收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 原创工具区 斑竹、牛人再请教.exe问题,不好意思~
返回列表 发新帖
查看: 2278|回复: 5
收起左侧

斑竹、牛人再请教.exe问题,不好意思~

[复制链接]
makoo
发表于 2007-4-8 18:34:11 | 显示全部楼层 |阅读模式
斑竹大大、过路牛人高手,您们好!

小弟我还是.exe病毒的问题,没有彻底的解决,给工作和上网都带来极大的不便!
我是怨恨这个病毒了!这个病毒的作者乐了!NND~KAO!

难道没有更好的盾来抵挡他么?难道我们这里没有更好的人来抵挡它么?我不信!我还是相信我们这里有
高手来抵挡它的,因为我们这里人心团结、人才济济!

病毒的截图好不容易弄到(我弄到后不到一分钟就资源占用100%,就是其他程序打不开了),也已经一
起附上,希望各位大大过目帮忙。

我在附加讲一下症状,现在一出现这个对话框后,用咔吧提示删除后好像没有什么问题,在其他程序使用
过程中(就是其他程序操作,如上网、BT下载等)没有出现问题,不会占用资源100%的情况,但是如果
离开,就是不操作,或者挂着BT在那里下载的话,第二天或者下午来一看,基本都会出现资源100%的情
况,还不能正常关机,我只能按机箱电源按钮重新启动。

还有,这个.exe是不是附带那个eraseme病毒一起来得?好像是(本人是菜鸟,要不然不会苦苦要求各位
大大了),因为出现这个咔吧拦截.exe后删除不久,多半回出现咔吧拦截提示eraseme病毒的,记得我也
发过这么个求助贴,就是斑竹提示的一个帖子:
http://bbs.kafan.cn/viewthread.phptid=69776&extra=page%3D2
我也认真拜读,但是我想问的是,怎么样才知道那个信息?就是那个病毒的子级进程信息从而确定那个病
毒从219.217.81.101的1917端口下载 eraseme_01364.exe 这个文件(也许我的机子不是从这个地址下的
),咔吧可以做到么?如何操作?谢谢~顺便问一下,SSM也是杀毒软件么?

我该怎么办呀?

附带一个SREngLOG的扫描报告:
---------------------------------------------------------------------------------------

  2. 2007-04-08,18:26:21
  3. System Repair Engineer 2.4.12.806
  4. Smallfrogs (http://www.KZTechs.com)
  5. Windows XP Professional Service Pack 1 (Build 2600) - 管理权限用户 - 完整功能
  6. 以下内容被选中:
  7.     所有的启动项目(包括注册表、启动文件夹、服务等)
  8.     浏览器加载项
  9.     正在运行的进程(包括进程模块信息)
  10.     文件关联
  11.     Winsock 提供者
  12.     Autorun.inf
  13.     HOSTS 文件

