两个explorer.exe...能否判断真假？！

显示全部楼层 · 发表于 2010-9-21 12:13:43

补上劫持情况

[XueTr][IFEO]: 79
名称  劫持路径  文件厂商
uDongFangYu.exe  svchost.exe  Microsoft Corporation
360delays.exe  svchost.exe  Microsoft Corporation
360realpro.exe  svchost.exe  Microsoft Corporation
360rp.exe  svchost.exe  Microsoft Corporation
360safe.exe  svchost.exe  Microsoft Corporation
360Safebox.exe  svchost.exe  Microsoft Corporation
360sd.exe  svchost.exe  Microsoft Corporation
360SoftMgrSvc.exe  svchost.exe  Microsoft Corporation
360tray.exe  svchost.exe  Microsoft Corporation
AgentSvr.exe  svchost.exe  Microsoft Corporation
antiarp.exe  svchost.exe  Microsoft Corporation
avp.exe  svchost.exe  Microsoft Corporation
bdagent.exe  svchost.exe  Microsoft Corporation
ccapp.exe  svchost.exe  Microsoft Corporation
CCenter.exe  svchost.exe  Microsoft Corporation
ccEvtMgr.exe  svchost.exe  Microsoft Corporation
ccSetMgr.exe  svchost.exe  Microsoft Corporation
ccSvcHst.exe  svchost.exe  Microsoft Corporation
defwatch.exe  svchost.exe  Microsoft Corporation
DrUpdate.exe  svchost.exe  Microsoft Corporation
DSMain.exe  svchost.exe  Microsoft Corporation
egui.exe  svchost.exe  Microsoft Corporation
ekrn.exe  svchost.exe  Microsoft Corporation
engineserver.exe  svchost.exe  Microsoft Corporation
FrameworkService.exe  svchost.exe  Microsoft Corporation
KABackReport.exe  svchost.exe  Microsoft Corporation
kaccore.exe  svchost.exe  Microsoft Corporation
KavStart.exe  svchost.exe  Microsoft Corporation
KISSvc.exe  svchost.exe  Microsoft Corporation
kmailmon.exe  svchost.exe  Microsoft Corporation
KPFW32.exe  svchost.exe  Microsoft Corporation
KPfwSvc.exe  svchost.exe  Microsoft Corporation
KSWebShield.exe  svchost.exe  Microsoft Corporation
KVSrvXP.exe  svchost.exe  Microsoft Corporation
KWatch.exe  svchost.exe  Microsoft Corporation
livesrv.exe  svchost.exe  Microsoft Corporation
LiveUpdate360.exe  svchost.exe  Microsoft Corporation
mcagent.exe  svchost.exe  Microsoft Corporation
mcinsupd.exe  svchost.exe  Microsoft Corporation
mcmscsvc.exe  svchost.exe  Microsoft Corporation
mcnasvc.exe  svchost.exe  Microsoft Corporation
McProxy.exe  svchost.exe  Microsoft Corporation
mcshell.exe  svchost.exe  Microsoft Corporation
mcshield.exe  svchost.exe  Microsoft Corporation
mcsysmon.exe  svchost.exe  Microsoft Corporation
McTray.exe  svchost.exe  Microsoft Corporation
mcupdmgr.exe  svchost.exe  Microsoft Corporation
mfeann.exe  svchost.exe  Microsoft Corporation
mfevtps.exe  svchost.exe  Microsoft Corporation
MpfSrv.exe  svchost.exe  Microsoft Corporation
MPMon.exe  svchost.exe  Microsoft Corporation
MPSVC.exe  svchost.exe  Microsoft Corporation
MPSVC1.exe  svchost.exe  Microsoft Corporation
MPSVC2.exe  svchost.exe  Microsoft Corporation
naPrdMgr.exe  svchost.exe  Microsoft Corporation
QQDoctor.exe  svchost.exe  Microsoft Corporation
QQDoctorRtp.exe  svchost.exe  Microsoft Corporation
qutmserv.exe  svchost.exe  Microsoft Corporation
Rav.exe  svchost.exe  Microsoft Corporation
RavMon.exe  svchost.exe  Microsoft Corporation
RavMonD.exe  svchost.exe  Microsoft Corporation
RavStub.exe  svchost.exe  Microsoft Corporation
RavTask.exe  svchost.exe  Microsoft Corporation
RegGuide.exe  svchost.exe  Microsoft Corporation
rfwsrv.exe  svchost.exe  Microsoft Corporation
RsAgent.exe  svchost.exe  Microsoft Corporation
rsnetsvr.exe  svchost.exe  Microsoft Corporation
rssafety.exe  svchost.exe  Microsoft Corporation
RsTray.exe  svchost.exe  Microsoft Corporation
rtvscan.exe  svchost.exe  Microsoft Corporation
safeboxTray.exe  svchost.exe  Microsoft Corporation
ScanFrm.exe  svchost.exe  Microsoft Corporation
SHSTAT.exe  svchost.exe  Microsoft Corporation
udaterui.exe  svchost.exe  Microsoft Corporation
Uplive.exe  svchost.exe  Microsoft Corporation
vptray.exe  svchost.exe  Microsoft Corporation
vsserv.exe  svchost.exe  Microsoft Corporation
vstskmgr.exe  svchost.exe  Microsoft Corporation
xcommsvr.exe  svchost.exe  Microsoft Corporation

