帮我看看日志吧(无限感激)mopery麻烦再进来看下 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛帮我看看日志吧(无限感激)mopery麻烦再进来看下

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

2 / 5 页

跳转页

帮我看看日志吧(无限感激)mopery麻烦再进来看下

独守寒江初生襁褓狮帖子:36 注册: 2007-06-22 来自:	发表于： 2007-06-23 20:29 \| 只看楼主短消息资料字号：小中大 11楼 C:\WINDOWS\system32\ooo.exe C:\WINDOWS\system32\iexplore.exe 这2个文件找了1个小时也找不到,是不是被隐藏了,还是怎么了.system32有9个是隐藏文件,是不是被隐藏了,还是怎么了.告诉我下怎么才能找到, 其它你要求的操作我都做可. 还有我这样不是一次,按照你要求完成,对杀毒有没有影响. 实在不好意思多次麻烦你.实在是电脑不能玩,急啊,请见谅~~
独守寒江初生襁褓狮帖子:36 注册: 2007-06-22 来自:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2007-06-23 20:37 \| 短消息资料字号：小中大 12楼可以用winrar 这个压缩工具或者开始-运行-cmd 输入 attrib -s -h /s /d C:\WINDOWS\system32\ooo.exe attrib -s -h /s /d C:\WINDOWS\system32\iexplore.exe 然后再看看是否有这俩个文件..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

独守寒江初生襁褓狮帖子:36 注册: 2007-06-22 来自:	发表于： 2007-06-23 21:12 \| 只看楼主短消息资料字号：小中大 13楼 2个方法都用了，还是找不到这２个文件．我按你要求的操作后，（除了那２个找不到的文件）．重起后用瑞星杀了下，有发现了好多新病毒，Adware,RootKit,Trojan.dL.等不知道怎么回事
独守寒江初生襁褓狮帖子:36 注册: 2007-06-22 来自:

建能横据古稀狮帖子:5755 注册: 2005-04-01 来自:	发表于： 2007-06-23 21:19 \| 短消息资料字号：小中大 14楼 C:\WINDOWS\system32\vicsc.dll] [N/A, ] C:\Program Files\WinRAR\rarext.dll] [N/A, ] 这两个也要删除！
建能横据古稀狮帖子:5755 注册: 2005-04-01 来自:

独守寒江初生襁褓狮帖子:36 注册: 2007-06-22 来自:	发表于： 2007-06-23 21:25 \| 只看楼主短消息资料字号：小中大 15楼 C:\WINDOWS\system32\ooo.exe C:\WINDOWS\system32\iexplore.exe 那这2个找不到的文件怎么办啊
独守寒江初生襁褓狮帖子:36 注册: 2007-06-22 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2007-06-23 21:53 \| 短消息资料字号：小中大 16楼找不到就算了。再扫个新日志看看。你原日志中的正在运行的进程里看到这个： C:\WINDOWS\system32\F0D78D11.DLL 插了重要进程里，估计难处理了。你用WinRAR打开各个磁盘，看根目录下是否有不明文件，有不明的，发大图来瞧瞧。
天月来了版主帖子:76904 注册: 2007-02-06 来自:

横据古稀狮

帖子:7855
注册: 2006-06-29
来自:火星

发表于： 2007-06-23 22:04 | 短消息资料

字号：小中大 17楼

引用:

【独守寒江的贴子】我按照你的操作,在正常模式下[B302EC43 / B302EC43][Stopped/Auto Start]
<C:\WINDOWS\system32\75D23BE4.EXE -d><Microsoft Corporation>
删除不掉啊,一删除就被取消了
………………

有没看清楚提示，在弹出的窗口中点否，不是点是。。！

gototop

火影忍者横据古稀狮帖子:7855 注册: 2006-06-29 来自:火星	发表于： 2007-06-23 22:07 \| 短消息资料字号：小中大 18楼【回复“独守寒江”的帖子】我按照你的操作,在正常模式下[B302EC43 / B302EC43][Stopped/Auto Start] <C:\WINDOWS\system32\75D23BE4.EXE -d><Microsoft Corporation> 删除不掉啊,一删除就被取消了你有没看清楚提示。。。在弹出的窗口中点否，不是点是。 <SREng-启动项目->服务->驱动程序"选中"隐藏已认证的微软服务" 删除 [oiqt / oiqtd][Running/Boot Start] <\SystemRoot\System32\DRIVERS\oiqtd.sys><N/A> 然后删除C:\WINDOWS\system32\DRIVERS\oiqtd.sys
火影忍者横据古稀狮帖子:7855 注册: 2006-06-29 来自:火星