  15. 启动项目
  16. 注册表
  17. [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
  18.     <load><>  [N/A]
  19. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
  20.     <kav><"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe">  [Kaspersky
  21. Lab]
  22. [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
  23.     <shell><Explorer.exe>  [(Verified)Microsoft Windows XP Publisher]
  24.     <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows XP
  25. Publisher]
  26.     <UIHost><logonui.exe>  [(Verified)Microsoft Windows XP Publisher]
  27. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
  28.     <WinlogonNotify: klogon><C:\WINDOWS\System32\klogon.dll>  [Kaspersky Lab]
  29. ==================================
  30. 启动文件夹
  31. [QQ游戏启动加速程序]
  32.   <C:\Documents and Settings\mai\「开始」菜单\程序\启动\QQ游戏启动加速程序.lnk -->
  33. C:\PROGRA~1\Tencent\QQGAME\Accel.exe [深圳市腾讯计算机系统有限公司]><N>
  34. ==================================
  35. 服务
  36. [Adobe LM Service / Adobe LM Service][Stopped/Manual Start]
  37.   <"C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe"><Adobe
  38. Systems>
  39. [卡巴斯基反病毒6.0 / AVP][Running/Auto Start]
  40.   <C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe -r><Kaspersky Lab>
  41. [Human Interface Device Access / HidServ][Stopped/Disabled]
  42.   <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>
  43. [NVIDIA Display Driver Service / NVSvc][Stopped/Disabled]
  44.   <C:\WINDOWS\System32\nvsvc32.exe><NVIDIA Corporation>
  45. ==================================
  46. 驱动程序
  47. [atksgt / atksgt][Running/Auto Start]
  48.   <System32\DRIVERS\atksgt.sys><N/A>
  49. [C-Media High Definition Audio Interface / cmudax][Running/Manual Start]
  50.   <system32\drivers\cmudax.sys><C-Media Inc.>
  51. [VIA PCI 10/100Mb Fast Ethernet Adapter NT Driver / FETNDIS][Stopped/Manual Start]
  52.   <System32\DRIVERS\fetnd5.sys><VIA Technologies, Inc.>
  53. [gwiopm / gwiopm][Stopped/Manual Start]
  54.   <\??\C:\Program Files\Wom\gwiopm.sys><N/A>
  55. [Microsoft 用于 High Definition Audio 服务的 UAA 功能驱动程序 / HdAudAddService]
  56. [Stopped/Manual Start]
  57.   <system32\drivers\HdAudio.sys><Windows (R) Server 2003 DDK provider>
  58. [Microsoft 用于 High Definition Audio 的 UAA 总线驱动程序 / HDAudBus][Running/Manual Start]
  59.   <System32\DRIVERS\HDAudBus.sys><Windows (R) Server 2003 DDK provider>
  60. [kl1 / kl1][Running/Boot Start]
  61.   <\SystemRoot\System32\drivers\kl1.sys><Kaspersky Lab>
  62. [klif / klif][Running/System Start]
  63.   <\??\C:\WINDOWS\System32\drivers\klif.sys><Kaspersky Lab>
  64. [lirsgt / lirsgt][Running/Auto Start]
  65.   <System32\DRIVERS\lirsgt.sys><N/A>
  66. [ATK0110 ACPI UTILITY / MTsensor][Running/Manual Start]
  67.   <System32\DRIVERS\ASACPI.sys><>
  68. [npkcrypt / npkcrypt][Running/Auto Start]
  69.   <\??\C:\Program Files\ViYaQQ\npkcrypt.sys><INCA Internet Co., Ltd.>
  70. [nv / nv][Running/Manual Start]
  71.   <System32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
  72. [Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  73.   <System32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
  74. [Realtek RTL8029(AS)-based PCI Ethernet Adapter NT Driver / rtl8029][Running/Manual Start]
  75.   <System32\DRIVERS\RTL8029.SYS><Realtek Semiconductor Corporation>
  76. [Secdrv / Secdrv][Stopped/Manual Start]
  77.   <System32\DRIVERS\secdrv.sys><N/A>
  78. [NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller / yukonwxp][Running/Manual
  79. Start]
  80.   <System32\DRIVERS\yk51x86.sys><Marvell>
  81. ==================================
  82. 浏览器加载项
  83. [Web反病毒保护]
  84.   {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} <C:\Program Files\Kaspersky Lab\Kaspersky Anti-
  85. Virus 6.0\scieplugin.dll, Kaspersky Lab>
  86. [信息检索(&R)]
  87.   {92780B25-18CC-41C8-B9BE-3C9C571A8263} <D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL,
  88. Microsoft Corporation>
  89. [@shdoclc.dll,-866]
  90.   {c95fe080-8f5d-11d2-a20b-00aa003c157a} <, N/A>
  91. [电台(&R)]
  92.   {8E718888-423F-11D2-876E-00A0C9082467} <C:\WINDOWS\System32\msdxm.ocx, Microsoft
  93. Corporation>
  94. [上传到QQ网络硬盘]
  95.   <, N/A>
  96. [使用脱兔下载]
  97.   <C:\Program Files\Tuotu\TT_one.htm, N/A>
  98. [使用脱兔下载全部链接]
  99.   <C:\Program Files\Tuotu\TT_all.htm, N/A>
  100. [导出到 Microsoft Office Excel(&X)]
  101.   <res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000, N/A>
  102. [添加到QQ自定义面板]
  103.   <, N/A>
  104. [添加到QQ表情]
  105.   <, N/A>
  106. [用QQ彩信发送该图片]
  107.   <, N/A>
  108. ==================================
  109. 正在运行的进程
  110. [PID: 708][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.1106
  111. (xpsp1.020828-1920)]
  112. [PID: 788][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.0
  113. (xpclient.010817-1148)]
  114. [PID: 812][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.1106
  115. (xpsp1.020828-1920)]
  116.     [C:\WINDOWS\System32\klogon.dll]  [Kaspersky Lab, 6.0.0.299]
  117.     [C:\WINDOWS\System32\wdmaud.drv]  [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-
  118. 1148)]
  119.     [C:\WINDOWS\System32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-
