史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2004-10-23, 06:01 AM  
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 資訊 - 首頁綁架者剋星HijackThis 日誌分析!!!

許多不熟悉瀏覽器綁架的人發表文章,詢問如何通過份析HijackThis的日誌來獲得說明 ,因為他們不理解哪些內容是無害的,而哪些內容是有害的。

本文是一個關於日誌含義的基本指南,並包含一些有助於獨立閱讀本文的提示。


本文決不能替代在請求說明 的解答,而只是在某種程度上說明 您自己理解日誌的含義。

已做好的Word文件我已已壓縮成RAR文件上傳,在附件中,直接下載就ok了。



HijackThis 日誌分析
——如何識別有害訊息

________________________________________
概述
HijcakThis日誌中的每一行以一個分類名稱開始。


(要檢視這一主旨的技術訊息,按下主視窗中的「Info」按鈕,並向下滾動視窗,突出顯示某一行並按下「More info on this item」按鈕即可。)

要檢視實用訊息,按下需要獲得說明 的分類名稱:

• R0, R1, R2, R3 – IE起始頁/搜尋頁 URL
• F0, F1 – 自動載入程序
• N1, N2, N3, N4 – Netscape/Mozilla 起始頁/搜尋頁 URL
• O1 – 主機文件重轉發IP
• O2 – 瀏覽器輔助對像
• O3 – IE工作列
• O4 – 從註冊表自動載入程序
• O5 – 使IE選項的圖示在控制台中不可見
• O6 –由管理員限制的對IE選項的訪問
• O7 –由管理員限制的對註冊表編輯器的訪問
• O8 – IE右鍵表單中的額外項
• O9 – 主IE按鈕工作列上的額外按鈕,或IE「工具」表單中的額外項
• O10 – Winsock綁架程序
• O11 – IE「進階選項」視窗中的額外組
• O12 – IE插件
• O13 – IE DefaultPrefix綁架
• O14 – 「重置Web設定」綁架
• O15 – 受信任區域中的有害站點
• O16 – ActiveX對像(aka 下載的程式文件)
• O17 – Lop.com域綁架程序
• O18 – 額外傳輸協定和傳輸協定綁架程序
• O19 – 用戶樣式表綁架
R0、R1、R2、R3-IE起始頁和搜尋頁

症狀:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
R3 –Default URLSearchHook is missing

治療方案:


如果結尾的URL是您的主頁或搜尋引擎,那就不用管它。如果您不認可,請檢查一下並用HijcakThis修復。

對於R3項,始終修復它們,直到它提及一個您認可的程序為止,比如Copernic。
________________________________________
F0、F1-自動載入程序

症狀:

F0 - system.ini: Shell=Explorer.exe Openme.exe
F1 - win.ini: run=hpfsched

治療方案:

F0項始終是有害的,因此要修復它們。

F1項通常是存在很長時間的安全程序,因此您應該根據其檔案名搜尋與該檔案有關的更多訊息,以確定它是無害的還是有害的。

________________________________________
N1、N2、N3、N4-Netscape/Mozilla起始頁和搜尋頁


症狀:

N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

治療方案:


通常情況下,Netacape和Mozilla的主頁及搜尋頁是安全的。


它們極少被綁架。主頁和搜尋頁的URL不是您認可的,請用HilackThis修復它。

________________________________________
O1-主機文件重轉發IP

症狀:

O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch

治療方案:


這種綁架將通向正確IP位址的位址重轉發IP到錯誤的IP位址。如果IP不屬於該位址,那麼在您每次按鍵輸入該位址時,您將被重轉發IP到一個錯誤的站點。

始終用HilackThis修復它們,除非您故意將這些行放到主機文件中。

________________________________________
O2-瀏覽器輔助對像

症狀:

O2 - BHO: Yahoo! Companion BHO - {13F537F0-AF09-11d6-9029-0002B31F9E59} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O2 - BHO: (no name) - {1A214F62-47A7-4CA3-9D00-95A3965A8B4A} - C:\PROGRAM FILES\POPUP ELIMINATOR\AUTODISPLAY401.DLL (file missing)
O2 - BHO: MediaLoads Enhanced - {85A702BA-EA8F-4B83-AA07-07A5186ACD7E} - C:\PROGRAM FILES\MEDIALOADS ENHANCED\ME1.DLL

治療方案:

如果您無法直接識別某個瀏覽器輔助對象的名稱,可以使用TonyK的 BHO 列表 通過類ID(CLSID,位於大括號中的編號)進行搜尋,以確定它是無害的還是有害的。

在BHO列表中,『X』代表偵探軟體,『L』代表安全。

________________________________________
O3-IE工作列


症狀:

O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRAM FILES\YAHOO!\COMPANION\YCOMP5_0_2_4.DLL
O3 - Toolbar: Popup Eliminator - {86BCA93E-457B-4054-AFB0-E428DA1563E1} - C:\PROGRAM FILES\POPUP ELIMINATOR\PETOOLBAR401.DLL (file missing)
O3 - Toolbar: rzillcgthjx - {5996aaf3-5c08-44a9-ac12-1843fd03df0a} - C:\WINDOWS\APPLICATION DATA\CKSTPRLLNQUL.DLL

治療方案:

如果您不能直接識別工作列的名稱,可以使用TonyK的 工作列列表 通過類ID(CLSID,位於大括號中的編號)進行搜尋,以確定它是無害的還是有害的。

在工作列列表中,『X』代表偵探軟體,『L』代表安全。

如果它不在列表中,而且其名稱似乎是一個隨機的字元串,並且該檔案位於一個名為『Application Data』的資料夾中的某處(比如上述例子中的最後一個),那麼它肯定是有害的,應該用HilackThis修復它。

________________________________________
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-02-12, 05:13 AM   #16 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

1.99.1版新加入的O20 此回覆內容原創

O20除了能檢測AppInit_DLLs之外,在1.99.1版還新加入了WINLOGON NOTIFY註冊表鍵值的檢測。

1. 項目說明:
此註冊表鍵能在系統啟始時將DLL文件載入到記憶體中,並且讓該DLL載入於記憶體中直到關機。除了WINDOWS系統自身的幾個元件外,一些如VX2,ABETTERINTERNET和LOOK2ME等惡意程序也會使用此鍵值。

2. 舉例:O20 - Winlogon Notify: WB - K:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll 此為STARDOCK公司出品的WINDOWBLINDS系統主題取代軟體的正常載入DLL

3. 一般建議:已知如VX2,ABETTERINTERNET和LOOK2ME等惡意程序會修改此註冊表值使用自身的DLL,一般用戶如果見到不熟悉的DLL,請小心處理。已知WINDOWBLINDS和新版的INTEL板載顯示卡驅動會使用此鍵值(文件為IGFXSRVC.DLL),INTEL無線網路卡程序(LgNotify.dll)。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-02-20, 01:34 PM   #17 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

新手學看hijackthis日誌--高手勿進

hijackthis是一款很方便的分析工具,大部分瀏覽器被劫持時都可以通過hijackthis進行分析修復

風之詠者曾經寫過HijackThis日誌細解,對日誌中的項目作了詳細的分析,我自己也從中受益匪淺!

但是有很多朋友在自己學習分析的程序中,很多項目拿不準是否應該修復,害怕誤移除一些正常的文件……

在這裡,我對如何分析日誌談一下自己的一些心得體會

HijackThis掃瞄的是註冊表項和硬碟上的特定文件,對於某一個項目是否正常,最主要的一點是我們要看它對應的是正常的程式文件還是惡意木馬……

比如:

O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll

在這一項中,最後面的C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll就是這個ie模組對應的文件,從對應文件目錄或者檔案名上我們可以分辨這個模組到底是幹什麼用的————NetTransport是下載工具「影音傳送帶」,再看檔案名:NT IE HELPER 那麼我們就可以初步判斷這一項應該是影音傳送帶在IE中的一個說明 模組

O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\TENCENT\QQ\QQIEHelper.dll
很明顯可以看出這是是騰訊QQ的一個插件

而對於自己不熟悉的文件,可以利用google或百度搜尋一下,看看網上提供的搜尋結果,以此來判斷該檔案是否是正常的程序

比如
O2 - BHO: IEMoni Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
我們通過google搜尋SBHOPlin.dll這個文件 從搜尋結果中可以得知這是天網防火牆IE插件


下面,我對一些一般的正常項目做一些列舉,對需要注意的目錄或文件用藍色標出(一眼能看出來的就不一一寫出了)

R3 - URLSearchHook: MyURLSearchHook Class - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - C:\Program Files\P4P\ToolBar.dll
搜狗直通車


O2 - BHO: SohuDAIEHelper - {0CA51D02-7739-43EA-8D9A-1E8AD4327B03} - C:\Program Files\P4P\sodaie.dll
搜狗直通車

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
網路實名

O2 - BHO: IEMoni Class - {F236CC5A-F6E4-4011-9EED-C52FDF51CE3D} - C:\WINDOWS\system32\SBHOPlin.dll
天網防火牆IE模組

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
Adobe Acrobat Reader

O2 - BHO: (no name) - {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - C:\WINDOWS\DOWNLO~1\BDSRHOOK.DLL
百度搜尋

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
迅雷的IE模組

O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRAM FILES\CNNIC\CDN\WMHLPR.DLL
中文上網

O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
雅虎助手的IE模組

O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\Program Files\TENCENT\AddrPlus\IEHelp1.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\tencent\QQ\QQIEHelper.dll
騰訊QQ的模組

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
Google搜尋IE模組

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
網際快車IE模組


O3 - Toolbar: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - C:\Program Files\BitComet\BitCometBar\BitCometBar0.2.dll
BT下載BitComet工具條
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
網際快車工具條
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
Google工具條
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-02-20, 01:35 PM   #18 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

以下列出的04項雖然都是正常、無害的項目,但並不一定是必須的,可以根據自己的需求來決定是否保留

O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
後台工作,用於顯示日期和時間訊息

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
微軟日語輸入法

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
微軟智能輸入法2002A(動態)

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
微軟智能輸入法2002A(名稱)