独守寒江初生襁褓狮帖子:36 注册: 2007-06-22 来自:	发表于： 2007-06-23 22:12 \| 只看楼主短消息资料字号：小中大 19楼我一打开Sreng就提示发现2个隐藏进程，还有下面的函数内容与预期制不符，他们可能被一些恶意软件所修改，入口点错误:FreeLibrary 这是我新扫的日志启动项目注册表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <NvCplDaemon><; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [(Verified)Microsoft Windows Hardware Compatibility Publisher] <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [Beijing Rising Technology Co., Ltd.] <IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Windows Publisher] <NvMediaCenter><; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit> [(Verified)Microsoft Windows Hardware Compatibility Publisher] <nwiz><; nwiz.exe /install> [] <PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [N/A] <PHIME2002ASync><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [N/A] <SoundMan><; SOUNDMAN.EXE> [Realtek Semiconductor Corp.] <StormCodec_Helper><; "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti> [] <ads1><C:\Program Files\Internet Explorer\nvsvc.exe genxing> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] <KASTask><F:\Kingsoft Antispy\KASTask.EXE> [(Verified)KINGSOFT CORPORATION] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [(Verified)Microsoft Windows Publisher] <Userinit><userinit.exe,> [(Verified)Microsoft Windows Publisher] <UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.] [HKEY_CURRENT_USER\Control Panel\Desktop] <SCRNSAVE.EXE><C:\WINDOWS\system32\BLISS.SCR> [Microsoft] ================================== 启动文件夹 N/A ================================== 服务 [Human Interface Device Access / HidServ][Stopped/Disabled] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> [NVIDIA Display Driver Service / NVSvc][Running/Auto Start] <C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation> [Rising Process Communication Center / RsCCenter][Running/Auto Start] <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.> [Rising RealTime Monitor / RsRavMon][Running/Auto Start] <"C:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><Beijing Rising Technology Co., Ltd.> [HostService / HostService][Running/Auto Start] <C:\Program Files\Internet Explorer\nvsvc.exe><N/A>
独守寒江初生襁褓狮帖子:36 注册: 2007-06-22 来自:

独守寒江初生襁褓狮帖子:36 注册: 2007-06-22 来自:	发表于： 2007-06-23 22:13 \| 只看楼主短消息资料字号：小中大 20楼我一打开Sreng就提示发现2个隐藏进程，还有下面的函数内容与预期制不符，他们可能被一些恶意软件所修改，入口点错误:FreeLibrary 这是我新扫的日志启动项目注册表 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [(Verified)Microsoft Windows Publisher] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] <NvCplDaemon><; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [(Verified)Microsoft Windows Hardware Compatibility Publisher] <RavTask><"C:\Program Files\Rising\Rav\RavTask.exe" -system> [Beijing Rising Technology Co., Ltd.] <IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [(Verified)Microsoft Windows Publisher] <NvMediaCenter><; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit> [(Verified)Microsoft Windows Hardware Compatibility Publisher] <nwiz><; nwiz.exe /install> [] <PHIME2002A><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [N/A] <PHIME2002ASync><; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [N/A] <SoundMan><; SOUNDMAN.EXE> [Realtek Semiconductor Corp.] <StormCodec_Helper><; "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti> [] <ads1><C:\Program Files\Internet Explorer\nvsvc.exe genxing> [N/A] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] <KASTask><F:\Kingsoft Antispy\KASTask.EXE> [(Verified)KINGSOFT CORPORATION] [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] <shell><Explorer.exe> [(Verified)Microsoft Windows Publisher] <Userinit><userinit.exe,> [(Verified)Microsoft Windows Publisher] <UIHost><logonui.exe> [(Verified)Microsoft Windows Publisher] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] <{32CD708B-60A7-4C00-9377-D73EAA495F0F}><C:\WINDOWS\system32\RavExt.dll> [Beijing Rising Technology Co., Ltd.] [HKEY_CURRENT_USER\Control Panel\Desktop] <SCRNSAVE.EXE><C:\WINDOWS\system32\BLISS.SCR> [Microsoft] ================================== 启动文件夹 N/A ================================== 服务 [Human Interface Device Access / HidServ][Stopped/Disabled] <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A> [NVIDIA Display Driver Service / NVSvc][Running/Auto Start] <C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation> [Rising Process Communication Center / RsCCenter][Running/Auto Start] <"C:\Program Files\Rising\Rav\CCenter.exe"><Beijing Rising Technology Co., Ltd.> [Rising RealTime Monitor / RsRavMon][Running/Auto Start] <"C:\PROGRAM FILES\RISING\RAV\Ravmond.exe"><Beijing Rising Technology Co., Ltd.> [HostService / HostService][Running/Auto Start] <C:\Program Files\Internet Explorer\nvsvc.exe><N/A>
独守寒江初生襁褓狮帖子:36 注册: 2007-06-22 来自:

<<上一主题|下一主题>>

2 / 5 页

跳转页

页面顶部

Powered by Discuz!NT