显示全部楼层 · 发表于 2010-9-21 12:17:59

运行病毒想留底子不知怎地死机。。。在运行！
共运行两次的日志：因字数超出而不能直接贴出

只好压缩。。。

显示全部楼层 · 发表于 2010-9-21 12:33:24

本帖最后由 liulangzhecgr 于 2010.9.21 14:11 编辑

多引擎扫描结果：

http://www.virscan.org/report/c2e19b1bb1b0b88776ddddcc8deade4b.html

http://www.virscan.org/report/784b13ba2a2ebb4240e174d2f356880d.html

显示全部楼层 · 发表于 2010-9-21 14:16:00

总于病毒杀完。。。真累啊！
不太会使用xt的文件替换功能还是怎么地重启有中毒啦！
无奈之下用xt直接替换系统文件（假冒的）删除可疑的两个文件。。。！
重启后修复，清理之后报：ipc策略异常。。。点击修复后系统完全恢复正常！

谢谢ls的几位坛友的热情帮助！

显示全部楼层 · 发表于 2010-9-21 14:26:45

两个explorer.exe全是不正常的

显示全部楼层 · 发表于 2010-9-21 17:17:34

两个explorer.exe全是不正常的
天月来了发表于 2010.9.21 14:26

谢谢帮助！毒霸只报系统文件夹的资源管理器而没有报临时文件夹中的！

显示全部楼层 · 发表于 2010-9-21 20:24:25

回复 34楼 liulangzhecgr 的帖子
　　不同系统不具可比性，可以参考相同系统的电脑中的Explorer.exe校验值。

显示全部楼层 · 发表于 2010-9-22 11:26:16

好像都很有问题………………请保留样本，上传………………也请用另外的一些辅助软件看看吧…………

显示全部楼层 · 发表于 2010-9-23 06:24:44

好像都很有问题………………请保留样本，上传………………也请用另外的一些辅助软件看看吧…………
jiao轩发表于 2010.9.22 11:26

两个explorer.exe：系统文件夹 _xt;
临时文件夹 _tmp

链接地址：http://bbs.kafan.cn/thread-798158-1-1.html

显示全部楼层 · 发表于 2010-9-23 06:27:22

回复
　　不同系统不具可比性，可以参考相同系统的电脑中的Explorer.exe校验值。
穿越星空发表于 2010.9.21 20:24

检查数字签名验证更简单吧。。。！

[讨论] 两个explorer.exe...能否判断真假？！