【请教】X61用360检查到“木马”屡杀不止

cyberin

360安全卫士木马查杀历史报告

木马名称：Trojan/Win32.Undef.bvl
路径：C:\WINDOWS\system32\rpcnetp.dll
查杀时间：2008-12-22 19:11
木马名称：Trojan/Win32.Undef.bvl
路径：C:\WINDOWS\system32\rpcnetp.exe
查杀时间：2008-12-22 19:11
木马名称：Trojan/Win32.Undef.bvl
路径：C:\System Volume Information\_restore{00BDFF4B-94D0-4BF5-85E5-593ABD599D4D}\RP17\A0001616.dll
查杀时间：2008-12-22 19:00

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
杀了多少次，都还是这样。
没太注意以前有没有。
在网上查阅资料，有人言之凿凿地说是病毒，又有人说是某个固化在BIOS里的安全程序。

老是看见这么一个进程rpcnet.exe在系统里，心里很不踏实。

求解!

dnsk1981

固化在BIOS中的程序？
想啥呢~~~~
人家说啥你都信？~~~~

god0917

这根X61有什么关系？？？是你系统问题

数字风暴

360能杀木马？相当怀疑，换McAfee吧。

现在进行式

提示: 作者被禁止或删除内容自动屏蔽

cyberin

QUOTE:

Posted by dnsk1981 on 2008-12-22 19:26

固化在BIOS中的程序？
想啥呢~~~~
人家说啥你都信？~~~~

这个是瑞星卡卡的工作人员讲的。

cyberin

难不成我的系统又要重装一次？

STEED001

怪不得瑞星要做娱乐公司～

dnsk1981

其实不难，找到这三个文件，把后缀名全部改了，改成BAK之类的
然后重启，进系统，应该就可以删除这三个程序了~~~如果不行，就去安全模式~~~
然后再重启，看看系统有啥提示（其实第一次重启进系统以后就应该有提示了~~~），如果搞不定的话，再把提示贴上来，大家帮你看看~~~~

dnsk1981

另外，你是不是开了系统还原？
去把系统还原里面的还原点删了吧，已经有木马了~~~

limonet

不是360的问题，而是你的问题，360说了，在安全模式效果更佳。

cyberin

QUOTE:

Posted by limonet on 2008-12-22 19:52

不是360的问题，而是你的问题，360说了，在安全模式效果更佳。

各位不妨查一下这个病毒的资料，安全模式这些全试过了。鸟用没有，安全模式下各种方法都试过了。
我在这里发帖只是想求证是不是X61自带有这个进程。如果没有。把电脑砸烂也要把这个病毒拎出去的

cyberin

还有，有没有可能这个病毒植在BIOS中了，所以屡杀不止

STEED001

QUOTE:

Posted by cyberin on 2008-12-22 23:51

还有，有没有可能这个病毒植在BIOS中了，所以屡杀不止

CIH再现？呵呵，根本没这个可能。

cyberin

已解决
笔记本电脑中了rpcnet.exe毒如何清除？
悬赏分：0 - 提问时间2008-4-6 15:01
我的笔记本电脑最近中了rpcnet.exe毒，一共有四个文件rpcnet.exe
rpcnet.dll
rpcnetp.exe
rpcnetp.dll，会在进程当中增加一个RPCNET进程，重张系统也没有用？如何解决？？
问题补充：没有用，杀了又出来了也。我搞了很长时间，才搞明白是，PC 盗用恢复系统和资产追踪解决方案

为帮助企业克服安全风险，如远程、移动或台式机电脑的丢失，IBM与Absolute软件公司携手，把Absolute新版本的Computrace 解决方案内置到新型ThinkPad笔记本的BIOS固件中。IBM因而成为唯一一家把反偷盗追踪工具嵌入PC硬件的厂商。如果用户的ThinkCentre台式机或ThinkPad笔记本被盗，Absolute能保证恢复数据，或根据用户的特殊要求，远程删除被盗电脑上的敏感数据。如果电脑在30至60天内无法恢复，用户有权获得高达1000美元的恢复保证赔偿金。

此外，Absolute软件公司还为用户提供了经济实用的解决方案，用于追踪电脑位置、提供电脑软硬件资产，管理租赁归还事宜、设置软件名追踪和许可条件。预装了Absolute Computrace技术的ThinkPad笔记本电脑将于本月底上市。

在2005年度RSA实验室会议上，IBM 个人电脑事业部展示了其全新的安全技术，和已于一月底发布的带指纹识别器的新型ThinkPad T43笔记本。

cyberin

上面这些资料是在网上搜到的，正是这些让我很困惑，究竟这是合法的进程还是木马？
所以想问一下，各位用X61的黑友，电脑里有没有这样问题的？

a_king

没有遇到这样的事情，哈哈

cyberin

有点意思了，查看了进程，rpcnet.exe还在，但是用360扫描已经不报木马了。
我在杀了几次杀不掉后，提交了样本给他们。
难道是360及时发现了这是误判？

用X61的朋友可不可以看一下你们系统的进程，有没有这个rpcnet.exe

thinkghost

干掉分区再重做
保你没问题
与X61的硬件毫无关系

paulp3

我的里面就没有

Drifter

QUOTE:

Posted by 数字风暴 on 2008-12-22 19:26

360能杀木马？相当怀疑，换McAfee吧。

Mcafee杀木马? 更怀疑.

Drifter

有点意思的东西
http://www.excelcia.org/modules. ... =article&sid=73

cyberin

楼上发现了吧？呵呵
我来段中文的：http://it.sohu.com/20060330/n242555125.shtml

cyberin

担心电脑被盗？软件帮你跟踪

时间：2006年03月30日12:27 我来说两句(0)  　


雍忠玮：看看移动员工的工资条杜碧玉：日本电信运营商太嚣张更多精彩博客推荐

关注最火辣的网络话题　　　　
【来源：联合早报】
　　Absolute Software Corp.预计每年被盗的公司电脑多达总数的5%。而Absolute开发的软件可以锁定被盗电脑的位置，让他们最高兴的事莫过于把这些电脑追回来。

　　Absolute这款软件名为Computrace。

安装过Computrace的电脑可以向位于不列颠哥伦比亚省温哥华的公司数据中心发出有规律的信号。这台电脑与互联网连接时会发出信号，这就提供了可以锁定电脑方位的重要信息，比如IP地址和序列号。一旦电脑被盗，Absolute会要求这台电脑每隔15分钟向数据中心发信号。而当这台电脑与互联网连接时，Absolute会立刻得到消息，并通知JC追回电脑并抓住窃贼。

　　在Absolute 96名员工中有一个小组专门和JC以及互联网服务提供商协作，负责追回电脑。Absolute首席执行长约翰•利文斯顿(John Livingston)表示，公司每星期追回的被盗电脑约有25台。

　　Absolute表示，最近被Fidelity Investments员工盗走的一台电脑很可能导致惠普公司(Hewlett-Packard Co.) 196,000名前任及现任员工的个人数据被泄漏，这台电脑恰恰没有安装Absolute的跟踪软件。而其他很多被盗电脑，即便被带到千里之外，也逃不过Absolute的跟踪。去年，一台被盗的笔记本被跟踪到伊拉克。一位美国军人在不知情的情况下将其买走。Absolute与其联系后，他爽快地答应将电脑原璧归赵。作为答谢，Absolute免费赠送了他一台。（Absolute称，这次是个例外，通常情况下公司不会以物换物。）

　　用户可以将Computrace安装在电脑的基础输入输出系统(basic input-output system, BIOS)内。BIOS是一种小型操作系统，控制电脑的键盘、显示器等诸多元件。将该系统移除极为困难，即便将主操作系统（例如Microsoft Windows）重新设置也很难办到。这种依存的原理将成为市场上最卓越的抗外力入侵技术。

　　截至去年12月31日，Absolute的用户达到55万，远高于1年前37万的水平。公司正力争在2007年6月30日前吸引用户100万。Absolute表示，公司还推出可以兼容MacIntosh电脑的版本，并将兼容微软即将推出的Vista操作系统。琴尼派克大学(Quinnipiac University)经营与项目管理系主任佛瑞德•塔卡(Fred Tarca)说，学校4年前就开始向学生出售配置Computrace的笔记本，之后该系统又有了升级版。

　　最初的版本能够准确地跟踪被盗电脑，塔卡说，但在恢复设备方面做得不够，人们在删除硬盘驱动器内容的同时会将软件破坏掉。于是，琴尼派克大学的笔记本供应商戴尔公司(Dell Inc.)从去年起开始在BIOS上安装Computrace。“不只是技术改善了，”塔卡说，“我们还能成功地恢复丢失和被盗的笔记本。”

　　Absolute首席财务长罗布•蔡斯(Rob Chase)说，戴尔以及其他很多原设备生产商就像发现了圣杯一样，纷纷在BIOS中装上了Computrace。很多年前公司就开始劝说原设备生产商这么做，但总是屡屡碰壁。去年，情况大为改观。2月份，联想集团(Lenovo Group Ltd.)率先在BIOS装上Computrace。8月份，Gateway Inc.紧随其后，接下来惠普和戴尔也如法炮制。

　　Absolute将从用户手中获取的合约费付一半给原设备生产商。消费者通常支付100美元享用3年的丢失寻回系统(LoJack for Laptops)，这个名字经授权借鉴了一种广为人知的失窃汽车跟踪设备的名字。

　　企业为每台电脑的合约要支付129美元，期限也为3年。蔡斯说，虽然这笔钱对原设备生产商而言不痛不痒，然而随著电脑销售利润率的下降，原设备生产商不得不寻找新的高利润率的收入来源。

　　联想去年2月份宣布采用Computrace时，Absolute在加拿大上市的股票仅报0.65加元。目前该股上涨了近4倍，在多伦多交易所现报3.50加元左右。

evernever

过来学习的，暂时本机没发现

cyberin

rpcnet.exe的疑惑没有了。
问题在于。还有一个rpcnetp.exe 和rpcnetp.dll也是屡杀不尽（后边多一个字母p）也是重装系统杀不掉的。中毒重装系统之后，我的其它盘都是右键打开。就是担心还有余孽

这个话题到目前还没有高手参与啊。

还有，rpcnet.exe好像也是在我刷破解1804的补丁之后出现的。以前似乎没发现。
烦躁

[ Edited by cyberin on 2008-12-23 01:59 ]

opiu

我是来支持楼主的看来这个世界上我们不知道的事情很多啊还真有这样能强力根植于bios内不依赖于操作系统是否有软件支持的进程

cyberin

扫描文件： "c:\program files\360safebox\safeboxtray.exe" /r
扫描文件： c:\program files\iparmor\iparmor.exe mini
扫描文件： c:\windows\system32\ctfmon.exe
扫描文件： "c:\program files\windows live\messenger\msnmsgr.exe" /background
扫描文件： c:\program files\ppstream\ppsap.exe
扫描文件： "c:\documents and settings\all users\application data\macrovision\flexnet connect\6\isuspm.exe" -scheduler
扫描文件： "c:\program files\bouygues telecom\kit internet mobile\kim.exe" /boot
扫描文件： c:\documents and settings\all users\「开始」菜单\程序\启动\desktop.ini
扫描启动项目完成
-------------------------------------------------------
扫描了 45个进程，
木马克星扫描结束.
-------------------------------------------------------

扫描文件：c:\windows\system32\ctfmon.exe
"c:\program files\windows live\messenger\msnmsgr.exe" /background
"c:\documents and settings\all users\application data\macrovision\flexnet connect\6\isuspm.exe" -scheduler
"c:\program files\bouygues telecom\kit internet mobile\kim.exe" /boot

扫描外壳扩展文件:C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\psqlpwd.dll
扫描外壳扩展文件:C:\WINDOWS\SYSTEM32\C:\Program Files\Lenovo\HOTKEY\notifyf2.dll
扫描外壳扩展文件:C:\WINDOWS\SYSTEM32\C:\Program Files\Lenovo\HOTKEY\tphklock.dll
扫描系统进程开始
扫描文件12313o3:C:\WINDOWS\SYSTEM32\RPCNET.EXEC:\WINDOWS\SYSTEM32\RPCNET.EXE 文件被捆绑可疑,请不要运行
此版本为免费版本,所有功能允许免费使用.
C:\WINDOWS\SYSTEM32\RPCNET.EXE重新启动电脑后完成清除
扫描文件12313o3:C:\PROGRAM FILES\SKYPE\PHONE\SKYPE.EXEC:\WINDOWS\SYSTEM32\RPCNET.EXE 文件被捆绑可疑,请不要运行
扫描文件1051u

:\BUSI\ALIWANGWANG\ATL80.DLL文件大小:96256
扫描文件1051u:C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\PROGRAM\ATL71.DLL文件大小:89600
扫描文件1051u:C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\PROGRAM\MSVCIRT.DLL文件大小:54784
扫描系统进程结束
-------------------------------------------------------
密码保护功能启动成功，所有密码都被动态伪装为iparmor.
一旦发现密码盗窃,木马克星将自动向您报警.

扫描系统驱动程序开始
发现无效的系统服务:C:\PROGRAM FILES\BOUYGUES TELECOM\KIT INTERNET MOBILE\DBLHOST.EXE注册表位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dblhost\ImagePath
发现无效的系统服务:C:\WINDOWS\SYSTEM32\DRIVERS\EWUSBMDM.SYS注册表位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwdatacard\ImagePath
C:\WINDOWS\SYSTEM32\DRIVERS\EWUSBMDM.SYS发现无效的系统服务system32\DRIVERS\ewusbmdm.sys
C:\PROGRAM FILES\COMMON FILES\INTEL\WIRELESSCOMMON\REGSRVC.EXE 发现非系统服务7a,低危险.
扫描可疑系统服务:C:\WINDOWS\SYSTEM32\RPCNET.EXE
发现无效的系统服务:C:\PROGRAM FILES\BOUYGUES TELECOM\KIT INTERNET MOBILE\RUS.EXE注册表位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RUS\ImagePath
C:\PROGRAM FILES\COMMON FILES\THINKVANTAGE FINGERPRINT SOFTWARE\DRIVERS\SMIHLP.SYS 发现非系统服务7a,低危险.
C:\PROGRAM FILES\COMMON FILES\LENOVO\TVT_REG_MONITOR_SVC.EXE 发现非系统服务7a,低危险.
C:\PROGRAM FILES\COMMON FILES\LENOVO\SCHEDULER\TVTSCHED.EXE 发现非系统服务7a,低危险.
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
系统服务没有发现木马.
-------------------------------------------------------

扫描浏览器插件:C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll  2008-6-13
扫描浏览器插件:C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll  2008-10-29
扫描浏览器插件:C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll  2008-6-13
扫描浏览器插件:C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll  2008-11-18
扫描浏览器插件:C:\Program Files\360safe\safemon\safemon.dll
浏览器插件扫描结束.如果浏览器插件超过100天没有更新,则可能存在网络漏洞!
系统外壳插件扫描结束.

扫描内存完成
木马克星版本号:木马克星 2009  软件版本号 0110
-------------------------------------------------------

cyberin

今天换木马克星扫描了一下。
MD,这个进程为什么要捆绑到SKYPE的进程上？
莫名其妙的

wilster

RPC中毒更名的问题，发现了三台机器，症状有很多的，userinit,ctfmon,rpcss.dl中毒文件名被更改，注册表被修改，登陆注销重启，网卡找不到，千万不要用360安全卫士清理，安全模式杀毒也没用，尽量使用WINPE系统进行杀毒，再使用360木马大全。

【请教】X61用360检查到“木马”屡杀不止

银牌荣誉勋章(注册10年以上会员)

铜牌荣誉勋章(注册8年以上会员)

月全勤勋章

年全勤勋章2023

年全勤勋章2024

		自动登录	找回密码
密码			注册