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
Microsoft Office套裝的一部分。用於多語言支持。

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
微軟拼音輸入法

O4 - 啟動項HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
微軟IME輸入法的元件

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
音效卡管理最佳化軟體

O4 - HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
主機板內裝音效卡的驅動

O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\Smtray.exe
關於adi晶片的音效卡相關工作,會在系統工作列新增圖示

O4 - HKLM\\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
電源管理組態

O4 - HKLM\\Run: [HotKeysCmds] C:\WINDOWS\SYSTEM32\hkcmd.exe
intel顯示卡相關程序,用於組態和診斷相關設備

O4 - HKLM\..\Run: [RavTimer] C:\Program Files\RISING\RAV\RAVTIMER.EXE
瑞星定時查殺程序

O4 - HKLM\..\Run: [RavMon] C:\Program Files\RISING\RAV\RAVMON.EXE -SYSTEM
瑞星既時病毒監控

O4 - HKLM\..\Run: [RfwMain] C:\Program Files\Rising\Rfw\rfwmain.exe
瑞星防火牆

O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\Firewall\pfw.exe
天網防火牆

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
卡巴斯基既時監控

O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\Program Files\Super Rabbit\MagicSet\srrest.exe /autosave
超級兔子

O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
超級兔子

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
RealPlayer的版本更新程序

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Windows內核檢查程序

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -u
Windows錯誤報告程序

O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
上網助手

O4 - HKLM\..\RunOnce: [CnsHook.dll] regsvr32 /s C:\WINDOWS\DOWNLO~1\CnsHook.dll
O4 - HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll3
網路實名

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
NVIDIA系列顯示卡的調節工具

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
NVIDIA系列顯示卡的控制台

O4 - HKLM\\Run: [ATIModeChange] Ati2mdxx.exe
ATI 顯示卡2D模式功能模組

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
提供語音識別、手寫識別、鍵盤、翻譯和其它用戶輸入技術的支持

O4 - HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
internetexplorer相關程序,用於同步離線網頁

O4 - HKLM\\Run: [ExFilter] ; Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo
中文域名

O4 - HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
雅虎助手

O4 - HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
中文上網

O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
攝像頭驅動

O4 - HKLM\..\Run: [AddrPlus3] C:\PROGRA~1\TENCENT\AddrPlus\Runner.exe C:\PROGRA~1\TENCENT\AddrPlus\QAHook1.dll Rundll32
QQ小助手的插件

O4 - 啟動項HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\Rundll32.exe NMGAMEX.DLL,LiveProcess /aa
新浪遊戲程序

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
Office 啟動助手
05、06、07項,一般來說正常的日誌中是不會有的,如果出現的話,直接修復即可(除非是您自己設定)


O8項指IE的右鍵功能表中的新增項目。大多數為中文顯示,一般來說不用修復也問題不大。


O9項是指額外新增的單個工作列按鈕和IE「工具」功能表項目。大多數為中文顯示,一般來說即使不修復問題也不大。如果要去除的話,建議先從IE的自訂工作列中移除,然後再進去行修復

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
IE工作列上的「顯示相關站點」按鈕

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
IE「工具」功能表中的「顯示相關站點」項。

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
工作列上的Messenger按鈕

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
IE「工具」功能表中的「Windows Messenger」項



O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwsp.dll
江民KV2005殺毒軟體的Winsock水準監控文件

O10 - Unknown file in Winsock LSP: C:\WINDOWS\System32\TcpIpDog0.dll
網路訊息過濾器dr.com 寬瀕客戶端的相關文件

如果出現010項,不論是否正常,都建議不要草率修復(而且hijackthis無法修復此項,並可能會引起無法上網)


O11 - Options group: [!CNS] 網路實名
IE的進階選項中中的網路實名

O11 - Options group: [!IESearch] !IESearch
IE的進階選項中中的百度搜尋


O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
Acrobat軟體的IE插件

O12 - Plugin for .PDF: C:\Program Files\Internet Explorer\PLUGINS\nppdf32.dll
Acrobat軟體的IE插件


013項,一般來說,只要存在就意味著出現問題——修復


O14 - IERESET.INF: START_PAGE_URL=(此處的網址如果是你熟悉的,則是安全的)


016項主要根據後面對應的網址判斷

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://202.206.208.50/swflash.cab
FLASH動畫插件

O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
瑞星在線查毒

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/03916bcf...dxIE601_cn.cab
realplay的ActiveX對像

O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perb...feControls.cab
工商銀行網上個人銀行的ActiveX對像

O16 - DPF: {BC207F7D-3E63-4ACA-99B5-FB5F8428200C} - http://bar.baidu.com/update/IESearch.cab
百度搜尋

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
MSN插件

O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
招商銀行插件


O17 - HKLM\System\CCS\Services\Tcpip\..\{A0F3049B-56EC-4B0B-8E1D-39BF8A8ADCF2}: NameServer = xxx.xxx.xxx.xxx
可以利用網上提供的ip位址查詢,看看本項後面的ip和您是否一個地區,如果是,則是安全的


018項大都出現於二次掃瞄時,這是hj的一個小bug,可放心,但如果初次掃瞄就出現。就要小心了


O20 - AppInit_DLLs: apihookdll.dll
木馬剋星的鉤子

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
INTEL板載顯示卡驅動

O20 - AppInit_DLLs: LgNotify.dll
INTEL無線網路卡程序

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
Norton殺毒軟體的模組


023項是軟體載入的服務,hijackthis對此項的修復效果不好,我們可以通過手動來禁止服務項的載入

開始→控制台→效能和維護→系統管理工具→服務→搜尋「服務名」→右擊→內容→啟動檔案類型→禁止→套用→停止→確定。

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
ati顯示卡增強工具,用於管理ati hotkey特性

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
ati顯示卡驅動的相關工作

O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - h:\program files\rising\rfw\rfwsrv.exe
瑞星防火牆

O23 - Service: Rising Process Communication Center (RsCCenter) - rising - H:\RISING\RAV\CCENTER.EXE
瑞星訊息中心

O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - H:\RISING\RAV\Ravmond.exe
瑞星既時病毒監控

O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
gearcd/dvd燒錄軟體

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
apple的itunes軟體p2p點對點下載工具

O23 - Service: kavsvc - Kaspersky Lab - d:\Kaspersky Anti-Virus Personal\kavsvc.exe
卡巴斯基殺毒軟體

O23 - NT 服務: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
nvidia顯示卡相關程序

O23 - NT 服務: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
macrovision safecast反覆制保護軟體。該工作是一些軟體為了保護其產品不被盜版而安裝的

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
securom 7光碟盾(遊戲裡帶有的保護)

O23 - Service: P4P Service - Sohu.com Inc. - C:\Program Files\P4P\p2psvr.exe
搜狗搜尋

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
安裝程序製作軟體installshield的程序。

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
analog devices音效卡驅動程式。


倉促之間,一定有不少遺漏,暫時先列這麼多,以後再慢慢增加,以歡迎其他朋友補充……

對於筆記型電腦,會原有的不少管理最佳化軟體,項目會更多一些……
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-03-15, 03:24 AM   #19 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

關於HijackThis日誌發現灰鴿子的處理方法
鴿子變種很多,查殺方法各異。本帖只適用於下述情形:

(1)殺毒軟體報告灰鴿子但殺不淨;且(2)HijackThis日誌中發現異常O23項(如:O23 - Service: svchost (Windows Access) - Unknown owner - C:\WINDOWS\windr.exe);且(3)灰鴿子的文件在%windows% 目錄下。

這類灰鴿子的手動式查殺流程:

1、開啟註冊表編輯器,展開:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services。移除灰鴿子的服務項。
怎麼驗證灰鴿子服務項的名字?看HijackThis日誌O23的提示。如:O23 - Service: svchost (Windows Access),括弧中的Windows Access就是你要移除的灰鴿子服務項。
如果HijackThis日誌O23的提示中沒有括弧中的內容,緊接在Service:後面的內容就是灰鴿子的服務名——刪!
有人可能會問:這是不是笨了點兒?在HijackThis面板中直接點擊這個O23,再點擊「修復」不就完了嗎?
是的。我也知道有此一法。但這種方法並不能保證你總能修復掉這個異常的O23。最後,還是要用註冊表編輯器移除它。
2、重啟系統。為什麼要重啟? 因為這類鴿子沒有註冊表監控。移除其服務項後,重啟系統,鴿子就不能執行了。這時,鴿子的文件可以隨便刪。

3、顯示隱藏文件,移除鴿子的文件。
這類鴿子的文件都在%windows% 目錄下。%windows%是什麼意思?%windows%是個變數符號,表示「WINDOWS」目錄。因為每個人的系統不一定都安裝在相同的分區,因此,只能這麼表示。如果你的系統安裝在C碟,%windows%指的是C:\WINDOWS;如果你的系統安裝在D碟,%windows%指D:\WINDOWS,依此類推。

怎麼驗證鴿子的檔案名?還是看HijackThis日誌。Unknown owner - 後面的內容就是鴿子文件的所在位置及其檔案名。本例是C:\WINDOWS\windr.exe)。

注意:除了可執行文件.exe外(本例是windr.exe),%WINDOWS%下可能還有包含可執行檔案名的.dll文件(以本例為例,這些dll的檔案名可能有windr.dll、windr_hook.dll、windrKey.dll),這些文件數目不定。只要有,也要移除。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-01, 06:08 AM   #20 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

有關369.com的小分析和清除

近日見到有不少的會員,都被369.com綁架了首頁,問題應該就是出自這幾個文件
%SystemRoot%\system32\Serveremail.exe
%SystemRoot%\system32\msxml4r.exe
%SystemRoot%\system32\wServer.exe
%SystemRoot%\System32\exp1orer.exe

Preliminary analysis
==================
Serveremail.exe 是一個Trojan Downloader
下載
http://www.jfg[REMOVED].net/info/softverfile.txt
http://[REMOVED].1mms.net/16.exe

