none
windows 7 Ultimate,杀毒软件经常提示c\users\name\appdata\Local\temp antivirus RRS feed

  • 问题

  • 前几天在网上下载了一个网络软件,最近经常出现c\users\user name\appdata\Local\temp  antivirus, 然后重启在安全模式下也删不掉,并且每次提示的文件名不一样,请问是否是中毒啦,该怎么清楚.

     

    The antivirus event as below

    Scan type: Auto-Protect Scan
    Event: Risk Found!
    Security risk detected: Trojan.Gen
    File: C:\Users\user name\AppData\Local\Temp\DWH28.tmp
    Location: C:\Users\user name\AppData\Local\Temp
    Computer:summer User: user name
    Action taken: Pending Side Effects Analysis : Access denied
    Date found: 2011年7月11日  10:20:42

     

    2011年7月11日 2:32

答案

全部回复

  • 是个木马病毒,杀毒软件检测到的可能只是木马生成的马甲,具体藏在什么地方需要进行全盘扫描。
     
    --
    Alexis Zhang
     
    http://mvp.support.microsoft.com/profile/jie
    http://blogs.itecn.net/blogs/alexis
     
    推荐以 NNTP Bridge 桥接新闻组方式访问论坛以获取最佳用户体验。
     
    本帖是回复帖,原帖作者是楼上的 "Leon Mong"
     
    前几天在网上下载了一个网络软件,最近经常出现c\users\user name\appdata\Local\temp antivirus, 然后重启在安全模式下也删不掉,并且每次提示的文件?灰谎?请问是否是中毒啦,该怎么清楚.
     
    2011年7月11日 22:35
  • 如果希望手動查毒, 那麼你可以嘗試通過 handle 查看那個臨時文件是被什麼進程所有(也可通過 resmon, Process Explorer 進行).
    如果拒絕訪問, 那麼你可以嘗試通過 psexec 提權到 SYSTEM 賬戶再進行查看.
    如果查詢結果顯示是一個系統進程, 比如 svchost,
    那麼你可以通過 tasklist 或 Process Explorer 查看該進程運行哪些服務和有哪些模塊,
    然後通過 sc, msconfig, services.msc 或 Autoruns 禁用該服務, 並嘗試通過 handle 強行關閉那個臨時文件.
    同時也建議你通過 Autoruns 查看啟動有無其他可疑項目, 比如隨系統自動啟動的程序.

    Handle v3.46
    http://technet.microsoft.com/en-us/sysinternals/bb896655

    PsExec v1.98
    http://technet.microsoft.com/en-us/sysinternals/bb897553

    Process Explorer v14.12
    http://technet.microsoft.com/en-us/sysinternals/bb896653

    Autoruns for Windows v10.07
    http://technet.microsoft.com/en-us/sysinternals/bb963902


    Folding@Home
    • 已标记为答案 Leon Mong 2011年7月12日 9:23
    2011年7月12日 4:30
  • 你好,

    我比较同意张兄的说法,建议你启动到安全模式下,并执行一个全盘扫描来查杀病毒。

    如何启动到安全模式,请参考以下:

