瑞星卡卡安全论坛

我公司一共有30台左右的电脑,是通过光纤--路由器--3个TP link SF1024S交换机组成局域网的,网内链接公司里的ERP系统,通过路由器的IP控制用户上网,但近有一半以前的电脑感染病毒(病毒情况请看附图),
  1:初次(只有小部分安装正版瑞星)出现的问题是外网经常断网,只有和ERP服务器同一个交换机的电脑才能上ERP,关掉所有路由器和交换机十分钟后一切正常,但一天总有几次这样的.
  2:前15天,我将全部电脑都安装上正版瑞星,但只是单机正版,在安全模式下杀毒,有7台电脑里存在病毒,病毒数量在30个以内,这十天内的内网和外网一切都正常.
  3:5天前,部分电脑出现IP冲突(应该不会是人为修改的),IP冲突的电脑的瑞星监控都不能打开的,进入安全模式下就蓝屏,但dos(光驱+U盘,断网)模式正发现病毒数不当,杀完毒正常进入系统,打开系统进程,插上网线,进程数量一下提高到差不多200个,打开瑞星杀毒,发现病毒数有一百多个,这时内网一切正常(能对各台电脑进行访问和进入公司ERP,所有电脑接外网速度很慢,打开一些网站(包括门户网)出现病毒提示,点击后所有网站自动关闭,出现内存错误)
  4:前天,电脑在正常模式下进行全盘杀毒,不能打开瑞星监控的电脑发现病毒增加到100多个(这几天一直都有正行全盘杀毒的),IP冲突还存在,我关闭了路由器IP按制上网,安装上瑞星防火墙后IP冲突没有了,能上外网,但就不能防问内网了,点击网上邻居也是空的,公司EPR不能使用(部份能使用,都是能正常开瑞星监控的),通过ping能通别的电脑,删掉瑞星防火墙后还是老样子.

    公司大部份电脑都没有光驱的,而宜电脑桌设计比较怪,电脑不好搬动,部份旧电脑的USB口也是坏的,公司基本情况是这样了,我进入这公司才一个多月,只是兼职做网管,水平有限,感觉情况不在我能力范围内控制了,只能上来求大家来帮忙,不胜感谢!
















用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

附件: 扫描报告2.rar

还有我用的是正版瑞星2007单机版版

这样，先将每台电脑的补丁打全，给管理员账户设置强壮的密码，禁用来宾账户等。
然后使用最新版本的杀毒软件在安全模式下全盘扫描。

谢谢楼上的!
但有部分电脑是用admin用户+密码登录的,但一样出问题呢?:kaka4:

一台中了
会通过ARP攻击的方式传出去

控制上网？？

可能员工家有毒且用了U盘拷文件

拷过来病毒运行了

通过局域网ARP攻击或别的漏洞攻击传播...

建议打全补丁，PE光盘引导全盘杀毒

这么多机子这论坛也没法，只能指导

"光盘引导全盘杀毒"是一个大问题啊!因为大多数电脑都没光驱的,而且因电脑台的设计使电脑不好移动!:kaka6:
搞到我近来一直睡不好!实在解决不了才上来求助!

暂时先让所有机子断开网络 打全系统补丁
找几个不同机子上的瑞星杀毒记录发上来看看

你可以到网上下载一个PE系统安装包，下好后安装好，然后开机的时候会多一个启动项，就是多了个PE系统，一个是你本来的系统，可以选择PE系统启动，如果开机没出那个选项就按F8出了那个选择安全模式之类的东东时选下面那个选择启动项（具体名称忘了，好像是最下面的。）。安装包没多大的，然后可以利用网络共享或在不同的机器上登陆不同的QQ号用QQ传送，U盘拷贝，也可以每台电脑都连网下载。。。。多种方式让每台电脑都有。然后在PE系统里面用杀毒的杀（好像很多杀软用不了，不过一般的专杀可以用，也可以用绿化的杀软）

好像在PE下用不了也安装不了瑞星
请问有没有更好的杀毒软件推荐呢?

我现在最逼切的问题是让电脑能相互访问,上网和访问公司ERP
但现在链网上邻居也是空的

已上传扫描报告,请帮忙分析!谢谢

第一个日志看

你需要干掉下面项目：

启动项目
注册表
    <360safe><C:\WINDOWS\Fonts\alg.exe>  [360安全中心]

==================================
驱动程序
[dansl / dansl][Stopped/Manual Start]
  <\??\C:\WINDOWS\fonts\dansl.sys><N/A>

==================================
浏览器加载项
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush0.dll, >
[Info cache]
  {296AB1C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\AMD\google.dll, N/A>
[IEFXZ]
  {6A49F431-2A2E-41a5-9080-0F41D1A3AEC2} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[IEFXZTool]
  {61F0024B-8278-4999-B7E6-2718426D9FE6} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush0.dll, >
[Info cache]
  {296AB1C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\AMD\google.dll, N/A>
[IETimber]
  {489873CE-F3E1-44A3-8E89-04BE26BE4446} <C:\Program Files\Internet