Serveremail.exe會讀取softverfile.txt中的網址,下載另一些文件
16.exe是一個NSIS Installer,入面有wServer.exe,b16.exe(msxml4r.exe),101228.exe,198897.exe(很棒小秘書)

wServer.exe會下載安裝YAHOO助手

b16.exe(msxml4r.exe),StartPage Trojan,會修改你的首頁

101228.exe,不明LJ軟件

198897.exe,很棒小秘書的釋放安裝程式


Removal Instructions
==================
1. 1. 下載 HijackThis 1.99.1,存到桌面後再解壓

2. 執行 hijackthis.exe ,按 Do a system scan and save a logfile

3. 在O4項,找出並選取含有Serveremail.exe,msxml4r.exe,wServer.exe,LoadEWXD的專案,按 Fix checked 修復
例子:
O4 - HKLM\..\Run: [LoadEWXD] C:\Windows\system32\msxml4r.exe
O4 - HKLM\..\Run: [LoadEWXD] C:\WINDOWS\System32\exp1orer.exe

4. 根據在HijackThis看到的文件位置,刪除相關文件
例子:
C:\Windows\system32\msxml4r.exe

5. 下載惡意軟件清理助手
http://www.tommsoft.com/Products.aspx?pid=2

6. 重新啟動電腦,按F8進入安全模式,使用惡意軟件清理助手,掃瞄 + 清除被裝上的LJ軟件

7. 再次重新啟動電腦,回到正常模式,修改你的首頁,看看你的首頁會不會再被改了~


Write-up by: Krazaf (tkabc)
Date: 21/5/2006
Update log:
-27/5 Add some new items that may be also related to 369.com
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-12, 12:17 AM   #21 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

中標了!Trojan.DL.Adload.cg瑞星說是特洛伊木馬


Q:
首先說一下,我對殺毒還是知道一點的,但是以前都是小毒,用HJ查到之後直接修復,或者實在不行找到文件在安全模式下刪除一般情況都解決了,但是沒有處理過這個所謂的的特洛伊病毒。
再說一下症狀,瑞星開機就檢測到Trojan.DL.Adload.cg,產生在C:\Documents and Settings\jookeel(jookeel是我的帳號),同時產生的還有個ww32壓縮文件,我都會選擇刪除,但是開機會重新產生;IE的主頁被修改無法更改了;打開我的電腦\工具\資料夾選項\顯示隱藏文件,沒有用了,我選擇了關閉之後再打開一看還是在(不顯示)的選項上。
昨天用HJ查了一下, 發現啟動項和04項有的比較可疑,而010項和020第一項肯定是病毒,由於用HJ直接修復沒有用,所以我找到010和020這兩個DLL文件,geebc.dll無法刪除,即使在安全模式下也不行,使用中;而wa_api60.dll在我刪除之後(刪都刪不乾淨,還有點殘片)居然無法上網了。
由於我用的是別人的電腦,所以弄的不能上網把我嚇了一大跳,幸好還有系統還原,還原之後勉強可以了,但是有點後遺症就是上大概1個小時左右吧IE就掛了,不是掉線因為QQ還可以用,只是以極慢的速度打開,和掉線沒有什麼不同,只能重新啟動才能用。雖然不是自己的電腦,但偶爾還會用用,最重要的是每天開機都看到這個病毒這麼囂張地張牙舞爪,是在太不爽了。下面貼出日誌,大俠給分析一下該怎麼治療,我把那個ww32壓縮文件也放上來大家分析一下。

Logfile of HijackThis v1.99.1
Scan saved at 18:46:28, on 2006-6-11
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Rising\Rav\RavService.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\update\updmangr.exe
C:\Program Files\Rising\Rav\RavTray.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Tencent\HJ\HijackThis.exe

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\新增資料夾\xunlei\ComDlls\XunLeiBHO_001.dll
O2 - BHO: (no name) - {F2FA09FB-EE7A-46d8-9145-A1EEF7850052} - C:\WINDOWS\system32\geebc.dll
O3 - Toolbar: 電台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RavTray] "C:\Program Files\Rising\Rav\RavTray.exe"
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [mswap] rundll32.exe C:\WINDOWS\System32\mswap.dll,start
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下載 - D:\新增資料夾\xunlei\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下載全部鏈接 - D:\新增資料夾\xunlei\Program\GetAllUrl.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wa_api60.dll
O16 - DPF: {C661F36D-DF85-4EF4-83C7-E107B83D04B1} (WebActivater Control) - http://dl_dir.qq.com/3dshow/3DShowVM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{ED2560C1-7DE6-4EAF-8DCA-96586073AACA}: NameServer = 211.94.65.97
O20 - Winlogon Notify: geebc - C:\WINDOWS\SYSTEM32\geebc.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: RavService - Unknown owner - C:\Program Files\Rising\Rav\RavService.exe" /service (file missing)
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe


描述:這個可是病毒啊,不懂的千萬別亂下



A:
修復
O2 - BHO: (no name) - {F2FA09FB-EE7A-46d8-9145-A1EEF7850052} - C:\WINDOWS\system32\geebc.dll
O4 - HKLM\..\Run: [mswap] rundll32.exe C:\WINDOWS\System32\mswap.dll,start
O20 - Winlogon Notify: geebc - C:\WINDOWS\SYSTEM32\geebc.dll
安全模式下刪除以上對應文件

第十項請使用lspfix修復
下載使用lspfix
http://www.cexx.org/lspfix.zip
離線網路,然後在上面小框打上鉤
把.dll從左邊移到右邊,然後點finish,重新啟動系統,刪除文件.dl

增加一些

修復
O4 - HKLM\..\Run: [Microsoft (R) Windows Update Manager Tool] C:\WINDOWS\update\updmangr.exe
O23 - Service: Windows Update Manager Tool (UpdateManagerTool) - Unknown owner - C:\WINDOWS\update\updmangr.exe

刪除
C:\WINDOWS\update\updmangr.exe
並按照置頂中手動刪除灰鴿子的方法找到相關文件進行刪除

還有是否已經解決掉了C:\WINDOWS\SYSTEM32\geebc.dll
如果解決不掉請按照解決vundo解決
請下載VundoFix.exe到你的桌面
1、將VundoFix.exe下載至桌面,雙擊它,在桌面產生一個VundoFix資料夾
2、重新啟動電腦,進入安全模式;
3、進入安全模式後,雙擊VundoFix資料夾中的KillVundo.bat,將會看到如下這段警告 :
QUOTE:

VundoFix V2.13 by Atri
By using VundoFix you agree that you are doing so at your own risk
Press enter to continue...

4、按Enter鍵,然後將會看到:
QUOTE:

Type in the filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.

5.鍵入C:\WINDOWS\SYSTEM32\geebc.dll
然後依次按Enter鍵,F6鍵,Enter鍵,將會顯示如下的內容:
QUOTE:

Please type in the second filepath as instructed by the forum staff
Then Press Enter, Then F6, Then Enter Again to continue with the fix.

鍵入下面的內容:C:\WINDOWS\SYSTEM32\geebc.*(文件名字母排列順序與上面的那個文件相反)
然後依次按Enter鍵,F6鍵,Enter鍵。
6、使用HijackThis修復:
O2 - BHO: (no name) - {F2FA09FB-EE7A-46d8-9145-A1EEF7850052} - C:\WINDOWS\system32\geebc.dll
O20 - Winlogon Notify: geebc - C:\WINDOWS\SYSTEM32\geebc.dll
7、修復完成後,關閉HijackThis視窗並按任意鍵重新啟動電腦。有可能出現藍底白字畫面死機的情況,不用擔心,那是正常的;

然後下載並安裝CleanUp!
打開CleanUp!
按照以下設置:
點擊 "Options..."按照此圖設置
http://www.stevengould.org/software/images/cleanup-options.png
設定完畢,回到主界面按下「CleanUp! 」按鈕
完成上述步驟後,使用HijackThis重新掃瞄以判斷問題是否解決。

此帖於 2006-06-12 06:10 AM 被 psac 編輯.
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-13, 01:16 AM   #22 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Q:
這是什麼意思?

http://202.96.82.55/frame_ztgame.html

上面的地址是我上網時自動彈出的廣告,就是無論上什麼網都瘋狂彈!

這個地址最後轉到 www.ztgame.com.cn

而且紅色的部分會經常變,最後轉到的廣告也會不同!


真是鬱悶



A:
可能瀏覽器被劫持了。

建議用Hijackthis (常用推薦)掃個LOG貼出來大家容易看些。



Q:

Logfile of HijackThis v1.99.1
Scan saved at 1:11:28, on 2006-06-12
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\internat.exe
C:\KAV6\Kavpfw.EXE
C:\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [KAVRun] C:\KAV6\KAVRun.EXE
O4 - HKLM\..\Run: [iDuba Personal FireWall] C:\KAV6\Kavpfw.EXE
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [iDuba Personal FireWall] C:\KAV6\Kavpfw.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 使用網際快車下載 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用網際快車下載全部鏈接 - C:\Program Files\FlashGet\jc_all.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{ABE5247D-EF27-48F1-A36D-F71634CD97E7}: NameServer = 202.96.69.38 202.96.64.68
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: ic32pp - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - C:\WINNT\wc98pp.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINNT\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINNT\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINNT\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINNT\system32\itss.dll
O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Program Files\Common Files\Microsoft Shared\Information Retrieval\MSITSS.DLL
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\Web Components\10\OWC10.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\Web Components\11\OWC11.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINNT\system32\mshtml.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINNT\system32\mshtml.dll
O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINNT\system32\msdxm.ocx
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Kingsoft AntiVirus Service (KAVSvc) - kingsoft Antivirus - C:\KAV6\KAVSvc.EXE



IP地址「202.96.82.55」的WHOIS訊息如下:
http://whois.domaintools.com/202.96.82.55


Whois Record
IP Information
Record Type: IP Address
Cached Whois: 2006-06-11
IP Location: China - Beijing - Beijing - Shenyang Public Info Service Corp
Blacklist Status: Currently Listed (history)

Whois Record

inetnum: 202.96.82.0 - 202.96.82.255
netname: SHENYANG-PUBLIC-INFO-SERVICE-CORP
descr: Shenyang Public Info Service Corp
descr: Shenyang City Heping Borough
country: CN
admin-c: TX17-AP
tech-c: TX17-AP
mnt-by: MAINT-CNCGROUP-LN
status: ASSIGNED NON-PORTABLE
changed: 20010607
changed: 20040927
source: APNIC

route: 202.96.64.0/19
descr: CNC Group CHINA169 Liaoning Province Network
country: CN
origin: AS4837
mnt-by: MAINT-CNCGROUP-RR
changed: 20060118
source: APNIC

person: Tang Xuezhong
address: Shenyang
country: CN
phone: +86-24-85890279
e-mail:
nic-hdl: TX17-AP
mnt-by: MAINT-NULL
changed: 20010524
source: APNIC


A:



修復一下:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

日誌沒有別的問題,改用sreng掃瞄一下。



Q:2006-06-12,17:16:23

System Repair Engineer 2.0.12.350 (2.0 RC 1)
Windows 2000 Professional Service Pack 4 - 管理權限用戶 - 完整功能

以下內容被選中:
所有的啟動專案(包括註冊表、啟動資料夾、服務等)
瀏覽器載入項
正在執行的工作行程(包括工作行程模塊訊息)
文件關聯


啟動專案
註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<Internat.exe><internat.exe>
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<iDuba Personal FireWall><C:\KAV6\Kavpfw.EXE>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><>
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<run><>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<KAVRun><C:\KAV6\KAVRun.EXE>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<iDuba Personal FireWall><C:\KAV6\Kavpfw.EXE>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe>
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<Userinit><C:\WINNT\system32\userinit.exe,>
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<StormCodec_Helper><; "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S

/opti>

==================================
啟動資料夾
服務
[Crypkey License / Crypkey License]
<crypserv.exe><Kenonic Controls Ltd.>
[Logical Disk Manager Administrative Service / dmadmin]
<C:\WINNT\System32\dmadmin.exe /com><VERITAS Software Corp.>
[DriveHealth / DriveHealth]
<C:\Downloads\DriveHealth2.0.30\dhcore.exe><Helexis Software Development>
[Kingsoft AntiVirus Service / KAVSvc]
<C:\KAV6\KAVSvc.EXE><kingsoft Antivirus>
[NVIDIA Driver Helper Service / NVSvc]
<C:\WINNT\system32\nvsvc32.exe><NVIDIA Corporation>

==================================
瀏覽器載入項
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINNT\system32\Macromed\Flash\Flash8b.ocx,

Macromedia, Inc.>
[使用網際快車下載]
<C:\Program Files\FlashGet\jc_link.htm, N/A>
[使用網際快車下載全部鏈接]
<C:\Program Files\FlashGet\jc_all.htm, N/A>

==================================
正在執行的工作行程
[PID: 152][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.00.2195.6601>
[PID: 176][\??\C:\WINNT\system32\csrss.exe] <Microsoft Corporation><5.00.2195.6601>
[PID: 196][\??\C:\WINNT\system32\winlogon.exe] <Microsoft Corporation><5.00.2195.6997>
[PID: 224][C:\WINNT\system32\services.exe] <Microsoft Corporation><5.00.2195.7035>
[C:\WINNT\system32\dmserver.dll] <VERITAS Software Corp.><2195.6605.297.3>
[PID: 236][C:\WINNT\system32\lsass.exe] <Microsoft Corporation><5.00.2195.7011>
[PID: 388][C:\WINNT\system32\svchost.exe] <Microsoft Corporation><5.00.2134.1>
[PID: 428][C:\WINNT\System32\svchost.exe] <Microsoft Corporation><5.00.2134.1>
[PID: 500][C:\WINNT\Explorer.EXE] <Microsoft Corporation><5.00.3700.6690>
[C:\Program Files\WinRAR\rarext.dll] <N/A><N/A>
[C:\WINNT\system32\mp3infp.dll] <win32lab.com><2.52.12.0>
[C:\KAV6\KAVEXT.DLL] <Kingsoft Corp.><2002, 5, 24, 6>
[C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll] <Adobe Systems,

Inc.><7.0.0.0>
[PID: 596][C:\KAV6\Kavpfw.EXE] <Kingsoft Corporation><2004, 8, 16, 295>
[C:\KAV6\KAVMLM.DLL] <Kingsoft Corporation><2003.11.12.10>
[C:\KAV6\PFWScanC.dll] <KingSoft><2002, 4, 12, 3>
[C:\KAV6\KAMsgBox.dll] <><2002.9.27.30>
[C:\KAV6\NetShare.dll] <Kingsoft Antivirus><2004, 2, 20, 67>
[C:\KAV6\KAEPlat.DLL] <Kingsoft Corp.><2004, 11, 26, 53>
[C:\KAV6\KAEMem.DAT] <Kingsoft><2004, 11, 9, 11>
[C:\KAV6\KAEQSCAN.DLL] <Kingsoft Corp><2004, 3, 26, 69>
[C:\KAV6\KAVLogFn.dll] <N/A><2003, 11, 26, 16>
[PID: 604][C:\WINNT\system32\internat.exe] <Microsoft Corporation><5.00.2920.0000>
[PID: 380][C:\Documents and Settings\Sloan\桌面\SREng\SREng.exe] <Smallfrogs

Studio><2.0.12.350>

==================================
文件關聯
.TXT Error. [NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["D:\WINNT\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-13, 05:27 PM   #23 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Q:

電腦突然幹什麼都會卡,請問是什麼原因?

最近才發生的事情,打pes4 聯眾 勁舞團等,打到一定時候就很慢,不知道怎麼回事。特別是打聯眾,開始還好,過一會cpu佔用就到50%,奇卡。我怕是病毒,前不久才重裝系統,但是濤聲依舊。用卡巴掃瞄到75%又一直跨不過。不知是怎麼回事,大家請賜教。我用hijackthis掃瞄了個日誌,大家看看。
Logfile of HijackThis v1.99.1
Scan saved at 23:19:29, on 2006-6-10
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
E:\工具\vloeasy鍵盤控制音量\voleasy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Maxthon\Maxthon.exe
E:\工具\病毒\hj and killbox\hijackthis\hijackthis英文\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v13.dll
O2 - BHO: NaviHelperObj Class - {3E422F49-1566-40D3-B43D-077EF739AC32} - C:\WINDOWS\system32\NaviHelper.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [VolumeEasy] E:\工具\vloeasy鍵盤控制音量\voleasy.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [YOKAssiant] Rundll32.exe C:\PROGRA~1\YOK.com\SUPERS~1\YOK_SuperSearch.dll,YOKAssiant uninstall
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 使用迅雷下載 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: 使用迅雷下載全部鏈接 - C:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: 訊息檢索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{A72E28FE-6EB4-42DF-A170-F3981B985183}: NameServer = 61.128.128.68
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



A:


安全模式下清除一次 http://www.crsky.com/soft/6251.html流氓軟件清除助手

關閉IE視窗和資源瀏覽器後勾選修復(點FIX CHECKED):
O2 - BHO: NaviHelperObj Class - {3E422F49-1566-40D3-B43D-077EF739AC32} - C:\WINDOWS\system32\NaviHelper.dll
O4 - HKLM\..\Run: [YOKAssiant] Rundll32.exe C:\PROGRA~1\YOK.com\SUPERS~1\YOK_SuperSearch.dll,YOKAssiant uninstall
重啟後刪除C:\WINDOWS\system32\NaviHelper.dll,到C:\PROGRA~1\YOK.com\SUPERS~1\看看是否有uninstall卸載程式,沒有就直接刪除該目錄。
啟動卡巴斯基到安全模式下殺毒,要是還有病毒,把卡巴的日誌解圖貼上來。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-13, 10:12 PM   #24 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Q:
【求助】這是什麼病毒


圖片:

這是什麼病毒
http://img114.imageshack.us/img114/9956/641236603a63da6d54617993yg.jpg




卡吧刪不掉它,一開機就出來

我裝的是番茄整合的系統

Logfile of HijackThis v1.99.2
Scan saved at 18:33:07, on 2006-6-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\VM303_STI.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
E:\優化大使\新增資料夾\Maxthon\Maxthon.exe
D:\HijackThis\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: DTSvc Class - {2EF14E3B-45CE-45d6-913E-7AA65331A933} - C:\WINDOWS\DTSVC\DTS\DTS.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
O2 - BHO: CpapView Class - {77962960-536E-47EC-9DDB-52651519705F} - C:\WINDOWS\system32\cacb.dll
O2 - BHO: IEhlprObj Class - {A3803141-3CF5-4D66-B7EA-8D2674FE152C} - C:\WINDOWS\stdie.dll
O2 - BHO: QuickBtn - {D1BB7CF4-4463-4e91-88D7-ECC3CE0A13B7} - C:\Program Files\CoolWebsite\QuickLink.dll
O2 - BHO: internet explorer helper - {F7911E65-B01C-4A58-AEC7-53085ECA70A5} - C:\WINDOWS\system32\msshapi.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KAVPersonal50] "E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MyShares] c:\program Files\易虎\MyShares.exe /tray
O4 - HKCU\..\Run: [LocalSystem] C:\WINDOWS\system\svchost.exe
O8 - Extra context menu item: >>彩信發送<< - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm
O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://D:\office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: 實用網址導航 - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:\Program Files\CoolWebsite\QuickLink.dll
O9 - Extra button: 新浪UC - {2253922F-1B26-4C74-8B57-E3AEE748DBB8} - E:\UC\uc.exe (file missing)
O9 - Extra button: 番茄花園 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - Extra 'Tools' menuitem: 番茄花園 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O9 - Extra 'Tools' menuitem: 彩E精靈設置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\upfdll.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\upfdll.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tomatolei.com
O16 - DPF: {FA7D78BA-3EA7-4E52-B0E2-0772F577E6CC} (VideoOcx Control) - http://www.meliao.cn/roomui/videoocx.ocx
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)



A:

先嘗試重新開機按f8進入安全模式用卡巴掃瞄剷除


Q:
安全模式下找不到這個文件

A:


你指用卡巴還是人手找?
另外我想知那木馬全名


Q:
謝謝你..............
upsrv.dll

A:

不~這是那檔案...我指trojan.xxx那種
你圖裡有的..不過不是全名

另外找到的話還有方法找..不過我建議你用hijackthis先掃一次把結果貼上來看看


Q:
再一次掃的..

Logfile of HijackThis v1.99.2
Scan saved at 18:33:07, on 2006-6-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\VM303_STI.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
E:\優化大使\新增資料夾\Maxthon\Maxthon.exe
D:\HijackThis\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: DTSvc Class - {2EF14E3B-45CE-45d6-913E-7AA65331A933} - C:\WINDOWS\DTSVC\DTS\DTS.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
O2 - BHO: CpapView Class - {77962960-536E-47EC-9DDB-52651519705F} - C:\WINDOWS\system32\cacb.dll
O2 - BHO: IEhlprObj Class - {A3803141-3CF5-4D66-B7EA-8D2674FE152C} - C:\WINDOWS\stdie.dll
O2 - BHO: QuickBtn - {D1BB7CF4-4463-4e91-88D7-ECC3CE0A13B7} - C:\Program Files\CoolWebsite\QuickLink.dll
O2 - BHO: internet explorer helper - {F7911E65-B01C-4A58-AEC7-53085ECA70A5} - C:\WINDOWS\system32\msshapi.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [KAVPersonal50] "E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MyShares] c:\program Files\易虎\MyShares.exe /tray
O4 - HKCU\..\Run: [LocalSystem] C:\WINDOWS\system\svchost.exe
O8 - Extra context menu item: >>彩信發送<< - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm
O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://D:\office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: 實用網址導航 - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:\Program Files\CoolWebsite\QuickLink.dll
O9 - Extra button: 新浪UC - {2253922F-1B26-4C74-8B57-E3AEE748DBB8} - E:\UC\uc.exe (file missing)
O9 - Extra button: 番茄花園 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - Extra 'Tools' menuitem: 番茄花園 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O9 - Extra 'Tools' menuitem: 彩E精靈設置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\WINDOWS\system32\shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\upfdll.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\upfdll.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tomatolei.com
O16 - DPF: {FA7D78BA-3EA7-4E52-B0E2-0772F577E6CC} (VideoOcx Control) - http://www.meliao.cn/roomui/videoocx.ocx
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: kavsvc - Kaspersky Lab - E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

高手不見了....

A:
哈..不好意思..我之前在忙轉繁為簡,慢點給你回覆

執行 HijackThis,按 Do a system scan only 掃瞄電腦,然後勾選以下專案左面的方格. 之後關閉所有視窗及瀏覽器,再按 Fix checked. 最後關閉 HijackThis

R3 - Default URLSearchHook is missing
O2 - BHO: DTSvc Class - {2EF14E3B-45CE-45d6-913E-7AA65331A933} - C:\WINDOWS\DTSVC\DTS\DTS.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
O2 - BHO: CpapView Class - {77962960-536E-47EC-9DDB-52651519705F} - C:\WINDOWS\system32\cacb.dll
O2 - BHO: IEhlprObj Class - {A3803141-3CF5-4D66-B7EA-8D2674FE152C} - C:\WINDOWS\stdie.dll
O2 - BHO: QuickBtn - {D1BB7CF4-4463-4e91-88D7-ECC3CE0A13B7} - C:\Program Files\CoolWebsite\QuickLink.dll
O4 - HKCU\..\Run: [LocalSystem] C:\WINDOWS\system\svchost.exe
O9 - Extra button: 實用網址導航 - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:\Program Files\CoolWebsite\QuickLink.dll
O9 - Extra button: 新浪UC - {2253922F-1B26-4C74-8B57-E3AEE748DBB8} - E:\UC\uc.exe (file missing)
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O9 - Extra 'Tools' menuitem: 彩E精靈設置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\upfdll.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\upfdll.dll
O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll


找尋以下檔案並將之刪除,方法:

1):開始>搜尋>立即搜尋下方的"搜尋選項">點選"進階選項">除了"大小寫視為相異"之外全部選取>在"名稱"一欄打上想找之名字>搜尋

2)人手搵:搵唔到檔案/Folder,可試試作出以下設定
a) 控制台--->資料夾選項--->檢視
b) 不要選 隱藏保護的作業系統檔案
c) 選 顯示所有檔案和資料夾
d) 按 確定 即可

應刪除之檔案名稱:

C:\WINDOWS\system32\upsrv.dll

刪不到可進安全模式看看刪不刪到

然後再掃SREng掃瞄並把結果貼上

下載及使用方法:

http://bbs.crsky.com/read.php?tid=526724



Q:


2006-06-13,20:39:14

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理權限用戶 - 完整功能

以下內容被選中:
所有的啟動專案(包括註冊表、啟動資料夾、服務等)
瀏覽器載入項
正在執行的工作行程(包括工作行程模塊訊息)
文件關聯


啟動專案
註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [Microsoft Corporation]
<LocalSystem><C:\WINDOWS\system\svchost.exe> []
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [Microsoft Corporation]
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [Microsoft Corporation]
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [Microsoft Corporation]
<NeroFilterCheck><C:\WINDOWS\system32\NeroCheck.exe> [Ahead Software Gmbh]
<BigDog303><C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)> []
<NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [NVIDIA Corporation]
<TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [RealNetworks, Inc.]
<KAVPersonal50><"E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\kav.exe" /minimize> [Kaspersky Lab]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<WIAWizardMenu><RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [Microsoft Corporation]

==================================
啟動資料夾
服務
[ASP.NET State Service / aspnet_state]
<C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe><N/A>
[kavsvc / kavsvc]
<"E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\kavsvc.exe"><Kaspersky Lab>
[NVIDIA Display Driver Service / NVSvc]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd]
<"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"><N/A>

==================================
瀏覽器載入項
[IHiu Class]
{67A06BB1-027B-4E94-8C3D-2DCD5E808A28} <C:\WINDOWS\system32\Services.dll, N/A>
[番茄花園]
{6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <http://www.tomatolei.com, N/A>
[中國最大小區互動平台]
{bf80e5ce-44f9-4954-9ec9-ca5bb86346cd} <http://www.hiu.cn, N/A>
[QQ]
{c95fe080-8f5d-11d2-a20b-00aa003c157b} <, N/A>
[Alexa]
{3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} <C:\WINDOWS\system32\SHDOCVW.DLL, Microsoft Corporation>
[PowerList Control]
{20C2C286-BDE8-441B-B73D-AFA22D914DA5} <C:\DOCUME~1\ADMINI~1\APPLIC~1\ppStream\100~1.138\POWERL~1.OCX, PPStream.com>
[Windows Media Player]
{22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[DHTML Edit Control Safe for Scripting for IE5]
{2D360201-FFF5-11D1-8D03-00A0C959BC0A} <C:\Program Files\Common Files\Microsoft Shared\Triedit\dhtmled.ocx, Microsoft Corporation>
[RealPlayer RAM Download Handler]
{2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.>
[HHCtrl Object]
{52A2AAAE-085D-4187-97EA-8C30DB990436} <C:\WINDOWS\system32\hhctrl.ocx, Microsoft Corporation>
[PowerPlayer Control]
{5EC7C511-CD0F-42E6-830C-1BD9882F3458} <C:\DOCUME~1\ADMINI~1\APPLIC~1\ppStream\100~1.138\POWERP~1.DLL, PPStream Inc.>
[IHiu Class]
{67A06BB1-027B-4E94-8C3D-2DCD5E808A28} <C:\WINDOWS\system32\Services.dll, N/A>
[Windows Media Player]
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Microsoft Web 瀏覽器]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[Microsoft Scriptlet Component]
{AE24FDAE-03C6-11D1-8B76-0080C744F389} <C:\WINDOWS\system32\mshtml.dll, Microsoft Corporation>
[SearchAssistantOC]
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[AUDIO__MID Moniker Class]
{CD3AFA74-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[AUDIO__MP3 Moniker Class]
{CD3AFA76-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[AUDIO__X_MS_WMA Moniker Class]
{CD3AFA84-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[VIDEO__X_MS_ASF Moniker Class]
{CD3AFA8F-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[VIDEO__X_MS_WMV Moniker Class]
{CD3AFA94-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[RealPlayer G2 Control]
{CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\macromed\flash\Flash85.ocx, Macromedia, Inc.>
[>>彩信發送<<]
<res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm, N/A>
[新增到QQ自定義面板]
<, N/A>
[新增到QQ表情]
<, N/A>
[用QQ彩信發送該圖片]
<, N/A>

==================================
正在執行的工作行程
[PID: 588][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 636][\??\C:\WINDOWS\system32\csrss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 660][\??\C:\WINDOWS\system32\winlogon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 708][C:\WINDOWS\system32\services.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 720][C:\WINDOWS\system32\lsass.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 864][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 912][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 972][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\upfdll.dll] <N/A><N/A>
[c:\windows\rsvpsp.dll] <N/A><N/A>
[PID: 1044][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[c:\windows\rsvpsp.dll] <N/A><N/A>
[PID: 1100][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[c:\windows\rsvpsp.dll] <N/A><N/A>
[PID: 1324][C:\WINDOWS\system32\spoolsv.exe] <Microsoft Corporation><5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)>
[PID: 1564][C:\WINDOWS\Explorer.EXE] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\System32\stdup.dll] <MStdup Co Ltd.><3, 2, 1, 6>
[C:\PROGRA~1\MMSASS~1\Mmsass~1.dll] <><1, 2, 0, 3>
[C:\WINDOWS\system32\nvshell.dll] <NVIDIA Corporation><6.14.10.5303>
[C:\WINDOWS\system32\NVWRSZHC.DLL] <NVIDIA Corporation><6.14.10.5303>
[C:\WINDOWS\system32\cacb.dll] <><1, 0, 1, 0>
[C:\WINDOWS\system32\HttpReq.dll] <N/A><N/A>
[C:\WINDOWS\stdie.dll] <><1, 0, 0, 2>
[C:\WINDOWS\system32\msshapi.dll] <><1, 0, 0, 1>
[PID: 1732][C:\WINDOWS\system32\nvsvc32.exe] <NVIDIA Corporation><6.14.10.5303>
[PID: 1784][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1792][C:\WINDOWS\VM303_STI.EXE] <Vimicro><4, 3, 625, 61>
[C:\WINDOWS\system32\msdmo.dll] <N/A><N/A>
[PID: 1816][C:\Program Files\Common Files\Real\Update_OB\realsched.exe] <RealNetworks, Inc.><0.1.0.3510>
[PID: 1860][C:\WINDOWS\system32\ctfmon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 724][C:\WINDOWS\System32\alg.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1140][C:\WINDOWS\system32\taskmgr.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1932][E:\騰訊\QQ\QQ.exe] <TENCENT><0, 0, 0, 0>
[E:\騰訊\QQ\CoralAssist.DLL] <Coral Team><4.5.0 build 20060515>
[E:\騰訊\QQ\CoralQQ.DLL] <Coral Team><4.5 Build 20060515>
[E:\騰訊\QQ\ipsearcher.dll] <N/A><1.0.0.4>
[E:\騰訊\QQ\QQBaseClassInDll.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\QQHelperDll.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\BasicCtrlDll.dll] <Tencent><5, 0, 200, 160>
[E:\騰訊\QQ\QQAPI.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\LoginCtrl.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\npkcntc.dll] <INCA Internet Co., Ltd.><2006, 3, 2, 1>
[E:\騰訊\QQ\npkpdb.dll] <INCA Internet Co., Ltd.><2003, 10, 1, 1>
[E:\騰訊\QQ\QQRes.dll] <tencent><1, 0, 0, 1>
[E:\騰訊\QQ\QQMainFrame.dll] <N/A><N/A>
[E:\騰訊\QQ\CQQApplication.dll] <N/A><N/A>
[C:\WINDOWS\system32\upfdll.dll] <N/A><N/A>
[c:\windows\rsvpsp.dll] <N/A><N/A>
[E:\騰訊\QQ\NewSkin.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\HostingMgr.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\CameraDll.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\MailSummary.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\QQSpace.dll] <><1, 0, 0, 1>
[C:\WINDOWS\system32\msdmo.dll] <N/A><N/A>
[E:\騰訊\QQ\QQGroupMng.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\GroupLive.dll] <N/A><N/A>
[E:\騰訊\QQ\QQAllInOne.dll] <N/A><N/A>
[E:\騰訊\QQ\SCCore.dll] <N/A><N/A>
[E:\騰訊\QQ\QQCustomFace.dll] <N/A><N/A>
[E:\騰訊\QQ\QQSysMsgMng.dll] <N/A><N/A>
[E:\騰訊\QQ\LongConnection.dll] <tencent><5, 0, 200, 160>
[E:\騰訊\QQ\UserDefinedHead.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\QQPlugin.dll] <N/A><N/A>
[E:\騰訊\QQ\QQConfigPlugin.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\QQPet.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\QRingMng.dll] <N/A><N/A>
[E:\騰訊\QQ\PhoneAPI.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\DialerAllinOne.dll] <tencent><1, 4, 0, 0>
[E:\騰訊\QQ\FlashAvatarDll.dll] <><1, 4, 0, 1>
[C:\WINDOWS\system32\macromed\flash\Flash85.ocx] <Macromedia, Inc.><8,5,0,133>
[E:\騰訊\QQ\QQSceneMng.dll] <N/A><N/A>
[E:\騰訊\QQ\QQAvatar.dll] <N/A><N/A>
[E:\騰訊\QQ\BQQApplication.dll] <N/A><N/A>
[E:\騰訊\QQ\PersonalDesktop.dll] <深圳市騰訊電腦系統公司QQ工作小組><1, 0, 0, 2>
[E:\騰訊\QQ\CommercesMng.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\QQUdpGetFileLib.dll] <tencent><0, 2, 2, 3>
[E:\騰訊\QQ\QQAddr.dll] <深圳市騰訊電腦系統有限公司><5, 0, 101, 200>
[E:\騰訊\QQ\QQPhoneHelper.dll] <騰訊科技(深圳)有限公司><2, 0, 3, 30>
[E:\騰訊\QQ\ImageOle.dll] <TODO: <Company name>><1.0.0.1>
[PID: 908][C:\WINDOWS\system32\wuauclt.exe] <Microsoft Corporation><5.8.0.2469 built by: lab01_n(wmbla)>
[PID: 3868][E:\優化大使\新增資料夾\Maxthon\Maxthon.exe] <Maxthon International Ltd.><1, 5, 3, 18>
[E:\優化大使\新增資料夾\Maxthon\maxzlib.dll] < ><1, 0, 0, 2>
[C:\WINDOWS\system32\upfdll.dll] <N/A><N/A>
[c:\windows\rsvpsp.dll] <N/A><N/A>
[E:\優化大使\新增資料夾\Maxthon\Services\RealTime\real_time.dll] <><1, 0, 0, 1>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\scrchpg.dll] <Kaspersky Lab><5.0.1.18>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\scrch_ag.dll] <Kaspersky Lab><5.0.388.1>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\FSSync.dll] <Kaspersky Lab><5.0.388.0>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\pr_rmt.dll] <Kaspersky Lab><5.0.388.0>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\ccclient.dll] <Kaspersky Lab><5.0.388.1>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\klipc.dll] <Kaspersky Lab><5.0.388.0>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\KLUtil.dll] <Kaspersky Lab><5.0.388.1>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\rpt.dll] <Kaspersky Lab><5.0.388.2>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\CCIFACE.dll] <Kaspersky Lab><5.0.388.1>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\prloader.dll] <Kaspersky Lab><5.0.388.0>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\prkernel.ppl] <Kaspersky Lab><5.0.388.0>
[e:\瑞星\kav5.0.388-cn\kaspersky anti-virus personal\prstring.ppl] <Kaspersky Lab><5.0.388.0>
[e:\瑞星\kav5.0.388-cn\kaspersky anti-virus personal\pr_srv.ppl] <Kaspersky Lab><5.0.388.0>
[e:\瑞星\kav5.0.388-cn\kaspersky anti-virus personal\pr_clnt.ppl] <Kaspersky Lab><5.0.388.0>
[e:\瑞星\kav5.0.388-cn\kaspersky anti-virus personal\tempfile.ppl] <Kaspersky Lab><5.0.388.0>
[PID: 2436][D:\sreng2\SREng2\SREng.exe] <Smallfrogs Studio><2.0.21.505>
[C:\WINDOWS\system32\upfdll.dll] <N/A><N/A>
[c:\windows\rsvpsp.dll] <N/A><N/A>

==================================
文件關聯
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者



A:
不好意思..我剛才忘了

先下載此程式:

http://www.tommsoft.com/Products.aspx?pid=2

下載後進入安全模式開啟(先看看此網頁)>系統清理>惡意軟件清理>全選>開始檢測>開始清理

然後回正常模式再用掃SREng掃瞄多次並把結果貼上

找尋以下檔案並將之發送到樣本區給相關人員分析
[C:\WINDOWS\system32\upfdll.dll]
[c:\windows\rsvpsp.dll]



Q:

2006-06-13,21:29:48

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理權限用戶 - 完整功能

以下內容被選中:
所有的啟動專案(包括註冊表、啟動資料夾、服務等)
瀏覽器載入項
正在執行的工作行程(包括工作行程模塊訊息)
文件關聯


啟動專案
註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [Microsoft Corporation]
<LocalSystem><C:\WINDOWS\system\svchost.exe> []
<sys1><Rundll32.exe C:\WINDOWS\system32\Upsrv.dll,Run> []
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<load><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32> [Microsoft Corporation]
<PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC> [Microsoft Corporation]
<PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName> [Microsoft Corporation]
<NeroFilterCheck><C:\WINDOWS\system32\NeroCheck.exe> [Ahead Software Gmbh]
<BigDog303><C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)> []
<NvCplDaemon><RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup> [NVIDIA Corporation]
<TkBellExe><"C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot> [RealNetworks, Inc.]
<KAVPersonal50><"E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\kav.exe" /minimize> [Kaspersky Lab]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
<WIAWizardMenu><RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><logonui.exe> [Microsoft Corporation]

==================================
啟動資料夾
服務
[ASP.NET State Service / aspnet_state]
<C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe><N/A>
[kavsvc / kavsvc]
<"E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\kavsvc.exe"><Kaspersky Lab>
[NVIDIA Display Driver Service / NVSvc]
<C:\WINDOWS\system32\nvsvc32.exe><NVIDIA Corporation>
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd]
<"C:\Program Files\WinPcap\rpcapd.exe" -d -f "C:\Program Files\WinPcap\rpcapd.ini"><N/A>

