T_T,机子中毒了，各位大大帮忙进来看下，谢谢啊 bbs.ikaka.com

爱与痛的我 - 2011-6-30 19:36:00

不知道怎么回事，机子就中毒了，360和瑞星都报有毒，可清除掉后，一会儿又会继续报毒，然后我用冰仞查了一下，发现是PID同为848的SVCHOST.EXE调用了WMIPRVSE.EXE，然后WMIPRVSE.EXE又调用了CMD。EXE，紧接着CMD。EXE又调用了FTP。EXE进行传输，再调用FIREFOXUPDATER.EXE，到了这步我就不知道该做什么了，哪位大大能教教我，拜托了T_T:kaka4:

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

byxxdrls - 2011-6-30 20:02:00

安装瑞星防火墙了么？看一下开放的端口情况吧。

爱与痛的我 - 2011-6-30 22:16:00

我拿冰刃扫了一下，结果如下
端口：

协议本地地址远程地址状态进程ID 进程名
TCP 0.0.0.0 : 445 0.0.0.0 : 0 LISTENING 4 NT OS Kernel
TCP 192.168.1.3 : 139 0.0.0.0 : 0 LISTENING 4 NT OS Kernel
UDP 192.168.1.3 : 137 * : * 4 NT OS Kernel
UDP 192.168.1.3 : 138 * : * 4 NT OS Kernel
UDP 0.0.0.0 : 445 * : * 4 NT OS Kernel
RAW --- --- --- 4 NT OS Kernel
UDP 0.0.0.0 : 1027 * : * 1720 D:\新建文件夹 (2)\safemon\360tray.exe
UDP 127.0.0.1 : 1025 * : * 1720 D:\新建文件夹 (2)\safemon\360tray.exe
UDP 0.0.0.0 : 3600 * : * 1720 D:\新建文件夹 (2)\safemon\360tray.exe
TCP 117.39.32.110 : 2106 27.19.158.2 : 3348 ESTABLISHED 2940 C:\WINDOWS\Temp\svchost.exe
TCP 117.39.32.110 : 135 117.39.37.59 : 3474 ESTABLISHED 896 C:\WINDOWS\System32\SVCHOST.EXE
TCP 117.39.32.110 : 2041 117.39.37.59 : 2729 ESTABLISHED 996 C:\WINDOWS\System32\SVCHOST.EXE
TCP 117.39.32.110 : 2041 117.39.37.59 : 2358 ESTABLISHED 996 C:\WINDOWS\System32\SVCHOST.EXE
TCP 117.39.32.110 : 135 117.39.37.59 : 3464 ESTABLISHED 896 C:\WINDOWS\System32\SVCHOST.EXE
TCP 0.0.0.0 : 135 0.0.0.0 : 0 LISTENING 896 C:\WINDOWS\System32\SVCHOST.EXE
TCP 0.0.0.0 : 2041 0.0.0.0 : 0 LISTENING 996 C:\WINDOWS\System32\SVCHOST.EXE
TCP 0.0.0.0 : 33673 0.0.0.0 : 0 LISTENING 1332 C:\WINDOWS\System32\SVCHOST.EXE
UDP 192.168.1.3 : 123 * : * 996 C:\WINDOWS\System32\SVCHOST.EXE
UDP 192.168.1.3 : 1900 * : * 1188 C:\WINDOWS\System32\SVCHOST.EXE
UDP 127.0.0.1 : 123 * : * 996 C:\WINDOWS\System32\SVCHOST.EXE
UDP 117.39.32.110 : 123 * : * 996 C:\WINDOWS\System32\SVCHOST.EXE
UDP 127.0.0.1 : 1900 * : * 1188 C:\WINDOWS\System32\SVCHOST.EXE
UDP 117.39.32.110 : 1900 * : * 1188 C:\WINDOWS\System32\SVCHOST.EXE
UDP 0.0.0.0 : 33674 * : * 1332 C:\WINDOWS\System32\SVCHOST.EXE
UDP 127.0.0.1 : 1284 * : * 2136 C:\Program Files\Rising\Rav\RsTray.exe
TCP 0.0.0.0 : 6059 0.0.0.0 : 0 LISTENING 976 C:\Program Files\Rising\Rav\RavMonD.exe
UDP 127.0.0.1 : 1927 * : * 3508 C:\Program Files\Internet Explorer\IEXPLORE.EXE
UDP 0.0.0.0 : 1918 * : * 3508 C:\Program Files\Internet Explorer\IEXPLORE.EXE
TCP 117.39.32.110 : 2321 222.73.45.135 : 21 TIME_WAIT 0 ----
TCP 117.39.32.110 : 135 117.39.37.59 : 2621 TIME_WAIT 0 ----

感觉TEMP下的文件比较可疑，您能帮我分析下嘛？

networkedition - 2011-7-1 10:17:00

C:\WINDOWS\Temp\svchost.exe找到压缩发来。
下载sreng工具扫描日志压缩发来。
http://www.kztechs.com/sreng/download.html

