【请教】X61用360检查到“木马”屡杀不止
360安全卫士木马查杀历史报告木马名称:Trojan/Win32.Undef.bvl
路径:C:\WINDOWS\system32\rpcnetp.dll
查杀时间 :2008-12-22 19:11
木马名称:Trojan/Win32.Undef.bvl
路径:C:\WINDOWS\system32\rpcnetp.exe
查杀时间 :2008-12-22 19:11
木马名称:Trojan/Win32.Undef.bvl
路径:C:\System Volume Information\_restore{00BDFF4B-94D0-4BF5-85E5-593ABD599D4D}\RP17\A0001616.dll
查杀时间 :2008-12-22 19:00
==================
杀了多少次,都还是这样。
没太注意以前有没有。
在网上查阅资料,有人言之凿凿地说是病毒,又有人说是某个固化在BIOS里的安全程序。
老是看见这么一个进程rpcnet.exe在系统里,心里很不踏实。
求解! 固化在BIOS中的程序?
想啥呢~~~~
人家说啥你都信?~~~~ 这根X61有什么关系???是你系统问题 360能杀木马?相当怀疑,换McAfee吧。 Posted by dnsk1981 on 2008-12-22 19:26 http://www.ibmnb.com/images/common/back.gif
固化在BIOS中的程序?
想啥呢~~~~
人家说啥你都信?~~~~
这个是瑞星卡卡的工作人员讲的。:D 难不成我的系统又要重装一次? 怪不得瑞星要做娱乐公司~ 其实不难,找到这三个文件,把后缀名全部改了,改成BAK之类的
然后重启,进系统,应该就可以删除这三个程序了~~~如果不行,就去安全模式~~~
然后再重启,看看系统有啥提示(其实第一次重启进系统以后就应该有提示了~~~),如果搞不定的话,再把提示贴上来,大家帮你看看~~~~ 另外,你是不是开了系统还原?
去把系统还原里面的还原点删了吧,已经有木马了~~~ 不是360的问题,而是你的问题,360说了,在安全模式效果更佳。 Posted by limonet on 2008-12-22 19:52 http://www.ibmnb.com/images/common/back.gif
不是360的问题,而是你的问题,360说了,在安全模式效果更佳。
各位不妨查一下这个病毒的资料,安全模式这些全试过了。鸟用没有,安全模式下各种方法都试过了。
我在这里发帖只是想求证是不是X61自带有这个进程。如果没有。把电脑砸烂也要把这个病毒拎出去的 还有,有没有可能这个病毒植在BIOS中了,所以屡杀不止 Posted by cyberin on 2008-12-22 23:51 http://www.ibmnb.com/images/common/back.gif
还有,有没有可能这个病毒植在BIOS中了,所以屡杀不止
CIH再现?呵呵,根本没这个可能。 已解决
笔记本电脑中了rpcnet.exe毒如何清除?
悬赏分:0 - 提问时间2008-4-6 15:01
我的笔记本电脑最近中了rpcnet.exe毒,一共有四个文件rpcnet.exe
rpcnet.dll
rpcnetp.exe
rpcnetp.dll,会在进程当中增加一个RPCNET进程,重张系统也没有用?如何解决??
问题补充:没有用,杀了又出来了也。我搞了很长时间,才搞明白是,PC 盗用恢复系统和资产追踪解决方案
为帮助企业克服安全风险,如远程、移动或台式机电脑的丢失,IBM与Absolute软件公司携手,把Absolute新版本的Computrace 解决方案内置到新型ThinkPad笔记本的BIOS固件中。IBM因而成为唯一一家把反偷盗追踪工具嵌入PC硬件的厂商。如果用户的ThinkCentre台式机或ThinkPad笔记本被盗,Absolute能保证恢复数据,或根据用户的特殊要求,远程删除被盗电脑上的敏感数据。如果电脑在30至60天内无法恢复,用户有权获得高达1000美元的恢复保证赔偿金。
此外,Absolute软件公司还为用户提供了经济实用的解决方案,用于追踪电脑位置、提供电脑软硬件资产,管理租赁归还事宜、设置软件名追踪和许可条件。预装了Absolute Computrace技术的ThinkPad笔记本电脑将于本月底上市。
在2005年度RSA实验室会议上,IBM 个人电脑事业部展示了其全新的安全技术,和已于一月底发布的带指纹识别器的新型ThinkPad T43笔记本。 上面这些资料是在网上搜到的,正是这些让我很困惑,究竟这是合法的进程还是木马?
所以想问一下,各位用X61的黑友,电脑里有没有这样问题的? 没有遇到这样的事情,哈哈 :D 有点意思了,查看了进程,rpcnet.exe还在,但是用360扫描已经不报木马了。
我在杀了几次杀不掉后,提交了样本给他们。
难道是360及时发现了这是误判?
用X61的朋友可不可以看一下你们系统的进程,有没有这个rpcnet.exe 干掉分区 再重做
保你没问题
与X61的硬件毫无关系 我的里面就没有 Posted by 数字风暴 on 2008-12-22 19:26 http://www.ibmnb.com/images/common/back.gif
360能杀木马?相当怀疑,换McAfee吧。
Mcafee杀木马? 更怀疑. 有点意思的东西
http://www.excelcia.org/modules.php?name=News&file=article&sid=73 楼上发现了吧?呵呵
我来段中文的:http://it.sohu.com/20060330/n242555125.shtml 担心电脑被盗?软件帮你跟踪
时间:2006年03月30日12:27 我来说两句(0)
雍忠玮:看看移动员工的工资条 杜碧玉:日本电信运营商太嚣张 更多精彩博客推荐
关注最火辣的网络话题
【来源:联合早报】
Absolute Software Corp.预计每年被盗的公司电脑多达总数的5%。而Absolute开发的软件可以锁定被盗电脑的位置,让他们最高兴的事莫过于把这些电脑追回来。
Absolute这款软件名为Computrace。
安装过Computrace的电脑可以向位于不列颠哥伦比亚省温哥华的公司数据中心发出有规律的信号。这台电脑与互联网连接时会发出信号,这就提供了可以锁定电脑方位的重要信息,比如IP地址和序列号。一旦电脑被盗,Absolute会要求这台电脑每隔15分钟向数据中心发信号。而当这台电脑与互联网连接时,Absolute会立刻得到消息,并通知JC追回电脑并抓住窃贼。
在Absolute 96名员工中有一个小组专门和JC以及互联网服务提供商协作,负责追回电脑。Absolute首席执行长约翰•利文斯顿(John Livingston)表示,公司每星期追回的被盗电脑约有25台。
Absolute表示,最近被Fidelity Investments员工盗走的一台电脑很可能导致惠普公司(Hewlett-Packard Co.) 196,000名前任及现任员工的个人数据被泄漏,这台电脑恰恰没有安装Absolute的跟踪软件。而其他很多被盗电脑,即便被带到千里之外,也逃不过Absolute的跟踪。去年,一台被盗的笔记本被跟踪到伊拉克。一位美国军人在不知情的情况下将其买走。Absolute与其联系后,他爽快地答应将电脑原璧归赵。作为答谢,Absolute免费赠送了他一台。(Absolute称,这次是个例外,通常情况下公司不会以物换物。)
用户可以将Computrace安装在电脑的基础输入输出系统(basic input-output system, BIOS)内。BIOS是一种小型操作系统,控制电脑的键盘、显示器等诸多元件。将该系统移除极为困难,即便将主操作系统(例如Microsoft Windows)重新设置也很难办到。这种依存的原理将成为市场上最卓越的抗外力入侵技术。
截至去年12月31日,Absolute的用户达到55万,远高于1年前37万的水平。公司正力争在2007年6月30日前吸引用户100万。Absolute表示,公司还推出可以兼容MacIntosh电脑的版本,并将兼容微软即将推出的Vista操作系统。琴尼派克大学(Quinnipiac University)经营与项目管理系主任佛瑞德•塔卡(Fred Tarca)说,学校4年前就开始向学生出售配置Computrace的笔记本,之后该系统又有了升级版。
最初的版本能够准确地跟踪被盗电脑,塔卡说,但在恢复设备方面做得不够,人们在删除硬盘驱动器内容的同时会将软件破坏掉。于是,琴尼派克大学的笔记本供应商戴尔公司(Dell Inc.)从去年起开始在BIOS上安装Computrace。“不只是技术改善了,”塔卡说,“我们还能成功地恢复丢失和被盗的笔记本。”
Absolute首席财务长罗布•蔡斯(Rob Chase)说,戴尔以及其他很多原设备生产商就像发现了圣杯一样,纷纷在BIOS中装上了Computrace。很多年前公司就开始劝说原设备生产商这么做,但总是屡屡碰壁。去年,情况大为改观。2月份,联想集团(Lenovo Group Ltd.)率先在BIOS装上Computrace。8月份,Gateway Inc.紧随其后,接下来惠普和戴尔也如法炮制。