Explorer\IETimber\IETimber.dll, (Signed) 北京世纪乾坤软件>
[IEFXZHelper]
  {6A49F431-2A2E-41a5-9080-0F41D1A3AEC1} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[IEFXZ]
  {6A49F431-2A2E-41A5-9080-0F41D1A3AEC2} <C:\PROGRA~1\IEfxz\iefxz.dll,

你需要干掉下面文件,请一定要将文件提取压缩发来看：

C:\WINDOWS\system32\Rwad8sdv4e7V8xpKZ.dll
C:\WINDOWS\system32\LINKINFO.dll
C:\WINDOWS\Fonts\tencent.exe
C:\WINDOWS\Fonts\alg.exe
C:\WINDOWS\fonts\dansl.sys
C:\Program Files\Common Files\PushWare\cpush0.dll
C:\WINDOWS\AMD\google.dll
C:\PROGRA~1\IEfxz\iefxz.dll
C:\Autorun.inf
C:\EM.PIF
D:\Autorun.inf
D:\EM.PIF
E:\Autorun.inf
E:\EM.PIF
F:\Autorun.inf

注意C:\WINDOWS\system32\LINKINFO.dll文件已经不是系统原始文件了。得找原始系统文件替换此文件。

可以在C:\WINDOWS\system32\dllcache文件夹内找找。

这第二个日志看：

你需要干掉下面项目：

启动项目
注册表
    <360safe><C:\WINDOWS\Fonts\alg.exe>  [360安全中心]
    <mysys><C:\Documents and Settings\All Users\OFFLINE\mse.exe>  []
    <{F1455861-8C40-4095-ABD8-7BEAE5ADF92E}><C:\WINDOWS\system32\Rwad8sdv4e7V8xpKZ.dll>  []

==================================
驱动程序
[acpidisk / acpidisk][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\acpidisk.sys><N/A>

[dansl / dansl][Stopped/Manual Start]
  <\??\C:\WINDOWS\fonts\dansl.sys><N/A>

[pnpmem / pnpmem][Running/Auto Start]
  <\??\C:\WINDOWS\system32\drivers\pnpmem.sys><N/A>

==================================
浏览器加载项
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush0.dll, >
[Info cache]
  {296AB1C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\AMD\google.dll, Hello Loons.Fad>
[google cache]
  {296AB1C7-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\MICROSOFT\winsys.dll, Hello Loons.Fad>
[IETimber]
  {489873CE-F3E1-44A3-8E89-04BE26BE4446} <C:\Program Files\Internet Explorer\IETimber\IETimber.dll, (Signed) 北京世纪乾坤软件>
[Yodao Toolbar Helper]
  {6516E5BB-1186-4E2B-B8B8-2DC0E35AB1FA} <C:\Program Files\Youdao\Toolbar\ydtbv2.2\YodaoToolbar.dll, (Signed) 网易公司>
[IEFXZ]
  {6A49F431-2A2E-41a5-9080-0F41D1A3AEC2} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[IEFXZTool]
  {61F0024B-8278-4999-B7E6-2718426D9FE6} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush0.dll, >
[Info cache]
  {296AB1C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\AMD\google.dll, Hello Loons.Fad>
[google cache]
  {296AB1C7-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\MICROSOFT\winsys.dll, Hello Loons.Fad>
[IETimber]
  {489873CE-F3E1-44A3-8E89-04BE26BE4446} <C:\Program Files\Internet Explorer\IETimber\IETimber.dll, (Signed) 北京世纪乾坤软件>
[IEFXZHelper]
  {6A49F431-2A2E-41A5-9080-0F41D1A3AEC1} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[IEFXZ]
  {6A49F431-2A2E-41A5-9080-0F41D1A3AEC2} <C:\PROGRA~1\IEfxz\iefxz.dll, >
[有道搜索(&Y)]
  <res://C:\Program Files\Youdao\Toolbar\ydtbv2.2\YodaoToolbar.dll/158.htm, N/A>

