度”而已。
然后系统文件被感染啊,那很麻烦的……那是什么文件?
查到是系统还原,不过我系统没有开系统还原啊……
merrk_chuan - 2009-8-13 20:14:00
修复感染文件不难的
下载附件,解压至桌面,启动里面的程序后,点击“开始替换”,程序提示重启电脑时,立即重启(其他人不可随意使用,只适合LZ用)
重启后 再扫个日志来
附件:
替换.rar
Find皮卡丘 - 2009-8-13 20:18:00
要重启的话可能要过一会啊,到时候就发日志
merrk_chuan - 2009-8-13 20:21:00
先替换了再说吧..
大班老板 - 2009-8-13 20:28:00
引用:
原帖由
merrk_chuan
于 2009-8-13 20:00:00 发表
网上是说 雨林木风的恶意驱动,你怕出问题 可以先备份下 然后选择删除
再者 C:\WINDOWS\system32\srsvc.dll 这个文件也被感染了,找相同系统版本的文件替换下[url]http://bbs.ikaka.com/showtopic-8417665.aspx[/u......
微软的系统恢复服务
[System Restore Service / srservice][Stopped/disable]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->C:\WINDOWS\system32\srsvc.dll><N/A>[/quote]
虽然是<N/A>, 但是不能乱删的。不一定被感染。
Find皮卡丘 - 2009-8-13 20:35:00
然后我又不知道怎么办了……还有那可疑的everest……
merrk_chuan - 2009-8-13 20:39:00
:kaka6: 是让他替换,不是删除....
保险起见 替换了总没害处,万一被感染了呢?
大班老板 - 2009-8-13 20:43:00
你给的那个网址里的备份文件好像没有这个文件的。你去看看
我在其他日志看过几次了,都是n\a. 个人觉得可以忽略。
那可疑的everest,不放心就删除了,就一个检测工具,网上大把下载。
merrk_chuan - 2009-8-13 20:44:00
那你打开着everest 然后扫个日志来
你图片里那些lpk.dll等文件都是正常的啊,路径也没错
你说的是everest 在system文件夹里?
merrk_chuan - 2009-8-13 20:45:00
我晕,你ctrl+F 然后搜索下srsvc.dll 你看看有没有,只是版主后来添加了一些系统文件到12楼了
Find皮卡丘 - 2009-8-13 20:54:00
引用:
原帖由
merrk_chuan
于 2009-8-13 20:44:00 发表
那你打开着everest 然后扫个日志来
你图片里那些lpk.dll等文件都是正常的啊,路径也没错
你说的是everest 在system文件夹里?
是啊……原本是exe程序预装在开始菜单(我不是小白,那不是快捷方式)
突然在系统文件夹很奇怪,然后终于盼到了,偶尔出现的很可疑文件
QQ截图未命名2.png
(5.19 K)
2009-8-13 20:53:30
第一个就是了,还有可疑everest进程也消失了……
merrk_chuan - 2009-8-13 21:10:00
deepinms.exe 这个应该是雨林木风系统优化工具的进程,如果不喜欢 删掉是没问题的,
看everest的路径,你是直接从rar文件里 直接打开的它吗?
Find皮卡丘 - 2009-8-13 21:16:00
引用:
原帖由
merrk_chuan
于 2009-8-13 21:10:00 发表
deepinms.exe 这个应该是雨林木风系统优化工具的进程,如果不喜欢 删掉是没问题的,
看everest的路径,你是直接从rar文件里 直接打开的它吗?
查了一下,deepinms.exe不是雨林木风的,还有everest是exe文件在开始菜单,启动时自解压启动
QQ截图未命名3.png
(1.35 K)
2009-8-13 21:15:59
deepinms.exe依然可疑,以前从没有出现过
http://baike.360.cn/4024037/12258338.html
百度查到的……怀疑和一个美化系统软件有关,去卸载看看
然后deepinms.exe和可疑everest循环出现……
merrk_chuan - 2009-8-13 21:24:00
打错了 是深度的... 这类系统都是修改过的 说美化了也差不多,它不是可疑的
如果实在是怀疑它,你把它发到
www.virscan.org
去检测下看看,
你先说下 你的everest 是自己从rar文件里打开的不? 你把它的详细路径发来
Find皮卡丘 - 2009-8-13 21:31:00
引用:
原帖由
merrk_chuan
于 2009-8-13 21:24:00 发表
打错了 是深度的... 这类系统都是修改过的 说美化了也差不多,它不是可疑的
如果实在是怀疑它,你把它发到
www.virscan.org
去检测下看看,
你先说下 你的everest 是自己从rar文件里打开的不? 你把它......
只有一个查出毒……
然后
QQ截图未命名4.png
(27.45 K)
2009-8-13 21:30:45
C:\Documents and Settings\All Users\「开始」菜单\程序
还有,我用的是雨林木风……
好吧,可疑的everest 没有查出毒,不过不代表这两个一定不是恶意软件
merrk_chuan - 2009-8-13 21:46:00
只有一个查出,那可疑率很低了吧,不过也无法保证
如果你还是认为有可疑,那就发到可疑文件交流区 让工程师帮你分析下 看看到底是否有问题吧,只有确实的答案才能消除你的疑虑了
Find皮卡丘 - 2009-8-13 22:08:00
也是,如果日志也没有什么问题的话,明天就改成已解决吧
1
查看完整版本:
奇怪进程!(附日志)
© 2000 - 2025 Rising Corp. Ltd.