Absolute将从用户手中获取的合约费付一半给原设备生产商。消费者通常支付100美元享用3年的丢失寻回系统(LoJack for Laptops),这个名字经授权借鉴了一种广为人知的失窃汽车跟踪设备的名字。
企业为每台电脑的合约要支付129美元,期限也为3年。蔡斯说,虽然这笔钱对原设备生产商而言不痛不痒,然而随著电脑销售利润率的下降,原设备生产商不得不寻找新的高利润率的收入来源。
联想去年2月份宣布采用Computrace时,Absolute在加拿大上市的股票仅报0.65加元。目前该股上涨了近4倍,在多伦多交易所现报3.50加元左右。 过来学习的,暂时本机没发现 rpcnet.exe的疑惑没有了。
问题在于。还有一个rpcnetp.exe 和rpcnetp.dll也是屡杀不尽(后边多一个字母p)也是重装系统杀不掉的。中毒重装系统之后,我的其它盘都是右键打开。就是担心还有余孽
这个话题到目前还没有高手参与啊。:D
还有,rpcnet.exe好像也是在我刷破解1804的补丁之后出现的。以前似乎没发现。
烦躁
[ Edited bycyberin on 2008-12-23 01:59 ] 我是来支持楼主的 看来这个世界上我们不知道的事情很多啊 还真有这样能强力根植于bios内 不依赖于操作系统是否有软件支持的进程 扫描文件: "c:\program files\360safebox\safeboxtray.exe" /r
扫描文件: c:\program files\iparmor\iparmor.exe mini
扫描文件: c:\windows\system32\ctfmon.exe
扫描文件: "c:\program files\windows live\messenger\msnmsgr.exe" /background
扫描文件: c:\program files\ppstream\ppsap.exe
扫描文件: "c:\documents and settings\all users\application data\macrovision\flexnet connect\6\isuspm.exe" -scheduler
扫描文件: "c:\program files\bouygues telecom\kit internet mobile\kim.exe" /boot
扫描文件: c:\documents and settings\all users\「开始」菜单\程序\启动\desktop.ini
扫描启动项目完成
-------------------------------------------------------
扫描了 45个进程,
木马克星扫描结束.
-------------------------------------------------------
扫描文件:c:\windows\system32\ctfmon.exe
"c:\program files\windows live\messenger\msnmsgr.exe" /background
"c:\documents and settings\all users\application data\macrovision\flexnet connect\6\isuspm.exe" -scheduler
"c:\program files\bouygues telecom\kit internet mobile\kim.exe" /boot
扫描外壳扩展文件:C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\psqlpwd.dll
扫描外壳扩展文件:C:\WINDOWS\SYSTEM32\C:\Program Files\Lenovo\HOTKEY\notifyf2.dll
扫描外壳扩展文件:C:\WINDOWS\SYSTEM32\C:\Program Files\Lenovo\HOTKEY\tphklock.dll
扫描系统进程开始
扫描文件12313o3:C:\WINDOWS\SYSTEM32\RPCNET.EXEC:\WINDOWS\SYSTEM32\RPCNET.EXE 文件被捆绑可疑,请不要运行
此版本为免费版本,所有功能允许免费使用.
C:\WINDOWS\SYSTEM32\RPCNET.EXE重新启动电脑后完成清除
扫描文件12313o3:C:\PROGRAM FILES\SKYPE\PHONE\SKYPE.EXEC:\WINDOWS\SYSTEM32\RPCNET.EXE 文件被捆绑可疑,请不要运行
扫描文件1051u:D:\BUSI\ALIWANGWANG\ATL80.DLL文件大小:96256
扫描文件1051u:C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\PROGRAM\ATL71.DLL文件大小:89600
扫描文件1051u:C:\PROGRAM FILES\THUNDER NETWORK\THUNDER\PROGRAM\MSVCIRT.DLL文件大小:54784
扫描系统进程结束
-------------------------------------------------------
密码保护功能启动成功,所有密码都被动态伪装为iparmor.
一旦发现密码盗窃,木马克星将自动向您报警.
扫描系统驱动程序开始
发现无效的系统服务:C:\PROGRAM FILES\BOUYGUES TELECOM\KIT INTERNET MOBILE\DBLHOST.EXE注册表位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dblhost\ImagePath
发现无效的系统服务:C:\WINDOWS\SYSTEM32\DRIVERS\EWUSBMDM.SYS注册表位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwdatacard\ImagePath
C:\WINDOWS\SYSTEM32\DRIVERS\EWUSBMDM.SYS发现无效的系统服务system32\DRIVERS\ewusbmdm.sys
C:\PROGRAM FILES\COMMON FILES\INTEL\WIRELESSCOMMON\REGSRVC.EXE 发现非系统服务7a,低危险.
扫描可疑系统服务:C:\WINDOWS\SYSTEM32\RPCNET.EXE
发现无效的系统服务:C:\PROGRAM FILES\BOUYGUES TELECOM\KIT INTERNET MOBILE\RUS.EXE注册表位置HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RUS\ImagePath
C:\PROGRAM FILES\COMMON FILES\THINKVANTAGE FINGERPRINT SOFTWARE\DRIVERS\SMIHLP.SYS 发现非系统服务7a,低危险.
C:\PROGRAM FILES\COMMON FILES\LENOVO\TVT_REG_MONITOR_SVC.EXE 发现非系统服务7a,低危险.
C:\PROGRAM FILES\COMMON FILES\LENOVO\SCHEDULER\TVTSCHED.EXE 发现非系统服务7a,低危险.
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
扫描初始化服务:\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\gtapi.dll
系统服务没有发现木马.
-------------------------------------------------------
扫描浏览器插件:C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll2008-6-13
扫描浏览器插件:C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll2008-10-29
扫描浏览器插件:C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll2008-6-13
扫描浏览器插件:C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll2008-11-18
扫描浏览器插件:C:\Program Files\360safe\safemon\safemon.dll
浏览器插件扫描结束.如果浏览器插件超过100天没有更新,则可能存在网络漏洞!
系统外壳插件扫描结束.
扫描内存完成
木马克星版本号:木马克星 2009软件版本号 0110
------------------------------------------------------- 今天换木马克星扫描了一下。
MD,这个进程为什么要捆绑到SKYPE的进程上?
莫名其妙的 RPC中毒更名的问题,发现了三台机器,症状有很多的,userinit,ctfmon,rpcss.dl中毒文件名被更改,注册表被修改,登陆注销重启,网卡找不到,千万不要用360安全卫士清理,安全模式杀毒也没用,尽量使用WINPE系统进行杀毒,再使用360木马大全。
页:
[1]
2