瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 T_T,机子中毒了,各位大大帮忙进来看下,谢谢啊

12   1  /  2  页   跳转

[求助] T_T,机子中毒了,各位大大帮忙进来看下,谢谢啊

T_T,机子中毒了,各位大大帮忙进来看下,谢谢啊

不知道怎么回事,机子就中毒了,360和瑞星都报有毒,可清除掉后,一会儿又会继续报毒,然后我用冰仞查了一下,发现是PID同为848的SVCHOST.EXE调用了WMIPRVSE.EXE,然后WMIPRVSE.EXE又调用了CMD。EXE,紧接着CMD。EXE又调用了FTP。EXE进行传输,再调用FIREFOXUPDATER.EXE,到了这步我就不知道该做什么了,哪位大大能教教我,拜托了T_T

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
分享到:
gototop
 

回复:T_T,机子中毒了,各位大大帮忙进来看下,谢谢啊

安装瑞星防火墙了么?看一下开放的端口情况吧。
gototop
 

回复:T_T,机子中毒了,各位大大帮忙进来看下,谢谢啊

我拿冰刃扫了一下,结果如下
端口:

协议      本地地址                远程地址                状态                进程ID    进程名
TCP      0.0.0.0 : 445          0.0.0.0 : 0            LISTENING          4        NT OS Kernel
TCP      192.168.1.3 : 139      0.0.0.0 : 0            LISTENING          4        NT OS Kernel
UDP      192.168.1.3 : 137      * : *                                      4        NT OS Kernel
UDP      192.168.1.3 : 138      * : *                                      4        NT OS Kernel
UDP      0.0.0.0 : 445          * : *                                      4        NT OS Kernel
RAW      ---                    ---                    ---                4        NT OS Kernel
UDP      0.0.0.0 : 1027          * : *                                      1720      D:\新建文件夹 (2)\safemon\360tray.exe
UDP      127.0.0.1 : 1025        * : *                                      1720      D:\新建文件夹 (2)\safemon\360tray.exe
UDP      0.0.0.0 : 3600          * : *                                      1720      D:\新建文件夹 (2)\safemon\360tray.exe
TCP      117.39.32.110 : 2106    27.19.158.2 : 3348      ESTABLISHED        2940      C:\WINDOWS\Temp\svchost.exe
TCP      117.39.32.110 : 135    117.39.37.59 : 3474    ESTABLISHED        896      C:\WINDOWS\System32\SVCHOST.EXE
TCP      117.39.32.110 : 2041    117.39.37.59 : 2729    ESTABLISHED        996      C:\WINDOWS\System32\SVCHOST.EXE
TCP      117.39.32.110 : 2041    117.39.37.59 : 2358    ESTABLISHED        996      C:\WINDOWS\System32\SVCHOST.EXE
TCP      117.39.32.110 : 135    117.39.37.59 : 3464    ESTABLISHED        896      C:\WINDOWS\System32\SVCHOST.EXE
TCP      0.0.0.0 : 135          0.0.0.0 : 0            LISTENING          896      C:\WINDOWS\System32\SVCHOST.EXE
TCP      0.0.0.0 : 2041          0.0.0.0 : 0            LISTENING          996      C:\WINDOWS\System32\SVCHOST.EXE
TCP      0.0.0.0 : 33673        0.0.0.0 : 0            LISTENING          1332      C:\WINDOWS\System32\SVCHOST.EXE
UDP      192.168.1.3 : 123      * : *                                      996      C:\WINDOWS\System32\SVCHOST.EXE
UDP      192.168.1.3 : 1900      * : *                                      1188      C:\WINDOWS\System32\SVCHOST.EXE
UDP      127.0.0.1 : 123        * : *                                      996      C:\WINDOWS\System32\SVCHOST.EXE
UDP      117.39.32.110 : 123    * : *                                      996      C:\WINDOWS\System32\SVCHOST.EXE
UDP      127.0.0.1 : 1900        * : *                                      1188      C:\WINDOWS\System32\SVCHOST.EXE
UDP      117.39.32.110 : 1900    * : *                                      1188      C:\WINDOWS\System32\SVCHOST.EXE
UDP      0.0.0.0 : 33674        * : *                                      1332      C:\WINDOWS\System32\SVCHOST.EXE
UDP      127.0.0.1 : 1284        * : *                                      2136      C:\Program Files\Rising\Rav\RsTray.exe
TCP      0.0.0.0 : 6059          0.0.0.0 : 0            LISTENING          976      C:\Program Files\Rising\Rav\RavMonD.exe
UDP      127.0.0.1 : 1927        * : *                                      3508      C:\Program Files\Internet Explorer\IEXPLORE.EXE
UDP      0.0.0.0 : 1918          * : *                                      3508      C:\Program Files\Internet Explorer\IEXPLORE.EXE
TCP      117.39.32.110 : 2321    222.73.45.135 : 21      TIME_WAIT          0        ----
TCP      117.39.32.110 : 135    117.39.37.59 : 2621    TIME_WAIT          0        ----


感觉TEMP下的文件比较可疑,您能帮我分析下嘛?
gototop
 

回复 3F 爱与痛的我 的帖子

C:\WINDOWS\Temp\svchost.exe找到压缩发来。
下载sreng工具扫描日志压缩发来。
http://www.kztechs.com/sreng/download.html
gototop
 

回复: T_T,机子中毒了,各位大大帮忙进来看下,谢谢啊



引用:
原帖由 networkedition 于 2011-7-1 10:17:00 发表
C:\WINDOWS\Temp\svchost.exe找到压缩发来。
下载sreng工具扫描日志压缩发来。
http://www.kztechs.com/sreng/download.html


附件附件:

文件名:1.rar
下载次数:254
文件类型:application/octet-stream
文件大小:
上传时间:2011-7-1 13:44:40
描述:rar

附件附件:

下载次数:368
文件类型:text/plain
文件大小:
上传时间:2011-7-1 13:44:40
描述:txt

gototop
 

回复 5F 爱与痛的我 的帖子

附件的svchost.exe和sreng日志未见异常。将瑞星的日志db文件压缩发来。鼠标右键点击绿伞——查看日志——备份日志,将日志文件db导出压缩发来。
gototop
 

回复: T_T,机子中毒了,各位大大帮忙进来看下,谢谢啊



引用:
原帖由 networkedition 于 2011-7-1 14:05:00 发表
附件的svchost.exe和sreng日志未见异常。将瑞星的日志db文件压缩发来。鼠标右键点击绿伞——查看日志——备份日志,将日志文件db导出压缩发来。

附件附件:

文件名:瑞星.rar
下载次数:260
文件类型:application/octet-stream
文件大小:
上传时间:2011-7-1 14:29:38
描述:rar

gototop
 

回复 7F 爱与痛的我 的帖子

日志显示查杀的文件路径有系统还原,建议关闭本机系统还原后重启电脑再杀毒。
另: C:\WINDOWS\FIREFOXUPDATET.EXE看一下这个文件还有嘛?如果有压缩发来。
关闭本机系统还原的方法:鼠标右键点击我的电脑属性——系统还原,勾选在所有驱动器上关闭系统还原。
gototop
 

回复:T_T,机子中毒了,各位大大帮忙进来看下,谢谢啊

C:\WINDOWS\SYSTEM32\CCOM.EXE这个如果有也找到压缩发来。
gototop
 

回复: T_T,机子中毒了,各位大大帮忙进来看下,谢谢啊



引用:
原帖由 networkedition 于 2011-7-1 15:00:00 发表
C:\WINDOWS\SYSTEM32\CCOM.EXE这个如果有也找到压缩发来。


这两个文件一出来就被瑞星干掉了
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT