最近中毒 求助趋势的几个问题(附上解决办法)

vchief

卡饭好久没有来了，不是不想来，中毒了，上不了，现在还是在PE下发的帖子。很诡异的，卡饭，网易，搜狐，腾讯都上不了，新浪，深度，百度又正常。本来以为是网络的问题，但是在PE下正常，所以看来还是中招了，办公室电脑都这样，还有QQ总是自动退出，换了4、5个版本了。重装完系统后再安装趋势才连入局域网还是马上中招。
今天碰到两次趋势进程启动了但是看不到显示，重启了又正常。下面给大家一张没有看到界面时的进程。图1
图2是碰到这种情况怎么找相应的可疑程序
图3是以前趋势删除病毒时候又是只是报病毒名不报路径，郁闷
顺便把SRENG扫描的纪录发上来给大家帮忙看一下


解决方案：
确认是7月发布的KB951748这个补丁造成的，故障原因是补丁存在兼容问题，微软将默认的动态端口由原来的1024～5000改变为 49152～65535，也就是说你把访问DNS的本机动态端口段设置为49152-65535，网络一切访问通讯恢复正常。解决方法有下面三种，随便选哪个都可以
1、打开开始菜单，点击运行，在空白栏里面输入下面内容，确定后重启电脑。

REG ADD HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters /v MaxUserPort /t REG_DWORD  /d 5000

2、在别的电脑拷贝未更新补丁前的tcpip.sys替换掉，目录在下边找C:\WINDOWS\system32\drivers

3、卸载KB951748补丁，不过不建议，毕竟这个补丁还是比较重要的

[ 本帖最后由 vchief 于 2008-7-27 12:07 编辑 ]

BBA365

楼主用drweb跟windows清理大师扫一次吧..至与新装的电脑又中毒,是很可能你别的盘里有毒.或是局域网里有"碰撞式"的毒...

xuange

修复一下IE看看是不是能正常浏览网页...
另外怀疑是不是SP3那个网络诊断工具有问题...
图2的可疑连接的远程IP地址指向“重庆市 移动”确实很可疑...
图3那个直接删除就可以了...

xuange

C:\WINDOWS\system32\USBKey.dll  可疑

schumi小粉

用360或者windows安全助手扫一遍，再修复IE一下，最后拿趋势杀！

vchief

还有一张图片和图2一样的，查了下：你查的IP：219.140.27.163  所在地为：湖北省武汉市 (汉阳)电信 ，为什么不显示谁访问呢？
至于图三，我想表达的是趋势怎么没有显示路径，起码我要知道删除的是哪个文件。
想问xuange斑竹的是这个和SP3有关吗？我用的是英文原版SP3,给同事装DEEPIN_GHOST_XPSP3_V9修正版。现在最烦的是QQ老是频繁自动退出和网易开不了－－办公室每天要看邮箱的

xuange

我是看你贴的SRENG日志得出某些地方比较可疑的，但恕我能力有限，不能看出有什么问题来；我刚看到那个SP3网络诊断工具时不认识（以前没见过...） 就百度了一下，有说可能导致某些网页不能正常访问的，跟你说的症状一样，所以就怀疑了...
其实如果你和你同事都有这个问题，就应该怀疑是不是你们局域网的ARP攻击了...

hovereagle

NVSVC32可能是病毒，下面附有说明。
楼主最好将除了杀软之外的启动项临时全部关闭，启动后再检查有无其它可疑项。

NVSVC32-NVSVC32  -进程信息
进程文件：NVSVC32
进程名称：Troj_backdoor.NVSVC32
描述：
该病毒修改注册表创建系统服务NVSVC32实现自启动，运行后连接特定服务器接受恶意攻击者指令并允许恶意攻击者远程控制计算机。病毒文件属性为隐藏且无扩展名。
进程位置: windir\
程序用途: 后门木马病毒

asinasina

没时间细看~不过小小的建议下，对BHO和host注意下
能进安全模式就用个绿色杀软全盘杀下~
我好像记得NVSVC32是显卡有关的东西，不知道记错没~

苏怅

个人觉得wuaclt.exe nvsvc32.exe很可疑啊