最近单位局域网上发现了一个会修改系统时间的病毒，请教高手解决 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛最近单位局域网上发现了一个会修改系统时间的病毒，请教高手解决

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

最近单位局域网上发现了一个会修改系统时间的病毒，请教高手解决

坏的掉渣初生襁褓狮帖子:2 注册: 2005-12-23 来自:	发表于： 2005-12-23 09:00 \| 只看楼主短消息资料字号：小中大 1楼最近单位局域网上发现了一个会修改系统时间的病毒，请教高手解决最近发现单位局域网上一些电脑的系统时间会被自动推后几个小时（是分针不变时针推后）。用任务管理器查看系统进程没发现什么可疑进程，注册表的启动项里也没有什么可疑的程序。如果那位高手遇到过一样的情况请指教。要是需要hijackthis报告，我马上去抓。另外，我们单位是通过代理上因特网的，最近一些用户有时候上不了因特网，过一两天又自动好了。查看不能上网电脑的本地连接状态（系统是XPsp2），发现即使不开任何上网的程序，“活动”里面收到的字节数一直都在增加，不知道这个跟上面那个病毒是否有联系。 2005-12-23 13:52:07
坏的掉渣初生襁褓狮帖子:2 注册: 2005-12-23 来自:	分享到：

网络笨羊初生襁褓狮帖子:740 注册: 2005-11-05 来自:	发表于： 2005-12-23 09:09 \| 短消息资料字号：小中大 2楼帮顶一下，另外最好扫个日志上来！
网络笨羊初生襁褓狮帖子:740 注册: 2005-11-05 来自:

taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:	发表于： 2005-12-23 10:30 \| 短消息资料字号：小中大 3楼那玩意被人公布了???
taylor05771 社区嘉宾帖子:7232 注册: 2003-12-24 来自:

影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯	发表于： 2005-12-23 10:42 \| 短消息资料字号：小中大 4楼不开任何上网的程序，“活动”里面收到的字节数一直都在增加，看来是好像有些问题~~（查找一下是哪个进程在自动连接网络~）另，你看看是否有什么软件的升级是默认自动升级的，且不需提示你~~~
影子110 叱咤花甲狮帖子:4210 注册: 2005-04-10 来自:怀黯

叱咤花甲狮

帖子:4210
注册: 2005-04-10
来自:怀黯

发表于： 2005-12-23 10:51 | 短消息资料

字号：小中大 5楼

引用:

【taylor05771的贴子】那玩意被人公布了???

...........................

网警版主能说的清楚点吗~~~
局域网的网关IP被公布了，，？还是~~~其它什么~？

gototop

七彩黄花菜萱草锋芒艾服狮帖子:1312 注册: 2005-08-09 来自:	发表于： 2005-12-23 11:00 \| 短消息资料字号：小中大 6楼看看“日期和时间”中的时区是否设置正确？
七彩黄花菜萱草锋芒艾服狮帖子:1312 注册: 2005-08-09 来自:

坏的掉渣初生襁褓狮帖子:2 注册: 2005-12-23 来自:	发表于： 2005-12-23 13:52 \| 只看楼主短消息资料字号：小中大 7楼谢谢大家的热心帮助，我去时间不对都机器保存了个日志，请各位帮忙看看： HijackThis_zww汉化版扫描日志 V1.99.1 保存于 10:18:04, 日期 2005/12/23 操作系统： Windows XP SP2 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe C:\PROGRA~1\MICROS~4\MSSQL\binn\sqlservr.exe C:\WINDOWS\system32\Rundll32.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe C:\Herosoft\HeroV8\SysExplr.EXE C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe C:\WINDOWS\system32\conime.exe C:\WINDOWS\system32\ntvdm.exe D:\手动查杀工具\HijackThis1991汉化版\HijackThis1991zww.exe R3 - URLSearchHook: BDSrchHook Class - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSrHook.dll O1 - Hosts: 144.60.80.5 csds_sav O1 - Hosts: 144.60.80.11 wt2000.zjks.info O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: 百度搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\WINDOWS\DOWNLO~1\BaiDuBar.dll O2 - BHO: BDSrchHook Class - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSrHook.dll O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\system32\qylhelper.dll O3 - IE工具栏增项: 百度搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\WINDOWS\DOWNLO~1\BaiDuBar.dll O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - 启动项HKLM\\Run: [BIE] Rundll32.exe C:\WINDOWS\DOWNLO~1\BDSrHook.dll,Rundll32 O4 - 启动项HKLM\\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe O4 - 启动项HKLM\\Run: [SysExplr] C:\Herosoft\HeroV8\SysExplr.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: 服务管理器.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm O8 - IE右键菜单中的新增项目: 百度-搜索MP3 - res://C:\WINDOWS\DOWNLO~1\BaiduBar.dll/BAIDUMP3.HTM O8 - IE右键菜单中的新增项目: 百度-搜索图片 - res://C:\WINDOWS\DOWNLO~1\BaiduBar.dll/BAIDUIMG.HTM O8 - IE右键菜单中的新增项目: 百度-搜索新闻 - res://C:\WINDOWS\DOWNLO~1\BaiduBar.dll/BAIDUNEWS.HTM O8 - IE右键菜单中的新增项目: 百度-搜索歌词 - res://C:\WINDOWS\DOWNLO~1\BaiduBar.dll/BAIDULYRIC.HTM O8 - IE右键菜单中的新增项目: 百度-搜索网页 - res://C:\WINDOWS\DOWNLO~1\BaiduBar.dll/BAIDUSEARCH.HTM O8 - IE右键菜单中的新增项目: 百度-搜索贴吧 - res://C:\WINDOWS\DOWNLO~1\BaiduBar.dll/BAIDUPOST.HTM O8 - IE右键菜单中的新增项目: 豪杰超级解霸V8实时播放 - C:\Herosoft\HeroV8\MPURLGET.HTM O9 - 浏览器额外的按钮: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE O9 - 浏览器额外的“工具”菜单项: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Herosoft\HeroV8\STHSDVD.EXE O9 - 浏览器额外的按钮: 词霸 - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll O9 - 浏览器额外的按钮: 百度搜索伴侣 - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSrHook.dll O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O11 - Options group: [!IESearch] !IESearch O15 - 添加的受信任的 IP 地址范围: http://144.60.80.11 O16 - DPF: {48FE89A0-486C-48DF-9DEC-BED22BDC6057} (XIsOro Control) - http://www.sinago.com/download/OroCheck.cab O16 - DPF: {658E8183-D04C-413A-9FCF-C04D610E81A3} (CCTest Control) - http://144.60.80.11/cctest.cab O16 - DPF: {9124F9F5-EC7E-4399-9901-4F365B42FC88} (StoreAnswer Control) - http://144.60.80.11/zjks.cab O16 - DPF: {CCF6601F-5E8B-4659-ADFF-7A7037DC473F} (QLD Control) - http://144.60.80.11/zjksqld.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{5DB82381-4124-46AB-9A7D-58CBECC09DD1}: NameServer = 202.96.113.34,202.96.113.35 O17 - HKLM\System\CS1\Services\Tcpip\..\{5DB82381-4124-46AB-9A7D-58CBECC09DD1}: NameServer = 202.96.113.34,202.96.113.35 O17 - HKLM\System\CS2\Services\Tcpip\..\{5DB82381-4124-46AB-9A7D-58CBECC09DD1}: NameServer = 202.96.113.34,202.96.113.35 O18 - 列举现有的协议: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll O18 - 列举现有的协议: mp3 - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSrHook.dll O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll O23 - NT 服务: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe O23 - NT 服务: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe 下面的是ProcessExplorerNt的日志: ProcessPIDCPUDescriptionCompany Name System Idle Process0100.00 Interruptsn/aHardware Interrupts DPCsn/aDeferred Procedure Calls System4 SMSS.EXE580Windows NT Session ManagerMicrosoft Corporation CSRSS.EXE660Client Server Runtime ProcessMicrosoft Corporation WINLOGON.EXE684Windows NT Logon ApplicationMicrosoft Corporation SERVICES.EXE728Services and Controller appMicrosoft Corporation SVCHOST.EXE892Generic Host Process for Win32 ServicesMicrosoft Corporation SVCHOST.EXE956Generic Host Process for Win32 ServicesMicrosoft Corporation SVCHOST.EXE1040Generic Host Process for Win32 ServicesMicrosoft Corporation SVCHOST.EXE1088Generic Host Process for Win32 ServicesMicrosoft Corporation SVCHOST.EXE1160Generic Host Process for Win32 ServicesMicrosoft Corporation SPOOLSV.EXE1412Spooler SubSystem AppMicrosoft Corporation DefWatch.exe1776Virus Definition DaemonSymantec Corporation SQLSERVR.EXE1816SQL Server Windows NTMicrosoft Corporation Rtvscan.exe164Symantec AntiVirusSymantec Corporation ALG.EXE1644Application Layer Gateway ServiceMicrosoft Corporation LSASS.EXE740LSA Shell (Export Version)Microsoft Corporation EXPLORER.EXE1648Windows ExplorerMicrosoft Corporation RUNDLL32.EXE1880Run a DLL as an AppMicrosoft Corporation realsched.exe1936RealNetworks SchedulerRealNetworks, Inc. VPTray.exe1956Symantec AntiVirusSymantec Corporation SysExplr.exe1968 CTFMON.EXE2000CTF LoaderMicrosoft Corporation SQLMANGR.EXE2012SQL Server Service ManagerMicrosoft Corporation NTVDM.EXE2748NTVDM.EXEMicrosoft Corporation procexp.exe1280Sysinternals Process ExplorerSysinternals CONIME.EXE3684Console IMEMicrosoft Corporation Process: Procexp Pid: -2 TypeName 5楼的建议不错，我怎么没想到呢？很有可能，我过去看看。不过，如果是这个原因的话那么另外的几台机器不能上网，收到数据包应该是别的问题了。对了，时不时不能上网的机器我重装系统也无济于事！是不是局域网内别的机器引起他们不能上网呢？
坏的掉渣初生襁褓狮帖子:2 注册: 2005-12-23 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT