【求助】cmd.exe病毒

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】cmd.exe病毒

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 234

3 / 4 页

跳转页

yin0105 初生襁褓狮帖子:60 注册: 2007-03-27 来自:	发表于： 2007-05-02 14:26 \| 只看楼主短消息资料字号：小中大 21楼正在运行的进程 [PID: 440][\SystemRoot\System32\smss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 504][\??\C:\WINDOWS\system32\csrss.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 528][\??\C:\WINDOWS\system32\winlogon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [PID: 580][C:\WINDOWS\system32\services.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 592][C:\WINDOWS\system32\lsass.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 732][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 780][C:\WINDOWS\system32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 848][C:\WINDOWS\System32\svchost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [PID: 1148][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\WINDOWS\system32\nospri.dll] [N/A, ] [D:\Program Files\kaka\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] [C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DSIeHelper.dll] [Thunder Networking Technologies,LTD, 1, 0, 0, 2] [C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DataProcessor.dll] [Thunder Networking Technologies,LTD, 1, 0, 0, 1] [C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll] [Thunder Networking Technologies,LTD, 5, 0, 2, 17] [C:\WINDOWS\system32\RavExt.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 9] [C:\Program Files\WinRAR\rarext.dll] [N/A, ] [D:\Program Files\Rising\Rav\RSCOMMON.DLL] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 5] [C:\WINDOWS\system32\IMSC40A.IME] [Microsoft Corporation, 6.0.0.2527] [C:\WINDOWS\system32\WINWB98.IME] [Microsoft Corporation, 5.00.2000.3] [C:\WINDOWS\system32\UNISPIM.IME] [北京清华紫光软件股份有限公司, 3.0.0.3045] [C:\WINDOWS\system32\upengine.dll] [北京清华紫光软件股份有限公司, 3.0.0.3045] [PID: 324][C:\WINDOWS\SOUNDMAN.EXE] [Realtek Semiconductor Corp., 5.1.10] [D:\Program Files\kaka\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] [PID: 344][C:\WINDOWS\system32\keyhook.exe] [Silicon Integrated Systems Corporation, 0.0.0.3590] [C:\WINDOWS\system32\SiSApCom.dll] [Silicon Integrated Systems Corporation, 0.0.0.3590] [C:\WINDOWS\system32\SiSBase.dll] [Silicon Integrated Systems Corporation, 6.14.10.3590] [C:\WINDOWS\system32\InstFunc.dll] [Silicon Integrated Systems Corporation, 6.14.10.3590] [C:\WINDOWS\system32\SiSParse.dll] [Silicon Integrated Systems Corporation, 6.14.10.3590] [D:\Program Files\kaka\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] [PID: 416][d:\program files\rising\rfw\RfwMain.exe] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 70] [d:\program files\rising\rfw\RsGuiLib.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 33] [d:\program files\rising\rfw\RSCOMMON.DLL] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 5] [d:\program files\rising\rfw\RfwCtrl.dll] [Beijing Rising Technology Co., Ltd., 5, 0, 0, 11] [d:\program files\rising\rfw\RsXML.dll] [Beijing Rising Technology Co., Ltd., 19, 0, 0, 2] [d:\program files\rising\rfw\PngDll.dll] [Beijing Rising Technology Co., Ltd., 18, 0, 0, 5] [D:\Program Files\kaka\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] [PID: 456][D:\Program Files\kaka\runiep.exe] [Beijing Rising Technology Co., Ltd., 1, 0, 1, 6] [D:\Program Files\kaka\iep_ctrl.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 4] [D:\Program Files\kaka\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] [PID: 468][C:\WINDOWS\system32\ctfmon.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [D:\Program Files\kaka\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] [PID: 1140][C:\WINDOWS\system32\wscntfy.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [D:\Program Files\kaka\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] [PID: 216][C:\Program Files\Internet Explorer\iexplore.exe] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] [C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll] [Thunder Networking Technologies,LTD, 1.0.0.4] [C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DSIeHelper.dll] [Thunder Networking Technologies,LTD, 1, 0, 0, 2] [C:\Program Files\Thunder Network\Thunder\Components\ResWorker\DataProcessor.dll] [Thunder Networking Technologies,LTD, 1, 0, 0, 1] [C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll] [Thunder Networking Technologies,LTD, 5, 0, 2, 17] [D:\Program Files\kaka\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] [C:\Program Files\Common Files\Microsoft Shared\INK\PENCHS.DLL] [Microsoft Corporation, 1.0.1038.0] [C:\Program Files\Microsoft Office\OFFICE11\msohev.dll] [Microsoft Corporation, 11.0.5510] [C:\Program Files\Common Files\Microsoft Shared\INK\SKCHOBJ.DLL] [Microsoft Corporation, 1.0.1038.0] [D:\Program Files\Rising\Rav\RavScrCh.dll] [Beijing Rising Technology Co., Ltd., 18, 0, 0, 4] [C:\WINDOWS\system32\msacm32.drv] [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)] [C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx] [Adobe Systems, Inc., 9,0,28,0] [C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL] [Microsoft Corporation, 11.0.5510] [C:\WINDOWS\system32\WINWB98.IME] [Microsoft Corporation, 5.00.2000.3] [C:\WINDOWS\system32\UNISPIM.IME] [北京清华紫光软件股份有限公司, 3.0.0.3045] [C:\WINDOWS\system32\upengine.dll] [北京清华紫光软件股份有限公司, 3.0.0.3045] [PID: 3512][C:\WINDOWS\system32\DllHost.exe] [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] [D:\Program Files\kaka\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] [C:\Program Files\Common Files\Microsoft Shared\INK\SKCHOBJ.DLL] [Microsoft Corporation, 1.0.1038.0] [C:\Program Files\Common Files\Microsoft Shared\INK\INKOBJ.DLL] [Microsoft Corporation, 2.0.2201.0 (xpsp1.020820-1800)] [PID: 2720][D:\sreng2\SREng.EXE] [Smallfrogs Studio, 2.4.12.806] [D:\Program Files\kaka\ieprot.dll] [Beijing Rising Technology Co., Ltd., 1, 0, 0, 10] ================================== 文件关联 .TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1] .EXE OK. ["%1" %] .COM OK. ["%1" %] .PIF OK. ["%1" %] .REG OK. [regedit.exe "%1"] .BAT OK. ["%1" %] .SCR OK. ["%1" /S] .CHM OK. ["C:\WINDOWS\hh.exe" %1] .HLP OK. [%SystemRoot%\System32\winhlp32.exe %1] .INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1] .VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .JS OK. [%SystemRoot%\System32\WScript.exe "%1" %] .LNK OK. [{00021401-0000-0000-C000-000000000046}] ================================== Winsock 提供者 N/A ================================== Autorun.inf N/A ================================== HOSTS 文件 127.0.0.1 localhost ================================== API HOOK N/A ================================== 隐藏进程 N/A ================================== [/CODE]
yin0105 初生襁褓狮帖子:60 注册: 2007-03-27 来自:

yin0105 初生襁褓狮帖子:60 注册: 2007-03-27 来自:	发表于： 2007-05-02 14:27 \| 只看楼主短消息资料字号：小中大 22楼再帮我看下，谢谢～·～
yin0105 初生襁褓狮帖子:60 注册: 2007-03-27 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-05-02 14:36 \| 短消息资料字号：小中大 23楼果然看------ 启动项目注册表 <{D14FA1E2-123F-6358-1E32-D2455234FDE2}><C:\WINDOWS\system32\nospri.dll> [] 用冰刃禁止进程创建，在进程中卸除插入进程[PID: 1148][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)] 的 [C:\WINDOWS\system32\nospri.dll] [N/A, ] 卸除后再用冰刃删除注册表项 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 下的 <{D14FA1E2-123F-6358-1E32-D2455234FDE2}><C:\WINDOWS\system32\nospri.dll> [] 再用冰刃去删除那文件nospri.dll 取消冰刃的禁止进程创建。重启电脑，再扫日志，别发来了，自己看看还有没有。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

yin0105 初生襁褓狮帖子:60 注册: 2007-03-27 来自:	发表于： 2007-05-02 15:34 \| 只看楼主短消息资料字号：小中大 24楼看了半天冰刃，不会用，嘿嘿，比较笨，能不能说说具体步骤啊
yin0105 初生襁褓狮帖子:60 注册: 2007-03-27 来自:

火影忍者横据古稀狮帖子:7855 注册: 2006-06-29 来自:火星	发表于： 2007-05-02 15:40 \| 短消息资料字号：小中大 25楼【回复“天月来了”的帖子】天月咋改头像了啊...哈哈...
火影忍者横据古稀狮帖子:7855 注册: 2006-06-29 来自:火星

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-05-02 16:47 \| 短消息资料字号：小中大 26楼天啊！！！！那是我自己点错了，点没了啊！！！汗死了............
天月来了版主帖子:76904 注册: 2007-02-06 来自:

yin0105 初生襁褓狮帖子:60 注册: 2007-03-27 来自:	发表于： 2007-05-02 16:59 \| 只看楼主短消息资料字号：小中大 27楼汗～～看看23楼吧...
yin0105 初生襁褓狮帖子:60 注册: 2007-03-27 来自:

菜菜瓜瓜叱咤花甲狮帖子:3504 注册: 2007-01-08 来自:	发表于： 2007-05-11 18:50 \| 短消息资料字号：小中大 28楼在这篇日志里病毒是怎么保护自己的？？
菜菜瓜瓜叱咤花甲狮帖子:3504 注册: 2007-01-08 来自:

叱咤花甲狮

帖子:3107
注册: 2006-01-19
来自:新疆叶城

发表于： 2007-05-11 19:14 | 短消息资料

字号：小中大 29楼

引用:

【天月来了的贴子】果然
看------
启动项目
注册表

<{D14FA1E2-123F-6358-1E32-D2455234FDE2}><C:\WINDOWS\system32\nospri.dll> []

用冰刃禁止进程创建，在进程中卸除插入进程[PID: 1148][C:\WINDOWS\Explorer.EXE] [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
的
[C:\WINDOWS\system32\nospri.dll] [N/A, ]

卸除后再用冰刃删除注册表项
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
下的
<{D14FA1E2-123F-6358-1E32-D2455234FDE2}><C:\WINDOWS\system32\nospri.dll> []
再用冰刃去删除那文件nospri.dll

取消冰刃的禁止进程创建。

重启电脑，再扫日志，别发来了，自己看看还有没有。
………………

用冰刀直接删除文件，不再过问启动项和注册表行么？如果冰刀一般删除不行，用其“强制删除”能解决问题么？

清风弃月自信弱冠狮帖子:527 注册: 2007-05-06 来自:	发表于： 2007-05-11 19:21 \| 短消息资料字号：小中大 30楼如果不删除启动项和注册表里的东西，可能会每次开机都提示“啥啥未能加载”很烦的。不论怎样，用冰刃删除东西都是建议选择其“强制删除”，有时想删除的东西有其他保护存在，会出现删除后还有。如果没其他保护，基本上“强制删除”是能解决问题的。这冰刃的使用，猫猫是最推崇的了。呵呵！！！！！！！！！！！！！！！！
清风弃月自信弱冠狮帖子:527 注册: 2007-05-06 来自:

<<上一主题|下一主题>>

1 234

3 / 4 页

跳转页

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】cmd.exe病毒

【求助】cmd.exe病毒

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛【求助】cmd.exe病毒