瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 新出的病毒sersvc.exe .怎么也杀不掉
adsad11 - 2010-4-4 16:11:00
用瑞星杀很多次了。都杀不掉.删除后过会又自己出来.一出来就上不了网.内存全满.C盘的temp文件夹里.删了两天了还是删不掉.有谁知道咋弄么..
我也试过删完后新建个文件.取名sersvc.exe
.想阻止他出来.可是他能把我建的文件删除或者改回原来的名字.

就这个文件.又出来了.而且瑞星在他出来前杀了个别的病毒. 小心点检查.忒危险...

附件: sersvc.rar (2010-4-4 16:54:54, 2.33 K)
该附件被下载次数 377


这是扫描的日志.
还有可疑的文件..
这是瑞星杀掉的病毒.每次这个sersvc出现前瑞星都提示清除掉了病毒.完事就很卡.结束掉这个进程后就没事了.但一会又出来./
压缩好了.放火墙没安呢..
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler 4.0)






附件: SREngLOG.log

附件: SuspiciousFiles.rar

附件: 1.rar
mopery - 2010-4-4 16:15:00
能否上传这个文件 并使用sreng扫描日志
adsad11 - 2010-4-4 16:17:00
我刚删除了他.等下他出来我上传.我已经扫描很多次了。 开始瑞星还说他有毒把他删了.现在根本不报毒了.
buddha951003 - 2010-4-4 20:33:00
该用户帖子内容已被屏蔽
byxxdrls - 2010-4-4 20:44:00
*******************************

Microsoft 签名验证

在 2010-4-4 上生成了日志文件,时间为 20:43
操作系统平台:  Windows 2000 (x86), Version:  5.1, Build: 2600, CSDVersion:  Service Pack 2
扫描结果:  文件总数: 10,已签名的: 4,没有签名的: 6,没有扫描的: 0

用户指定的搜索路径:  *.*
用户指定的搜索模式:  C:\Documents and Settings\Administrator\桌面\SuspiciousFiles

文件                      修改时间      版本            状态              编录              签名人
------------------      ------------  -----------        ------------        -----------          -------------------
[c:\documents and settings\administrator\桌面\suspiciousfiles\boot_reg_installedcomp]
msmsgs.inf.v            2004-8-4      2:5.1              已签名                NT5INF.CAT          Microsoft Windows Publisher
msnetmtg.inf.v          2004-8-4      2:5.1              已签名                NT5.CAT            Microsoft Windows Publisher
wmp.inf.v                2004-8-4      2:5.1              已签名                NT5INF.CAT          Microsoft Windows Publisher
[c:\documents and settings\administrator\桌面\suspiciousfiles\p_explorer]
vcvtshell.dll.v          2006-12-15    1.0.0.1            没有签名                N/A               
[c:\documents and settings\administrator\桌面\suspiciousfiles\p_seloaddriver]
sersvc.exe.v            2010-4-4      无                  没有签名                N/A               
[c:\documents and settings\administrator\桌面\suspiciousfiles\p_svchost]
msi.dll.v                2008-5-19      4.5.6001.22159      没有签名                N/A               
[c:\documents and settings\administrator\桌面\suspiciousfiles\p_winlogon]
syncor11.dll.v          2002-11-6      0.1.2.3            没有签名                N/A               
[c:\documents and settings\administrator\桌面\suspiciousfiles\service]
ravmond.exe.v            2004-9-10      无                  已签名                N/A                Beijing Rising Information Technology Corporation Limited
smagent.exe.v            2002-9-20      3.2.6.0            没有签名                N/A               
svchost.exe.v            2004-8-4      5.1.2600.2180      没有签名                N/A
adsad11 - 2010-4-4 20:45:00
那啥..楼上...你回复的太专业...看不懂...
byxxdrls - 2010-4-4 20:46:00
已签名的是没问题的。有问题的估计就只有那个sersvc.exe了
不知楼主是局域网还是直接通过ADSL拨号上网?
adsad11 - 2010-4-4 20:49:00
直接拨号上网的 .以前也没出问题.最近电脑有点慢.昨天就还原了下C盘.以前也常还原的.完事装瑞星杀毒.断网杀毒一遍.没事.我才开的卡卡下的更新.结果更新20个补丁就出这个SERSVC了...贼恶心.
byxxdrls - 2010-4-4 20:50:00
从瑞星的隔离区把删除的病毒弄出来压缩发上来。这毒可能是通过端口入侵进入的。楼主的瑞星防火墙已卸载?最好重新安装一下,以防止病毒入侵。
adsad11 - 2010-4-4 20:56:00
没安防火墙呢.我上传下这几个病毒.