==================================
瀏覽器載入項
[IHiu Class]
{67A06BB1-027B-4E94-8C3D-2DCD5E808A28} <C:\WINDOWS\system32\Services.dll, N/A>
[番茄花園]
{6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <http://www.tomatolei.com, N/A>
[中國最大小區互動平台]
{bf80e5ce-44f9-4954-9ec9-ca5bb86346cd} <http://www.hiu.cn, N/A>
[QQ]
{c95fe080-8f5d-11d2-a20b-00aa003c157b} <, N/A>
[Alexa]
{3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} <C:\WINDOWS\system32\SHDOCVW.DLL, Microsoft Corporation>
[PowerList Control]
{20C2C286-BDE8-441B-B73D-AFA22D914DA5} <C:\DOCUME~1\ADMINI~1\APPLIC~1\ppStream\100~1.138\POWERL~1.OCX, PPStream.com>
[Windows Media Player]
{22D6F312-B0F6-11D0-94AB-0080C74C7E95} <C:\WINDOWS\system32\wmpdxm.dll, Microsoft Corporation>
[HTML Document]
{25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[DHTML Edit Control Safe for Scripting for IE5]
{2D360201-FFF5-11D1-8D03-00A0C959BC0A} <C:\Program Files\Common Files\Microsoft Shared\Triedit\dhtmled.ocx, Microsoft Corporation>
[RealPlayer RAM Download Handler]
{2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.>
[HHCtrl Object]
{52A2AAAE-085D-4187-97EA-8C30DB990436} <C:\WINDOWS\system32\hhctrl.ocx, Microsoft Corporation>
[PowerPlayer Control]
{5EC7C511-CD0F-42E6-830C-1BD9882F3458} <C:\DOCUME~1\ADMINI~1\APPLIC~1\ppStream\100~1.138\POWERP~1.DLL, PPStream Inc.>
[IHiu Class]
{67A06BB1-027B-4E94-8C3D-2DCD5E808A28} <C:\WINDOWS\system32\Services.dll, N/A>
[Windows Media Player]
{6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Microsoft Web 瀏覽器]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[Microsoft Scriptlet Component]
{AE24FDAE-03C6-11D1-8B76-0080C744F389} <C:\WINDOWS\system32\mshtml.dll, Microsoft Corporation>
[SearchAssistantOC]
{B45FF030-4447-11D2-85DE-00C04FA35C89} <%SystemRoot%\system32\shdocvw.dll, N/A>
[AUDIO__MID Moniker Class]
{CD3AFA74-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[AUDIO__MP3 Moniker Class]
{CD3AFA76-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[AUDIO__X_MS_WMA Moniker Class]
{CD3AFA84-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[VIDEO__X_MS_ASF Moniker Class]
{CD3AFA8F-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[VIDEO__X_MS_WMV Moniker Class]
{CD3AFA94-B84F-48F0-9393-7EDC34128127} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[RealPlayer G2 Control]
{CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA} <C:\WINDOWS\system32\rmoc3260.dll, RealNetworks, Inc.>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\macromed\flash\Flash85.ocx, Macromedia, Inc.>

==================================
正在執行的工作行程
[PID: 588][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 636][\??\C:\WINDOWS\system32\csrss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 660][\??\C:\WINDOWS\system32\winlogon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 708][C:\WINDOWS\system32\services.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 720][C:\WINDOWS\system32\lsass.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 868][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 916][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 976][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\upfdll.dll] <N/A><N/A>
[c:\windows\rsvpsp.dll] <N/A><N/A>
[PID: 1052][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[c:\windows\rsvpsp.dll] <N/A><N/A>
[PID: 1104][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[c:\windows\rsvpsp.dll] <N/A><N/A>
[PID: 1320][C:\WINDOWS\system32\spoolsv.exe] <Microsoft Corporation><5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)>
[PID: 1588][C:\WINDOWS\Explorer.EXE] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\nvshell.dll] <NVIDIA Corporation><6.14.10.5303>
[C:\WINDOWS\system32\NVWRSZHC.DLL] <NVIDIA Corporation><6.14.10.5303>
[PID: 1616][C:\WINDOWS\system32\nvsvc32.exe] <NVIDIA Corporation><6.14.10.5303>
[PID: 1648][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 180][C:\WINDOWS\VM303_STI.EXE] <Vimicro><4, 3, 625, 61>
[C:\WINDOWS\system32\msdmo.dll] <N/A><N/A>
[PID: 208][C:\Program Files\Common Files\Real\Update_OB\realsched.exe] <RealNetworks, Inc.><0.1.0.3510>
[PID: 268][C:\WINDOWS\system32\ctfmon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 540][C:\WINDOWS\System32\alg.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1624][E:\騰訊\QQ\QQ.exe] <TENCENT><0, 0, 0, 0>
[E:\騰訊\QQ\CoralAssist.DLL] <Coral Team><4.5.0 build 20060515>
[E:\騰訊\QQ\CoralQQ.DLL] <Coral Team><4.5 Build 20060515>
[E:\騰訊\QQ\ipsearcher.dll] <N/A><1.0.0.4>
[E:\騰訊\QQ\QQBaseClassInDll.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\QQHelperDll.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\BasicCtrlDll.dll] <Tencent><5, 0, 200, 160>
[E:\騰訊\QQ\QQAPI.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\LoginCtrl.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\npkcntc.dll] <INCA Internet Co., Ltd.><2006, 3, 2, 1>
[E:\騰訊\QQ\npkpdb.dll] <INCA Internet Co., Ltd.><2003, 10, 1, 1>
[E:\騰訊\QQ\QQRes.dll] <tencent><1, 0, 0, 1>
[E:\騰訊\QQ\QQMainFrame.dll] <N/A><N/A>
[E:\騰訊\QQ\CQQApplication.dll] <N/A><N/A>
[C:\WINDOWS\system32\upfdll.dll] <N/A><N/A>
[c:\windows\rsvpsp.dll] <N/A><N/A>
[E:\騰訊\QQ\NewSkin.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\HostingMgr.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\CameraDll.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\MailSummary.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\QQSpace.dll] <><1, 0, 0, 1>
[C:\WINDOWS\system32\msdmo.dll] <N/A><N/A>
[E:\騰訊\QQ\QQGroupMng.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\GroupLive.dll] <N/A><N/A>
[E:\騰訊\QQ\QQSysMsgMng.dll] <N/A><N/A>
[E:\騰訊\QQ\LongConnection.dll] <tencent><5, 0, 200, 160>
[E:\騰訊\QQ\UserDefinedHead.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\QQPlugin.dll] <N/A><N/A>
[E:\騰訊\QQ\QQConfigPlugin.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\QRingMng.dll] <N/A><N/A>
[E:\騰訊\QQ\PhoneAPI.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\DialerAllinOne.dll] <tencent><1, 4, 0, 0>
[E:\騰訊\QQ\QQAvatar.dll] <N/A><N/A>
[E:\騰訊\QQ\FlashAvatarDll.dll] <><1, 4, 0, 1>
[E:\騰訊\QQ\QQPet.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\BQQApplication.dll] <N/A><N/A>
[E:\騰訊\QQ\PersonalDesktop.dll] <深圳市騰訊電腦系統公司QQ工作小組><1, 0, 0, 2>
[E:\騰訊\QQ\CommercesMng.dll] <><1, 0, 0, 1>
[E:\騰訊\QQ\QQUdpGetFileLib.dll] <tencent><0, 2, 2, 3>
[E:\騰訊\QQ\QQAddr.dll] <深圳市騰訊電腦系統有限公司><5, 0, 101, 200>
[PID: 388][C:\WINDOWS\system32\wuauclt.exe] <Microsoft Corporation><5.8.0.2469 built by: lab01_n(wmbla)>
[PID: 1852][E:\優化大使\新增資料夾\Maxthon\Maxthon.exe] <Maxthon International Ltd.><1, 5, 3, 18>
[E:\優化大使\新增資料夾\Maxthon\maxzlib.dll] < ><1, 0, 0, 2>
[C:\WINDOWS\system32\upfdll.dll] <N/A><N/A>
[c:\windows\rsvpsp.dll] <N/A><N/A>
[E:\優化大使\新增資料夾\Maxthon\Services\RealTime\real_time.dll] <><1, 0, 0, 1>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\scrchpg.dll] <Kaspersky Lab><5.0.1.18>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\scrch_ag.dll] <Kaspersky Lab><5.0.388.1>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\FSSync.dll] <Kaspersky Lab><5.0.388.0>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\pr_rmt.dll] <Kaspersky Lab><5.0.388.0>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\ccclient.dll] <Kaspersky Lab><5.0.388.1>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\klipc.dll] <Kaspersky Lab><5.0.388.0>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\KLUtil.dll] <Kaspersky Lab><5.0.388.1>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\rpt.dll] <Kaspersky Lab><5.0.388.2>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\CCIFACE.dll] <Kaspersky Lab><5.0.388.1>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\prloader.dll] <Kaspersky Lab><5.0.388.0>
[E:\瑞星\KAV5.0.388-CN\Kaspersky Anti-Virus Personal\prkernel.ppl] <Kaspersky Lab><5.0.388.0>
[e:\瑞星\kav5.0.388-cn\kaspersky anti-virus personal\prstring.ppl] <Kaspersky Lab><5.0.388.0>
[e:\瑞星\kav5.0.388-cn\kaspersky anti-virus personal\pr_srv.ppl] <Kaspersky Lab><5.0.388.0>
[e:\瑞星\kav5.0.388-cn\kaspersky anti-virus personal\pr_clnt.ppl] <Kaspersky Lab><5.0.388.0>
[e:\瑞星\kav5.0.388-cn\kaspersky anti-virus personal\tempfile.ppl] <Kaspersky Lab><5.0.388.0>
[PID: 2480][D:\sreng2\SREng2\SREng.exe] <Smallfrogs Studio><2.0.21.505>
[C:\WINDOWS\system32\upfdll.dll] <N/A><N/A>
[c:\windows\rsvpsp.dll] <N/A><N/A>

==================================
文件關聯
.TXT OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM OK. ["C:\WINDOWS\hh.exe" %1]
.HLP OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================


A:

找尋以下檔案並將之發送到http://www.virustotal.com/en/indexf.html分析並把結果貼上

[C:\WINDOWS\system32\upfdll.dll]
[c:\windows\rsvpsp.dll]

找不到可以用之前的方法

我把那兩個回覆刪除了,太慢了

你找到那兩個檔案以後,你可以做以下其中一樣:
-上傳到VirusTotal http://www.virustotal.com , 把掃瞄結果貼上來
-用WinRAR壓縮好,發到樣本交流區讓其他人看看那個是什麼東西
-用WinRAR壓縮好,發到我郵箱 john31579@yahoo.com.hk 讓我幫你看看
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-14, 03:01 PM   #25 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

【解決了】卡巴斯基,ewido都殺不掉的Adware.look2me!
Q:

圖片:
http://img147.imageshack.us/img147/6820/641770694bf8957ee515da97cm.jpg

http://img160.imageshack.us/img160/5964/6417706999ed6d46d4235158zv.jpg


今天同事的電腦用卡巴,和ewido3.5查殺時都發現有Adware.look2me,
可是每次都是無法清除,常存系統記憶體和啟動。安全模式都無法清除!
正常模式,卡巴一查殺就系統變為藍底白字畫面,鬱悶!



