瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 电脑安装一软件后既中木马又出现许多奇怪现象?
smilesea - 2013-3-23 21:57:00
上星期自从下载安装一财务软件后,电脑因中木马导致系统崩溃,所以只好格式化C盘重装系统。而重装系统后电脑不仅经常在连网后杀毒软件查杀木马,而且电脑上出现了许多奇怪的现象:如用户中多了一个名称为VIP的用户(我前天已在电脑上将VIP用户删除),结果昨天晚上却出现了许多其它现象:连网后,电脑传出连续“呯”“呯”的声音,结果右下角显示有未知程序正在加入到开机项中,接着杀毒软件查杀了2个木马,我总觉得电脑有什么不对,于是用金山卫士安全体检电脑,体检结果显示:IE遭到修改并且还远程桌面功能也莫名奇妙地启用了。于是我赶紧修复,金山卫士立即启动了木马扫描,发现了2个异常项目(如图1),我立即进行了修复。
今天我将杀毒软件升级到最新版后进行了全盘查杀,并发现病毒。晚上我打开C盘查看,想弄清楚是什么程序和文件在作怪导致最近一直遭到木马的骚扰,但不看不知道:C盘下除了正常的文件夹后,又多了几个我不认识的文件(如图2),我看着其中两个文件很眼熟:360和361,因为昨晚我记得杀毒软件才将它们查杀过,这2个文件旁边显示的时间和昨晚杀毒软件查杀的时间一致(如图3,图4,图5),我一时想不明白为什么杀毒软件已经杀毒成功,为何这2 个文件还在此处?而且刚才电脑又出现和昨晚一模一样的情形:电脑先是出现“呯”的响声,然后杀毒软件查杀木马,最后金山卫士在右下角出现有未知程序修改开机启动项的提示框(如图6)。因图片太多,只好打包上传。想请教一下高手:我电脑上究竟中了什么毒,为什么会不断地遭到木马的骚扰,并且还会修改我电脑上开机启动项?要用什么方法才能彻底查杀这个病毒?


用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)

附件: 图片.zip
天月来了 - 2013-3-24 9:36:00
扫描SRENG日志来看看
smilesea - 2013-3-24 9:59:00
扫描的日志见附件。我刚用SReng扫描时,右下角弹出3个入口点错误(见图01),想请教一下是否修复?

附件: SREngLOG.zip

附件: 01.jpg
smilesea - 2013-3-24 10:15:00
下图是从上星期到昨天晚上杀毒软件清除的病毒或木马。

附件: 1.jpg
smilesea - 2013-3-24 10:22:00
下图是从上星期重装系统以来金山卫士系统保护事件,其中划红线的就是昨晚和前天晚上电脑发出“呯”的声音后,出现在右下角要修改开机启动项的项目。
天月来了 - 2013-3-24 11:16:00
日志没看出什么,那玩意还反复出现吗
回歌 - 2013-3-24 11:23:00
直接问瑞星工程师啊,这个情况比较复杂
smilesea - 2013-3-24 13:08:00
出现木马以及修改电脑开机启动项的事件,一般都是在晚上上网时出现。因为之前在连网状态下使用财务软件,在右下角杀毒软件就会查杀木马,防火墙就会弹出有程序要联网,而一般我都是选择拒绝程序连网。所以使用财务软件时,我一般是不连网即在断开网络情况下使用的。而平时在电脑上除了使用财务软件之外,就是为杀毒软件和防火墙升级,并没有安装什么其它程序,而这些木马好象是从电脑上自动生成的一样,每隔一段时间就会冒出来,所以一直没弄明白,这些木马是怎么来的?
smilesea - 2013-3-24 13:13:00
我打算删除C盘下的这几个文件(见图中红线框住的文件),因为觉得看着眼熟,很象病毒残留文件。想请问一下:这些红线框住的文件可以删除吗?

附件: 4.jpg
smilesea - 2013-3-24 13:29:00
上午在用SREng扫描日志文件时,右下角弹出对话框说出现3个入口点错误(图在3楼),我点击“查看详情”后,弹出了一个对话框(如下图),想请问一下:是否需要修复这3个入口点错误?
l8l8 - 2013-3-24 13:32:00
该用户帖子内容已被屏蔽
networkedition - 2013-3-25 9:42:00
360.vbs
361.vbs
boot.1kg
hexsmss.exe
shsmss.exe
ssmss.exe
把这几个截图中的文件找到,压缩发来。
smilesea - 2013-3-25 11:52:00


引用:
原帖由 networkedition 于 2013-3-25 9:42:00 发表
360.vbs
361.vbs
boot.1kg
hexsmss.exe
shsmss.exe
ssmss.exe
把这几个截图中的文件找到,压缩发来。


自从3月12日安装一财务软件中了木马导致系统崩溃,3月13日重装系统后又不断遭到木马骚扰。昨天下午回贴请教这几个文件删除问题,但等了很久却没人回复,所以便从C盘删除了360.vbs,361.vbs ,hexsmss.exe ,shsmss.exe ,ssmss.exe;唯独只留了一个boot.1kg(见附件)。
就在回此贴时,电脑又发出三次“呯”的声音,也不知道又是什么木马在修改电脑?