    http://windows.microsoft.com/zh-cn/windows7/Start-your-computer-in-safe-mode


    Please mark as "answer" if the problem have been solved, to help more friends find the solution.
    Best Regards, Microsoft MVP, Rein Xu
    https://mvp.support.microsoft.com/profile/Rein
    2011年7月12日 8:56
    版主
  • Process PID CPU Description Company Name
    System Idle Process 0 51.99  
    System 4 0.89  
     Interrupts n/a 0.89 Hardware Interrupts and DPCs 
     smss.exe 280  Windows Session Manager Microsoft Corporation
    csrss.exe 392 < 0.01 Client Server Runtime Process Microsoft Corporation
    wininit.exe 452  Windows Start-Up Application Microsoft Corporation
     services.exe 560 0.05 Services and Controller app Microsoft Corporation
      svchost.exe 688  Host Process for Windows Services Microsoft Corporation
       ProtectionUtilSurrogate.exe 384 0.49 Symantec AntiVirus Symantec Corporation
       igfxsrvc.exe 2944  igfxsrvc Module Intel Corporation
       wlcomm.exe 2196 0.01 Windows Live Communications Platform Microsoft Corporation
       SavUI.exe 4536  Symantec AntiVirus Symantec Corporation
       WmiPrvSE.exe 5732  WMI Provider Host Microsoft Corporation
       dllhost.exe 4456  COM Surrogate Microsoft Corporation
      svchost.exe 768 0.08 Host Process for Windows Services Microsoft Corporation
      svchost.exe 840  Host Process for Windows Services Microsoft Corporation
       audiodg.exe 4060  Windows Audio Device Graph Isolation  Microsoft Corporation
      svchost.exe 908 0.31 Host Process for Windows Services Microsoft Corporation
       WUDFHost.exe 1072  Windows Driver Foundation - User-mode Driver Framework Host Process Microsoft Corporation
       WUDFHost.exe 2480  Windows Driver Foundation - User-mode Driver Framework Host Process Microsoft Corporation
       dwm.exe 2668  Desktop Window Manager Microsoft Corporation
      svchost.exe 964 < 0.01 Host Process for Windows Services Microsoft Corporation
      svchost.exe 880  Host Process for Windows Services Microsoft Corporation
      Smc.exe 1120 0.83 Symantec CMC Smc Symantec Corporation
       SmcGui.exe 2916 0.16 Symantec CMC SmcGui Symantec Corporation
      ZhuDongFangYu.exe 1156 0.01 360主动防御服务模块 360.cn
      svchost.exe 1192 0.02 Host Process for Windows Services Microsoft Corporation
      ccSvcHst.exe 1296 0.05 Symantec Service Framework Symantec Corporation
      spoolsv.exe 1484 < 0.01 Spooler SubSystem App Microsoft Corporation
      svchost.exe 1516  Host Process for Windows Services Microsoft Corporation
      svchost.exe 1588  Host Process for Windows Services Microsoft Corporation
      AppleMobileDeviceService.exe 1804 < 0.01 MobileDeviceService Apple Inc.
      mDNSResponder.exe 1840  Bonjour Service Apple Inc.
      HZ_CommSrv.exe 1896  华大智宝USB KEY通讯服务 华大智宝电子系统有限公司
      IcbcDaemon.exe 1944 < 0.01  
      svchost.exe 2004  Host Process for Windows Services Microsoft Corporation
      svchost.exe 404  Host Process for Windows Services Microsoft Corporation
      svchost.exe 1228  Host Process for Windows Services Microsoft Corporation
      WDKeyMonitorCCB.exe 900 < 0.01 建行网银盾服务程序v3.2  Beijing WatchData System Co., Ltd.
      svchost.exe 2036  Host Process for Windows Services Microsoft Corporation
      svchost.exe 2352  Host Process for Windows Services Microsoft Corporation
      taskhost.exe 3020 0.01 Host Process for Windows Tasks Microsoft Corporation
      svchost.exe 636 0.01 Host Process for Windows Services Microsoft Corporation
      SearchIndexer.exe 1628 < 0.01 Microsoft Windows Search Indexer Microsoft Corporation
       SearchProtocolHost.exe 420 < 0.01 Microsoft Windows Search Protocol Host Microsoft Corporation
       SearchFilterHost.exe 3692  Microsoft Windows Search Filter Host Microsoft Corporation
      OSPPSVC.EXE 4792  Microsoft Office Software Protection Platform Service Microsoft Corporation
      Rtvscan.exe 3132 0.02 Symantec AntiVirus Symantec Corporation
     lsass.exe 568 0.01 Local Security Authority Process Microsoft Corporation
     lsm.exe 576 0.02 Local Session Manager Service Microsoft Corporation
    csrss.exe 464 1.04 Client Server Runtime Process Microsoft Corporation
     conhost.exe 4356 < 0.01 Console Window Host Microsoft Corporation
    winlogon.exe 508  Windows Logon Application Microsoft Corporation
    explorer.exe 2736 0.58 Windows Explorer Microsoft Corporation
     msnmsgr.exe 1860 0.01 Windows Live Messenger Microsoft Corporation
     AliIM.exe 2476 0.06 AliWangWang Alibaba software (Shanghai) Corporation.
     Foxmail.exe 2940 0.42 Internet Mail Client Tencent Inc.
     SnagIt32.exe 2368  SnagIt 8 TechSmith Corporation
      TscHelp.exe 4092  TechSmith HTML Help Helper TechSmith Corporation
      SnagPriv.exe 3292  SnagIt RPC Helper TechSmith Corporation
     OUTLOOK.EXE 716 0.40 Microsoft Outlook Microsoft Corporation
     pcsws.exe 296 0.01 PCSWS.EXE IBM Corporation
      pcscm.exe 5104 0.03 PCSCM.EXE IBM Corporation
     iexplore.exe 4836 0.02 Internet Explorer Microsoft Corporation
      iexplore.exe 3724 0.19 Internet Explorer Microsoft Corporation
      iexplore.exe 5088 0.07 Internet Explorer Microsoft Corporation
      iexplore.exe 5584 10.26 Internet Explorer Microsoft Corporation
      iexplore.exe 6092 0.31 Internet Explorer Microsoft Corporation
    ccApp.exe 3168  Symantec User Session Symantec Corporation
    360Tray.exe 3176 0.24 360安全卫士 木马防火墙模块 360.cn
     360Safe.exe 3080 0.53 360安全卫士 主程序 360.cn
      CleanHelper64.exe 1832  360安全卫士 垃圾清理辅助模块 360.cn
      DSMain.exe 1792 0.20 360安全卫士 程序加载模块 360.cn
    procexp.exe 6056  Sysinternals Process Explorer Sysinternals - www.sysinternals.com
     procexp64.exe 6080 29.74 Sysinternals Process Explorer Sysinternals - www.sysinternals.com
    splwow64.exe 3800  Print driver host for 32bit applications Microsoft Corporation
    Leon Mong
    • 已建议为答案 Sam2015 2013年8月8日 9:01
    2011年7月14日 2:12
  • 好像没什么可疑进程,现在还会提示^
    Leon Mong
    2011年7月14日 2:13
  • 這裡再提供一個方法, 這個方法假設系統關機後, 那個被懷疑為惡意代碼的 TMP 文件還在, 那麼你可以通過系統自帶的修復環境或其他 Windows PE 環境將那個文件拷貝出來, 然後上傳到在線掃描網站, 比如:

    http://virscan.org

    看通過多個防病毒引擎掃描的結果是否被檢驗為惡意代碼. 如果是, 那麼你可以對其返回的惡意代碼名稱進行搜尋, 看是否存在專殺工具, 或其他解決方案.


    Folding@Home
    2011年7月14日 4:13
  • 问题似乎解决啦,这次启动没再提示,观察一段时间看是否还会出现此问题,结果是在任伤计划里面多了一条\Microsoft\windows\NeTrace\GatherNetwrokinfo, C:\windows\system32\gathernetworkinfo.vbs,在任务计划里面移除这个选项,暂时正常,没再提示有病毒.请问C:\windows\system32\gathernetworkinfo.vbs可以直接删除吗?


    Leon Mong
    2011年7月14日 7:59
  • 不, 那個 VBS 腳本文件是系統文件.
    你可以先檢查一下這該任務計劃操作一共執行了幾個程序, 默認是只有那個 VBS 腳本.
    另外也建議從其他運行正常的 Windows 7 系統複製該文件, 然後同你這個文件進行比對, 看是否存在有惡意代碼修改過文件的情況.
    Folding@Home
    2011年7月14日 8:20
  • 问题依旧,暂时只有一台windwos 7的系统,能否提供一个文件,对比一下系统windows 7 Ultimate
    Leon Mong
    2011年7月20日 9:53
  • 你可以通過 7-zip 等壓縮軟件從 Windows 7 安裝文件 install.wim 提取出 gathernetworkinfo.vbs, 然後進行比較.

    7-zip 下載地址:

    http://www.7-zip.org/

     


    Folding@Home
    2011年7月20日 11:50
  • 我查了一下,似乎windows 7 Ultimate的安装文件中没有这个文件
    Leon Mong
    2011年7月21日 4:02
  • 腳本文件 gathernetworkinfo.vbs 位於 ISO 映像 \sources\install.wim\1\Windows\System32 內


    Folding@Home
    2011年7月21日 12:24
  • 对比完了,一模一样^一字不差
    Leon Mong
    2011年7月22日 3:46
  • 對於這個情況我覺得有三種可能,
    一, 就是之前說的, 那個任務計劃新增了一個操作項. 如果那個計劃任務沒有刪除的話, 你可以查看確認.
    二, vbs 的文件關聯被動過手腳. 你可以檢查一下註冊表項 HKCR\VBSFile
    三, 或者 WScript.exe 被映像劫持了. 你可以檢查一下註冊表項

    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options"

    是否存在子項

    WScript.exe

    如果有, 是否存在 Debugger 值.


    Folding@Home

     


    2011年7月22日 7:33
  • 1、该计划任务删除,在Autoruns工具里的Scheduled Tasks中已经看不到\Microsoft\windows\NeTrace\GatherNetwrokinfo, C:\windows\system32\gathernetworkinfo.vbs任务啦,另外有还有三个计划任务,前面都没打沟,应该不会有影响  第一个是\Microsoft\Windows live\soxe\extractor definitions update task,第二个是Sidebarexecute, Windows Desktop Gadgets,第三个是Skype,\(96B8382d-3ecf-4eoe-bbbd-d4a7519729d7)

    2、VBEFile里面只有一个了项, FriendlyType Name,它的值是@%SystemRoot%\System32\wshext.dll,-4803

    3、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options不存在子项

     

    如果有条件看能否远程看一下具体情况。


    Leon Mong
    2011年7月22日 8:02
  • 最后只有重装系统这个巨大的工程啦,查不到问题所在,不知道是装了SP1的原因,还是病毒的原因,系统也越来越慢,只有此选择啦^最后还是谢谢各位的答疑……
    Leon Mong
    2011年7月25日 2:19
  • 太可怕了!! 360*  < 前身是誰都知道的頭號難纏綁架ie 首頁 的"3721"

                            還有那個以"系統服務"運行叫什麼"主動防邱"的,其實它只為自己服務才真

    2013年8月8日 9:07