具体经过:
昨天,在网上搜索look'n'stop,进去一个网站:
www.997.cn/SoftView/SoftView_5816.html
DrWeb马上报警,选择move操作。
有点好奇,看到上面有主站链接,于是点击。
网址是: www.997.cn
接着。。。。。。
DrWeb和avast疯狂报警。
DrWeb干掉7个,2个为启发式。
avast终止两个连线。
断网。
当时以为就这样没事了。
说知。。。。。。
出于安全考虑,打开Hijackthis扫描,DrWeb马上报警。
扫描后发现有一个可疑服务项:
SystemDown
文件路径:C:\Windows\system32\servet.exe
明显是木马程序。
DrWeb和avast两道防线被攻破了。
进去system32文件夹,没找到文件。
在“查看”里设置显示系统文件和受保护的文件和显示所有文件和文件夹。
还是看不到。
最后只好用SReng删除这个服务项。
删除后再打开Hijackthis扫描,这次DrWeb没有报警。
再用SReng扫描一遍,没发现什么异常。
然后拨号上网,打开VB浏览器的时候,
DrWeb和avast一起报警:
"Win32:Tibs-ADO [Trj]" has been found in "C:\Documents and Settings\mr\Local Settings\Temporary Internet Files\Content.IE5\RVL115HU\down[1].exe" file.
用DrWeb删除,发现无法删除。
用avast隔离,提示正在被使用,无法访问。
选择删除。
avast没有反应。
对了,忘了说一点,之前用瑞星防火墙发现:
进程中有cmd.exe,并且命令行好像是:(具体记不清了)
system32下的delete什么的.bat后缀名文件。
删除那个服务后就没这种情况了。
重新启动,为得是让avast删除那个文件。
启动后,再次拨号上网打开VB浏览器(注目一点,我在用星空极速,默认打开VB浏览器,虽然我总是用IE)
avast再次报警。
仍然无法访问。
下载瑞星文件粉碎工具,把路径填进去却提示没有找到文件。
只好把SSM装上,再次打开VB浏览器,
这时SSM提示资源管理器运行VB浏览器,(记不清了,很有可能搞错了)
但是可以确定的是:
命令行为运行C:\Documents and Settings\mr\Local Settings\Temporary Internet Files\Content.IE5\RVL115HU\down[1].exe
用SSM禁止。