附件: boot.zip
smilesea - 2013-3-25 12:00:00
我记得刚才电脑发出“呯”的声音前,防火墙在右下角曾经显示:有一程序要求联网(见图),我选择了拒绝联网且重启前不再提示,之后电脑便发出了三声“呯”的响声。

附件: 1.jpg
networkedition - 2013-3-25 13:21:00
boot.1kg是系统boot.ini文件,要联网的这个程序是sqlserver数据库主程序
baohe - 2013-3-25 13:42:00
建议重装系统吧
virut貌似是个感染性病毒
重装后,其它分区先不要动,升级杀软病毒库后用杀软扫非系统分区。
smilesea - 2013-3-25 14:54:00


引用:
原帖由 networkedition 于 2013-3-25 13:21:00 发表
boot.1kg是系统boot.ini文件,要联网的这个程序是sqlserver数据库主程序


其实昨天我在删除这几个文件时,也注意到这个boot文件,觉得好象它是一个引导文件,我怕删除会导致系统问题所以保留了它。其实这个要联网的数据库主程序sqlserver,也是财务软件运行所依附的程序,我记得当财务软件安装完成时,防火墙就会在右下角弹出对话框:这个数据库主程序要求联网,因为之前感染的木马病毒大都来自财务软件,所以出于谨慎我拒绝了联网。
smilesea - 2013-3-25 15:07:00


引用:
原帖由 baohe 于 2013-3-25 13:42:00 发表
建议重装系统吧
virut貌似是个感染性病毒
重装后,其它分区先不要动,升级杀软病毒库后用杀软扫非系统分区。


不瞒你说,我在3月14日其实已经对系统进行了再一次重装,而不管是3月13日重装系统还是3月14日重装系统,重装系统后的第一件事就是安装杀毒软件和防火墙升级到最新版,同时用杀毒软件对系统进行的全盘杀毒,并没有发现病毒。其实3月14日重装并不是因为木马病毒的原因,是因为重装系统以后无论如何都不能进入微软的更新网站下载安装系统补丁,这是重装系统以来我未曾遇到的难题,所以不得已只好又格式化C盘再次重装,但依然还是不能正常进入微软的更新网站下载系统补丁,无奈只好用金山卫士为系统打补丁。由于有了3月12日安装财务软件中木马导致系统崩溃的教训,所以我在3月14日重装系统以后用一键GHOST手动为系统做了两个备份:一个是未打补丁的,另一个是打了补丁的。
smilesea - 2013-3-25 15:18:00
中午在回贴时,由于电脑出现了三次“呯”的声音,我有些不放心,下午我用金山卫士安全体检了一下电脑,发现了异常项目(如图),并修复了它。
天月来了 - 2013-3-25 18:16:00
你重装系统时候使用了保存在其他盘的任何文件么?例如驱动类文件

:kaka2:
smilesea - 2013-3-25 19:43:00
重装系统时,我使用的是系统安装盘和驱动程序安装盘进行安装的,未使用其它盘的文件。
安装了其它应用程序之后,最后安装了财务软件,在运行财务软件时,由于我阻止了它的数据库程序联网要求,所以每次启动财务软件时都要我配置文件(如图),经过查看其实是为了安装RCD.MSI文件(这是我驱动盘下的INSTALL文件夹中的文件),由于每次启动财务软件都要用驱动盘上的RCD.MSI文件,所以我干脆将这个驱动盘下的INSTALL复制到了电脑上。这样每次启动财务软件时由它自己配置文件,配置完后才能正常运行,否则财务软件将无法运行。我回想了一下:最初安装财务软件时,安装完成后,当时防火墙右下角弹出一对话框显示财务软件一程序要联网时:我查看了上面标明了软件名和厂商,防火墙另一项上显示的数字证书都是经过签名的,所以就允许了,会不会是这样导致了木马的骚扰?也不知道在防火墙的什么地方可以找到并禁止财务软件的这项程序联网?

附件: 1.jpg
小音2013 - 2013-3-26 7:15:00
该用户帖子内容已被屏蔽
镇的爱你 - 2013-4-23 12:30:00
首先升级病毒库,然后把网线拨了,再接着进安全模式杀毒,如果还有文件不能删除,就进pe系统下删除,如果不怕麻烦,还可以安装个影子系统来保护系统
1
查看完整版本: 电脑安装一软件后既中木马又出现许多奇怪现象?