附件: 新建文件夹.rar
夲號ヱ被ジ盜 - 2010-4-4 21:04:00
SuspiciousFiles
里的RavMonD.exe
SMAGENT.exe
Svchost.exe均无危险动作

Sersvc.exe运行后试图向Temp里复制自身
并启动
然后调用cmd.exe
net.exe
狂访问这个地址

流量很大
几乎...
这就是你上不去网的原因


sersvc直接结束进程就是


mft4.exe
挂钩在0xa812f6
删除注册表键值
禁止系统调试
然后出错崩溃进程结束

slass.exe与mft4.exe为一个文件





AENBOGHG[1].dll
Microsoft Visual C++ 6.0 DLL [Overlay]

bjobs[1].dll和x.dll为一个文件
UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]






adsad11 - 2010-4-4 21:09:00
辛苦.咋解决...我还是看不懂.
byxxdrls - 2010-4-4 21:11:00
有conficker病毒。此病毒是利用MS08-067漏洞,你是SP2系统,但看日志你的补丁似乎都打上了。另外还有一种病毒。
adsad11 - 2010-4-4 21:17:00
恩恩.继续.不要停.到重点了.怎么解决他.
byxxdrls - 2010-4-4 21:39:00
两个EXE文件是一类病毒,其余的是conficker.

前者我以前看到过的,但一时想不起来了。这玩意儿反虚拟机,在虚拟机上不好运行,而我又不懂反汇编。
目前是不是只有那个sersvc.exe屡杀不止?要不你用下面这个工具扫描一个报告上来看看?

附件: VeryFunny.zip
adsad11 - 2010-4-4 21:43:00
就这个sersvc.exe杀不掉.每次删除了过会又冒出来.而且每次冒出前瑞星都提示杀了个别的病毒.估计这是个系列型的..我去扫描
那啥.扫描完了.上传哪个..是这个网页么.

附件: VeryFunny.rar
byxxdrls - 2010-4-4 22:02:00
上面的日志没问题。刚才我群里有人提醒我,这毒就是贝壳论坛上的那个kkc7.exe。主要是打好补丁,关闭端口之类的吧。请安装瑞星防火墙吧。
adsad11 - 2010-4-4 22:09:00
防火墙也安好了.麻烦你了.
在坚持几天.要么事就把重要东西传网上了.全格式化下就省事了.
byxxdrls - 2010-4-5 9:01:00
昨天,贝壳论坛上也有人求助,说重装系统也未能解决。要不用个工具检查一下MBR有没有问题。如果当前记录为其它的话就有问题。

附件: BOOTICE.rar
adsad11 - 2010-4-5 21:01:00
确实还没完...我试着关了下瑞星防火墙和杀毒的.马上又出问题.C盘WINDOWS\SYSTEM\SLASS.EXE...又出来了.也是卡的没法过.删了过会又出来..估计毒不是SERSVE.EXE和这个SLASS.他们只是被复制占内存的。 该有个主要的毒藏在C盘.
你给的这个软件也下了。怎么用这个.
byxxdrls - 2010-4-5 21:50:00
这个可以检查你的引导记录是哪种类型的,如果是其它的话就要注意了。你按后两个按钮检查一下吧。
adsad11 - 2010-4-5 22:14:00
查了。 还是不会看.我把图发上来.帮看下.

附件: My Documents.rar
byxxdrls - 2010-4-6 8:04:00
好像没问题,你安装了一键还原吧?
估计是通过网络攻击。安装防火墙并启用以后没问题了吧?
byxxdrls - 2010-4-6 8:13:00
http://bbs.beike.cn/thread-5976-1-1.html
此帖求助者说找到两个木马删除后解决了。你全盘搜索一下有没有temp.exe”和“qmchs_tk.exe”这两个文件。
autorun.inf文件夹一般没问题的
adsad11 - 2010-4-6 9:12:00
其实.我要真是自己中的毒.我也就认了.
问题是.电脑一直没问题.我嫌瑞星防火墙占内寸就给删了.只留了瑞星卡卡.然后瑞星杀毒防御监控也给删了.只留个主程序.过几个月杀次毒.
前几天还原了下C盘.还原前还没事.还原完事就杀毒.杀完才下的补丁..完事下了几个补丁就出问题..
我试下这办法去.太辛苦你了.还费劲去找这帖子.:kaka1:
么也没查出来...悲剧了.删了瑞星了.忒卡.弄了个360防御.一直开着吧..一关就卡的没法玩...哎.这毒忒喜欢我了.怎么也不肯走啊。
1
查看完整版本: 新出的病毒sersvc.exe .怎么也杀不掉
© 2000 - 2025 Rising Corp. Ltd.