  120. 1148)]
  121. [PID: 856][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.0
  122. (xpclient.010817-1148)]
  123. [PID: 868][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.1106
  124. (xpsp1.020828-1920)]
  125. [PID: 1044][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0
  126. (xpclient.010817-1148)]
  127. [PID: 1236][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0
  128. (xpclient.010817-1148)]
  129. [PID: 1444][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0
  130. (xpclient.010817-1148)]
  131. [PID: 1480][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.0
  132. (xpclient.010817-1148)]
  133. [PID: 1628][C:\WINDOWS\system32\spoolsv.exe]  [Microsoft Corporation, 5.1.2600.0
  134. (XPClient.010817-1148)]
  135.     [C:\WINDOWS\System32\adimon.dll]  [Autodesk, Inc., 3,0,14,176]
  136.     [C:\WINDOWS\system32\heidi3.dll]  [Autodesk, Inc., 3,0,14,176]
  137.     [C:\WINDOWS\system32\mdimon.dll]  [Microsoft Corporation, 11.3.1897.0]
  138.     [C:\WINDOWS\System32\spool\PRTPROCS\W32X86\mdippr.dll]  [Microsoft Corporation,
  139. 11.3.1897.0]
  140. [PID: 2032][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2800.1106 (xpsp1.020828-
  141. 1920)]
  142.     [C:\WINDOWS\System32\wdmaud.drv]  [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-
  143. 1148)]
  144.     [C:\WINDOWS\System32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-
  145. 1148)]
  146.     [D:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation,
  147. 11.0.5510]
  148.     [C:\Program Files\WinRAR\rarext.dll]  [N/A, ]
  149.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\shellex.dll]  [Kaspersky Lab,
  150. 6.0.0.299]
  151. [PID: 680][C:\Program Files\Maxthon\Maxthon.exe]  [Maxthon International Ltd., 1, 5, 9, 30]
  152.     [C:\Program Files\Maxthon\maxzlib.dll]  [ , 1, 0, 0, 2]
  153.     [C:\WINDOWS\System32\odbcbcp.dll]  [Microsoft Corporation, 2000.081.9030.00]
  154.     [C:\WINDOWS\System32\mscoree.dll]  [Microsoft Corporation, 2.0.50727.42 (RTM.050727-
  155. 4200)]
  156.     [C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\perfcounter.dll]  [Microsoft Corporation,
  157. 2.0.50727.42 (RTM.050727-4200)]
  158.     [C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll]  [Microsoft Corporation,
  159. 2.0.50727.42 (RTM.050727-4200)]
  160.     [C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CorperfmonExt.dll]  [Microsoft
  161. Corporation, 2.0.50727.42 (RTM.050727-4200)]
  162.     [C:\Program Files\Maxthon\Services\RealTime\real_time.dll]  [, 1, 0, 0, 1]
  163.     [C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorie.dll]  [Microsoft Corporation,
  164. 2.0.50727.42 (RTM.050727-4200)]
  165.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scr_ch_pg.dll]  [Kaspersky Lab,
  166. 1.0.6.299]
  167.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\klscav.dll]  [Kaspersky Lab,
  168. 6.0.0.299]
  169.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\pr_remote.dll]  [Kaspersky Lab,
  170. 6.0.0.299]
  171.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\prloader.dll]  [Kaspersky Lab,
  172. 6.0.0.299]
  173.     [C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\prkernel.ppl]  [Kaspersky Lab,
  174. 6.0.0.304]
  175.     [c:\program files\kaspersky lab\kaspersky anti-virus 6.0\params.ppl]  [Kaspersky Lab,
  176. 6.0.0.299]
  177.     [c:\program files\kaspersky lab\kaspersky anti-virus 6.0\pxstub.ppl]  [Kaspersky Lab,
  178. 6.0.0.299]
  179.     [c:\program files\kaspersky lab\kaspersky anti-virus 6.0\tempfile.ppl]  [Kaspersky Lab,
  180. 6.0.0.299]
  181.     [c:\program files\kaspersky lab\kaspersky anti-virus 6.0\nfio.ppl]  [Kaspersky Lab,
  182. 6.0.0.299]
  183.     [c:\program files\kaspersky lab\kaspersky anti-virus 6.0\fsdrvplgn.ppl]  [Kaspersky Lab,
  184. 6.0.0.299]
  185.     [C:\WINDOWS\System32\Macromed\Flash\Flash9.ocx]  [Adobe Systems, Inc., 9,0,16,0]
  186.     [C:\WINDOWS\System32\wdmaud.drv]  [Microsoft Corporation, 5.1.2600.0 (XPClient.010817-
  187. 1148)]
  188.     [C:\WINDOWS\System32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-
  189. 1148)]
  190. [PID: 2352][C:\sreng2\sreng2\SREng.EXE]  [Smallfrogs Studio, 2.4.12.806]
  191. ==================================
  192. 文件关联
  193. N/A
  194. ==================================
  195. Winsock 提供者
  196. N/A
  197. ==================================
  198. Autorun.inf
  199. N/A
  200. ==================================
  201. HOSTS 文件
  202. 127.0.0.1       localhost
  203. ==================================
  204. API HOOK
  205. RVA  错误: LoadLibraryA (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xF4C69B25)
  206. RVA  错误: LoadLibraryExA (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xF4C69D67)
  207. RVA  错误: LoadLibraryExW (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xF4C69F0B)
  208. RVA  错误: LoadLibraryW (危险等级: 一般,  被下面模块所HOOK: Dest Addr: 0xF4C69C49)
  209. RVA  错误: GetProcAddress (危险等级: 高,  被下面模块所HOOK: Dest Addr: 0xF4C69E8F)
  210. ==================================
  211. 隐藏进程
  212. N/A
  213. ==================================
复制代码

--------------------------------------------------------------------------------------
12.JPG
回复

举报

wangjay1980
发表于 2007-4-8 19:34:56 | 显示全部楼层
[atksgt / atksgt][Running/Auto Start]
  <System32\DRIVERS\atksgt.sys><N/A>
[lirsgt / lirsgt][Running/Auto Start]
  <System32\DRIVERS\lirsgt.sys><N/A>
用SRE把这两个驱动设置为disabled
然后用这个清理一下,还有就是一定要安装个防火墙

arswp.rar

590.29 KB, 下载次数: 180
回复

举报

makoo
 楼主| 发表于 2007-4-8 19:54:14 | 显示全部楼层
原帖由 wangjay1980 于 2007-4-8 19:34 发表
[atksgt / atksgt][Running/Auto Start]
  
[lirsgt / lirsgt][Running/Auto Start]
  
用SRE把这两个驱动设置为disabled
然后用这个清理一下,还有就是一定要安装个防火墙


首先谢谢大大的支持!
请问
[atksgt / atksgt][Running/Auto Start]
  
[lirsgt / lirsgt][Running/Auto Start]

在SRE里面怎么设置?能不能给个流程,本人的确是菜鸟,再次谢谢!给你带来的麻烦深表歉意!
回复

举报

漫步白月光
发表于 2007-4-8 20:22:23 | 显示全部楼层
你去这看
http://bbs.kafan.cn/viewthread.php?tid=27297&extra=page%3D1
回复

举报

wangjay1980
发表于 2007-4-8 20:58:26 | 显示全部楼层
在启动项目--服务--驱动里找,然后修改其启动类型
回复

举报

makoo
 楼主| 发表于 2007-4-11 23:29:40 | 显示全部楼层
问题得以解决,万分感谢斑竹大大的百忙之中的无私帮助!再次谢谢!
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:06 , Processed in 0.141925 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表