你需要干掉下面文件,请一定要将文件提取压缩发来看：

C:\WINDOWS\Fonts\alg.exe
C:\Documents and Settings\All Users\OFFLINE\mse.exe
C:\WINDOWS\system32\Rwad8sdv4e7V8xpKZ.dll
C:\WINDOWS\system32\drivers\acpidisk.sys
C:\WINDOWS\fonts\dansl.sys
C:\WINDOWS\system32\drivers\pnpmem.sys
C:\Program Files\Common Files\PushWare\cpush0.dll
C:\WINDOWS\AMD\google.dll
C:\WINDOWS\MICROSOFT\winsys.dll
C:\PROGRA~1\IEfxz\iefxz.dll
C:\WINDOWS\system32\winlib .dll
C:\WINDOWS\system32\syslib .dll
C:\WINDOWS\system32\Rwad8sdv4e7V8xpKZ.dll
C:\WINDOWS\system32\A2Mon.dll
C:\WINDOWS\system32\A6Mon.dll
C:\WINDOWS\system\Noy53.tmp
C:\WINDOWS\system32\LINKINFO.dll
C:\Documents and Settings\All Users\OFFLINE\httpapi.dll
C:\Documents and Settings\All Users\OFFLINE\mse.exe
C:\WINDOWS\Fonts\tencent.exe
C:\WINDOWS\system32\360trav.exe
C:\Autorun.inf
C:\EOPA.PIF
D:\Autorun.inf
D:\EOPA.PIF
E:\Autorun.inf
E:\EOPA.PIF
F:\Autorun.inf

注意C:\WINDOWS\system32\LINKINFO.dll文件已经不是系统原始文件了。得找原始系统文件替换此文件。

可以在C:\WINDOWS\system32\dllcache文件夹内找找。

还有这文件夹内是什么宝贝东西呢？？离它不过日子吗？？？
D:\1\KuGou2008\

这第三个日志中：

下面是你需要干掉的项目：

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><C:\WINDOWS\guid.exe>  []

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <360safe><C:\WINDOWS\Fonts\alg.exe>  [360安全中心]

==================================
驱动程序
[dansl / dansl][Stopped/Manual Start]
  <\??\C:\WINDOWS\fonts\dansl.sys><N/A>

==================================
浏览器加载项
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush.dll, N/A>
[Info cache]
  {296AB1C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\AMD\google.dll, N/A>
[IETimber]
  {489873CE-F3E1-44A3-8E89-04BE26BE4446} <C:\Program Files\Internet Explorer\IETimber\IETimber.dll, (Signed) 北京世纪乾坤软件>
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\PushWare\cpush.dll, N/A>
[Info cache]
  {296AB1C6-FB22-4D17-8834-064E2BA0A6F0} <C:\WINDOWS\AMD\google.dll, N/A>
[IETimber]
  {489873CE-F3E1-44A3-8E89-04BE26BE4446} <C:\Program Files\Internet Explorer\IETimber\IETimber.dll, (Signed) 北京世纪乾坤软件>
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
下面是你需要干掉的文件，请一定要将文件提取压缩发来看：
C:\WINDOWS\system32\A2Mon.dll
C:\WINDOWS\guid.exe
C:\Program Files\Internet Explorer\icwres.dll
C:\WINDOWS\system32\LINKINFO.dll
C:\WINDOWS\Fonts\alg.exe
C:\WINDOWS\fonts\dansl.sys
C:\Program Files\Common Files\PushWare\cpush.dll
C:\WINDOWS\AMD\google.dll
C:\Autorun.inf
C:\EM.PIF
D:\Autorun.inf
D:\EM.PIF
E:\Autorun.inf
E:\EM.PIF

注意C:\WINDOWS\system32\LINKINFO.dll文件已经不是系统原始文件了。得找原始系统文件替换此文件。

可以在C:\WINDOWS\system32\dllcache文件夹内找找。

文件的提取可以用此工具试试

下载文件批量提取工具提取文件
附件: 文件提取处理器.rar (内附说明）（右键选择“目标另存为”下载）本链接不支持迅雷等下载工具下载

如果文件提取不来，就更难以解决了

因为不知道存在于各盘根目录下的那个病毒是否具有感染性，所以很难说能否解决问题

愿意的话，因为你没法折腾瑞星升级

所以可以考虑试试

用W i n d o w s 清理助手 ，清理你那系统。
W i n d o w s 清理助手 下载：http://www.arswp.com/

下载Dr.Web CureIt 到桌面,免安装的，直接启动全盘扫描
ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe
或者
ftp://ftp.drweb.com/pub/drweb/cureit/setup.exe

我个人估计，你那公司内的所有电脑，所有移动存储设备的根目录下都存在那个*.pif病毒文件

谢谢天月的详细分析!是的!U盘有这样的问题!
不过这次的病毒传播得很快!现在只有几台电脑没查到病毒的
我现在有用最新版的瑞星杀毒和监控,装上瑞星防火墙,也点上了"ARP欺骗防御",有用瑞星卡卡和W i n d o w s 清理助手,也打上了系统最新补丁,好像改善了,但也时不是有闪断网出现,反正几秒后就会自动链上的.本人不是专业的网管,水平有限,不可能每台电脑都搞个扫描日志上来给高手分析的,也只能衣赖软件了

如果还有最新情况还请高手多多关照!谢谢!

我三个日志里提到的病毒文件，你提取来嘛

否则怎么去快速加库呢？？

怎么知道详细病毒情况呢？？