中標了!Trojan.DL.Adload.cg瑞星說是特洛伊木馬
Q:
首先說一下,我對殺毒還是知道一點的,但是以前都是小毒,用HJ查到之後直接修復,或者實在不行找到文件在安全模式下刪除一般情況都解決了,但是沒有處理過這個所謂的的特洛伊病毒。
再說一下症狀,瑞星開機就檢測到Trojan.DL.Adload.cg,產生在C:\Documents and Settings\jookeel(jookeel是我的帳號),同時產生的還有個ww32壓縮文件,我都會選擇刪除,但是開機會重新產生;IE的主頁被修改無法更改了;打開我的電腦\工具\資料夾選項\顯示隱藏文件,沒有用了,我選擇了關閉之後再打開一看還是在(不顯示)的選項上。
昨天用HJ查了一下, 發現啟動項和04項有的比較可疑,而010項和020第一項肯定是病毒,由於用HJ直接修復沒有用,所以我找到010和020這兩個DLL文件,geebc.dll無法刪除,即使在安全模式下也不行,使用中;而wa_api60.dll在我刪除之後(刪都刪不乾淨,還有點殘片)居然無法上網了。
由於我用的是別人的電腦,所以弄的不能上網把我嚇了一大跳,幸好還有系統還原,還原之後勉強可以了,但是有點後遺症就是上大概1個小時左右吧IE就掛了,不是掉線因為QQ還可以用,只是以極慢的速度打開,和掉線沒有什麼不同,只能重新啟動才能用。雖然不是自己的電腦,但偶爾還會用用,最重要的是每天開機都看到這個病毒這麼囂張地張牙舞爪,是在太不爽了。下面貼出日誌,大俠給分析一下該怎麼治療,我把那個ww32壓縮文件也放上來大家分析一下。
Logfile of HijackThis v1.99.1
Scan saved at 18:46:28, on 2006-6-11
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Rising\Rav\RavService.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\update\updmangr.exe
C:\Program Files\Rising\Rav\RavTray.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Tencent\HJ\HijackThis.exe
R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\新增資料夾\xunlei\ComDlls\XunLeiBHO_001.dll
O2 - BHO: (no name) - {F2FA09FB-EE7A-46d8-9145-A1EEF7850052} - C:\WINDOWS\system32\geebc.dll
O3 - Toolbar: 電台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RavTray] "C:\Program Files\Rising\Rav\RavTray.exe"
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [mswap] rundll32.exe C:\WINDOWS\System32\mswap.dll,start
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下載 - D:\新增資料夾\xunlei\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下載全部鏈接 - D:\新增資料夾\xunlei\Program\GetAllUrl.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O16 - DPF: {C661F36D-DF85-4EF4-83C7-E107B83D04B1} (WebActivater Control) -
http://dl_dir.qq.com/3dshow/3DShowVM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2560C1-7DE6-4EAF-8DCA-96586073AACA}: NameServer = 211.94.65.97
O20 - Winlogon Notify: geebc - C:\WINDOWS\SYSTEM32\geebc.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: RavService - Unknown owner - C:\Program Files\Rising\Rav\RavService.exe" /service (file missing)
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe
描述:這個可是病毒啊,不懂的千萬別亂下
A:
修復
O2 - BHO: (no name) - {F2FA09FB-EE7A-46d8-9145-A1EEF7850052} - C:\WINDOWS\system32\geebc.dll
O4 - HKLM\..\Run: [mswap] rundll32.exe C:\WINDOWS\System32\mswap.dll,start
O20 - Winlogon Notify: geebc - C:\WINDOWS\SYSTEM32\geebc.dll
安全模式下刪除以上對應文件
第十項請使用lspfix修復
下載使用lspfix
http://www.cexx.org/lspfix.zip
離線網路,然後在上面小框打上鉤
把.dll從左邊移到右邊,然後點finish,重新啟動系統,刪除文件.dl
增加一些
修復
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe
O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe
刪除
C:\WINDOWS\update\updmangr.exe
並按照置頂中手動刪除灰鴿子的方法找到相關文件進行刪除
還有是否已經解決掉了C:\WINDOWS\SYSTEM32\geebc.dll
如果解決不掉請按照解決vundo解決
請下載VundoFix.exe到你的桌面
1、將VundoFix.exe下載至桌面,雙擊它,在桌面產生一個VundoFix資料夾
2、重新啟動電腦,進入安全模式;
3、進入安全模式後,雙擊VundoFix資料夾中的KillVundo.bat,將會看到如下這段警告 :
QUOTE:
VundoFix V2.13 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue...
4、按Enter鍵,然後將會看到:
QUOTE:
Type in the filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.
5.鍵入C:\WINDOWS\SYSTEM32\geebc.dll
然後依次按Enter鍵,F6鍵,Enter鍵,將會顯示如下的內容:
QUOTE:
Please type in the second filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.
鍵入下面的內容:C:\WINDOWS\SYSTEM32\geebc.*(文件名字母排列順序與上面的那個文件相反)
然後依次按Enter鍵,F6鍵,Enter鍵。
6、使用HijackThis修復:
O2 - BHO: (no name) - {F2FA09FB-EE7A-46d8-9145-A1EEF7850052} - C:\WINDOWS\system32\geebc.dll
O20 - Winlogon Notify: geebc - C:\WINDOWS\SYSTEM32\geebc.dll
7、修復完成後,關閉HijackThis視窗並按任意鍵重新啟動電腦。有可能出現藍底白字畫面死機的情況,不用擔心,那是正常的;
然後下載並安裝CleanUp!
打開CleanUp!
按照以下設置:
點擊 "Options..."按照此圖設置
設定完畢,回到主界面按下「CleanUp! 」按鈕
完成上述步驟後,使用HijackThis重新掃瞄以判斷問題是否解決。