爱与痛的我 - 2011-7-1 13:45:00

引用:

原帖由 networkedition 于 2011-7-1 10:17:00 发表
C:\WINDOWS\Temp\svchost.exe找到压缩发来。
下载sreng工具扫描日志压缩发来。
http://www.kztechs.com/sreng/download.html

附件: 1.rar

附件: 瑞星报的病毒.txt

networkedition - 2011-7-1 14:05:00

附件的svchost.exe和sreng日志未见异常。将瑞星的日志db文件压缩发来。鼠标右键点击绿伞——查看日志——备份日志，将日志文件db导出压缩发来。

爱与痛的我 - 2011-7-1 14:30:00

引用:

原帖由 networkedition 于 2011-7-1 14:05:00 发表
附件的svchost.exe和sreng日志未见异常。将瑞星的日志db文件压缩发来。鼠标右键点击绿伞——查看日志——备份日志，将日志文件db导出压缩发来。

附件: 瑞星.rar

networkedition - 2011-7-1 14:57:00

日志显示查杀的文件路径有系统还原，建议关闭本机系统还原后重启电脑再杀毒。
另： C:\WINDOWS\FIREFOXUPDATET.EXE看一下这个文件还有嘛？如果有压缩发来。
关闭本机系统还原的方法：鼠标右键点击我的电脑属性——系统还原，勾选在所有驱动器上关闭系统还原。

networkedition - 2011-7-1 15:00:00

C:\WINDOWS\SYSTEM32\CCOM.EXE这个如果有也找到压缩发来。

爱与痛的我 - 2011-7-1 15:05:00

引用:

原帖由 networkedition 于 2011-7-1 15:00:00 发表
C:\WINDOWS\SYSTEM32\CCOM.EXE这个如果有也找到压缩发来。

这两个文件一出来就被瑞星干掉了

networkedition - 2011-7-1 15:15:00

关闭系统还原再杀毒试试，这两个文件反复查杀都有么？

爱与痛的我 - 2011-7-1 17:22:00

引用:

原帖由 networkedition 于 2011-7-1 15:15:00 发表
关闭系统还原再杀毒试试，这两个文件反复查杀都有么？

关闭后杀毒查出来两个病毒ccom1.exe>>custom-65-804

networkedition - 2011-7-1 17:25:00

看一下瑞星病毒隔离区里有没有这两个文件，如果有恢复压缩跟帖上传。

爱与痛的我 - 2011-7-1 17:31:00

引用:

原帖由 networkedition 于 2011-7-1 17:25:00 发表
看一下瑞星病毒隔离区里有没有这两个文件，如果有恢复压缩跟帖上传。

附件: 病毒.rar

爱与痛的我 - 2011-7-1 17:36:00

引用:

原帖由 networkedition 于 2011-7-1 17:25:00 发表
看一下瑞星病毒隔离区里有没有这两个文件，如果有恢复压缩跟帖上传。

还有很多反复查杀不掉的病毒在隔离区中，home.vbs firefoxupdater.exe 1.exe qq.vbs lee.exe one.exe
bai.vbs等等，需要上传吗？

爱与痛的我 - 2011-7-1 18:19:00

引用:

原帖由 爱与痛的我 于 2011-7-1 17:36:00 发表

引用:

原帖由 networkedition 于 2011-7-1 17:25:00 发表
看一下瑞星病毒隔离区里有没有这两个文件，如果有恢复压缩跟帖上传。

还有很多反复查杀不掉的病毒在隔离区中，home.vbs firefoxupdater.exe 1.exe qq.vbs lee.exe one.exe
bai.vbs等等，

我截了两张图片，您看下有用吗？谢谢！

爱与痛的我 - 2011-7-2 9:32:00

引用:

原帖由 networkedition 于 2011-7-1 10:17:00 发表
C:\WINDOWS\Temp\svchost.exe找到压缩发来。
下载sreng工具扫描日志压缩发来。
http://www.kztechs.com/sreng/download.html

文件找到了

附件: TEMP下的SVCHOST.rar

byxxdrls - 2011-7-2 10:15:00

C:\WINDOWS\Temp\svchost.exe这个文件是灰鸽子，请删除。并删除登陆脚本C:\WINDOWS\system32\GroupPolicy\User\Scripts\scripts.ini。

爱与痛的我 - 2011-7-2 14:20:00

引用:

原帖由 byxxdrls 于 2011-7-2 10:15:00 发表
C:\WINDOWS\Temp\svchost.exe这个文件是灰鸽子，请删除。并删除登陆脚本C:\WINDOWS\system32\GroupPolicy\User\Scripts\scripts.ini。

哦，那请问除了这些，我应该再做些什么呢？谢谢！

过客2007 - 2011-7-2 15:09:00

有空的话,楼主加QQ:328952431远程帮楼主看看.

瑞星卡卡安全论坛