A:

請用 HijackThis 掃瞄一個logfile,把內容貼上來以方便分析
1. 下載 HijackThis 1.99.1,儲存到桌面後再解壓
2. 執行 hijackthis.exe ,按 Do a system scan and save a logfile
3. 掃瞄完成後,一個記事本視窗會彈出來,把內容貼上來

PS: 請勿自行胡亂修復HijackThis掃瞄內的專案



Q:

Logfile of HijackThis v1.99.1
Scan saved at 22:17:35, on 2006-6-13
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Lotus\Notes\檢測待辦文件.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Documents and Settings\Administrator\桌面\HijackThis.exe

O4 - HKLM\..\Run: [ZYCSearchWDF] C:\Lotus\Notes\檢測待辦文件.exe
O4 - HKLM\..\Run: [KAVPersonal50] "d:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: 卡巴斯基反黑客.lnk = D:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 匯出到 Microsoft Excel(&x) - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\休閒遊戲\QQ.EXE (file missing)
O9 - Extra 'Tools' menuitem: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\休閒遊戲\QQ.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1F831FA1-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Program Files\AutoCAD 2002\InstFred.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1143186608781
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday 控件) - file://D:\Program Files\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {AE563722-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Program Files\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} (WebBasedClientInstall Class) - http://192.10.27.7/dss/webinst/WebInst.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview 控件) - file://D:\Program Files\AutoCAD 2002\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9A352C4-58CF-4167-85FF-01D79BCC1058}: NameServer = 192.10.37.1,192.10.37.33
O20 - Winlogon Notify: Internet Settings - C:\WINDOWS\system32\fn4021hmg.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: kavsvc - Kaspersky Lab - d:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


A:




看到Look2Me的專案
a) 下載Look2Me-Destroyer ,儲存到桌面上
b) 執行 Look2Me-Destroyer.exe , 在 Run this program as a task 打勾,之後會提示你過一會就會自動再次執行
c) 當 Look2Me-Destroyer 自動執行,按 Scan for L2M button,這時候你的桌面圖示可能會消失
d) 掃瞄完成後,按 Remove L2M button ,當完成後, Look2Me-Destroyer 會提示你將會關閉電腦
e) 電腦關閉後,再次啟動你的電腦,把桌面Look2Me-Destroyer.txt 或C:\Look2Me-Destroyer.txt 的內容貼上來,並掃瞄一個新的HijackThis log上來



Q:

hijackthis.log已經上傳,順便說明一下,每次重啟系統後,掃瞄發現system32下面後綴名為dll的帶病毒文件名稱都不一樣!


Look2Me-Destroyer.exe , 在 Run this program as a task 打勾後,連續幾分鐘後,一直沒有反應,沒有出現自動再次執行,怎麼辦

A:

遲了一點回覆~~剛剛走開了一會
不要緊
a) 下載F-Look2Me ,儲存到桌面上
b) 把f-look2me.zip壓縮包裝解開到桌面,執行 f-look2me.exe , 按 Y 繼續
c) F-Look2Me 找到 Look2Me 後, 會提示你要重新啟動
d) 重新啟動電腦後,把 F-Look2Me.log (不是f-look2me.txt) 的內容貼上來,並掃瞄一個新的HijackThis log上來




Q:

2006-05-14 08:01:13 INFO F-Look2Me Removal Tool ver 1.00.0
2006-05-14 08:01:13 INFO Copyright (c) 2006, F-Secure Corporation. All rights reserved.
2006-05-14 08:01:13 WARN Disclaimer of Warranty on Software. THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND. F-SECURE EXPRESSLY DISCLAIMS ALL IMPLIED WARRANTIES, INCLUDING BUT NOT LIMITED TO IMPLIED WARRANTIES OF TITLE, NON-INFRINGEMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
2006-05-14 08:01:13 WARN For full license terms please visit:
2006-05-14 08:01:13 WARN http://www.f-secure.com/products/license-terms/
2006-05-14 08:01:17 INFO Agreed.
2006-05-14 08:01:17 WARN Look2Me found: C:\WINDOWS\system32\r8p8li7u18.dll
2006-05-14 08:01:17 WARN F-Look2Me will now create and start a service to remove the adware.
2006-05-14 08:01:17 INFO F-Look2Me Removal Tool ver 1.00.0
2006-05-14 08:01:17 INFO Copyright (c) 2006, F-Secure Corporation. All rights reserved.
2006-05-14 08:01:17 WARN Disclaimer of Warranty on Software. THE SOFTWARE IS PROVIDED "AS IS", WITHOUT WARRANTY OF ANY KIND. F-SECURE EXPRESSLY DISCLAIMS ALL IMPLIED WARRANTIES, INCLUDING BUT NOT LIMITED TO IMPLIED WARRANTIES OF TITLE, NON-INFRINGEMENT, MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
2006-05-14 08:01:17 WARN For full license terms please visit:
2006-05-14 08:01:17 WARN http://www.f-secure.com/products/license-terms/
2006-05-14 08:01:17 INFO Service running.
2006-05-14 08:01:17 ERROR Failed to unlock file C:\WINDOWS\system32\r8p8li7u18.dll
2006-05-14 08:01:17 WARN Unlocking file C:\WINDOWS\system32\guard.tmp failed.
2006-05-14 08:01:17 WARN Suspected file not possible to scan C:\WINDOWS\system32\guard.tmp
2006-05-14 08:01:17 WARN Unlocking file C:\WINDOWS\system32\mrastmib.dll failed.
2006-05-14 08:01:17 WARN Suspected file not possible to scan C:\WINDOWS\system32\mrastmib.dll
2006-05-14 08:01:18 WARN Unlocking file C:\WINDOWS\system32\xrnroll.dll failed.
2006-05-14 08:01:18 WARN Suspected file not possible to scan C:\WINDOWS\system32\xrnroll.dll
2006-05-14 08:01:18 WARN Unlocking file C:\WINDOWS\system32\dnrq0195e.dll failed.
2006-05-14 08:01:18 WARN Suspected file not possible to scan C:\WINDOWS\system32\dnrq0195e.dll
2006-05-14 08:01:18 WARN Unlocking file C:\WINDOWS\system32\dnj6011se.dll failed.
2006-05-14 08:01:18 WARN Suspected file not possible to scan C:\WINDOWS\system32\dnj6011se.dll
2006-05-14 08:01:19 WARN Unlocking file C:\WINDOWS\system32\dnr6019se.dll failed.
2006-05-14 08:01:19 WARN Suspected file not possible to scan C:\WINDOWS\system32\dnr6019se.dll
2006-05-14 08:01:19 WARN Unlocking file C:\WINDOWS\system32\enn2l15o1.dll failed.
2006-05-14 08:01:19 WARN Suspected file not possible to scan C:\WINDOWS\system32\enn2l15o1.dll
2006-05-14 08:01:19 WARN Unlocking file C:\WINDOWS\system32\e020lafm1d2a.dll failed.
2006-05-14 08:01:19 WARN Suspected file not possible to scan C:\WINDOWS\system32\e020lafm1d2a.dll
2006-05-14 08:01:20 WARN Unlocking file C:\WINDOWS\system32\en68l1ju1.dll failed.
2006-05-14 08:01:20 WARN Suspected file not possible to scan C:\WINDOWS\system32\en68l1ju1.dll
2006-05-14 08:01:20 WARN Unlocking file C:\WINDOWS\system32\r8p8li7u18.dll failed.
2006-05-14 08:01:20 WARN Suspected file not possible to scan C:\WINDOWS\system32\r8p8li7u18.dll
2006-05-14 08:01:25 ERROR Infection was found. An error occurred in the disinfection process.
2006-05-14 08:01:25 INFO Exiting, return value 11



Logfile of HijackThis v1.99.1
Scan saved at 8:04:48, on 2006-6-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Lotus\Notes\檢測待辦文件.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrator\桌面\HijackThis.exe

O4 - HKLM\..\Run: [ZYCSearchWDF] C:\Lotus\Notes\檢測待辦文件.exe
O4 - HKLM\..\Run: [KAVPersonal50] "d:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: 卡巴斯基反黑客.lnk = D:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 匯出到 Microsoft Excel(&x) - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\休閒遊戲\QQ.EXE (file missing)
O9 - Extra 'Tools' menuitem: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\休閒遊戲\QQ.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1F831FA1-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Program Files\AutoCAD 2002\InstFred.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1143186608781
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday 控件) - file://D:\Program Files\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {AE563722-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Program Files\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} (WebBasedClientInstall Class) - http://192.10.27.7/dss/webinst/WebInst.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview 控件) - file://D:\Program Files\AutoCAD 2002\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9A352C4-58CF-4167-85FF-01D79BCC1058}: NameServer = 192.10.37.1,192.10.37.33
O20 - Winlogon Notify: SharedDLLs - C:\WINDOWS\system32\en68l1ju1.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: kavsvc - Kaspersky Lab - d:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



報告一下:
1.我採取了Tabc的:
a) 下載F-Look2Me ,儲存到桌面上
b) 把f-look2me.zip壓縮包裝解開到桌面,執行 f-look2me.exe , 按 Y 繼續
c) F-Look2Me 找到 Look2Me 後, 會提示你要重新啟動
d) 重新啟動電腦後,把 F-Look2Me.log (不是f-look2me.txt) 的內容貼上來,並掃瞄一個新的HijackThis log上來
2.然後下載ff上的System Repair Engineer 這個工具
3.重啟後,用卡巴殺毒後,似乎已經殺完了

呵呵,十分感謝你!
不知道Tabc還有什麼建議?要不要再掃瞄一個HijackThis log日誌上來?




A:


HijackThis log中還有沒有O20專案 ?
如果沒有就可以了

如果沒有問題,記得把是改做【解決了】




Q:


中午吃飯去了,不好意思

剛剛掃瞄了一下,還是有O20,可是卡巴掃瞄記憶體和啟動項時沒有了:


Logfile of HijackThis v1.99.1
Scan saved at 12:05:41, on 2006-6-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Lotus\Notes\檢測待辦文件.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
C:\Lotus\Notes\nNOTESMM.EXE
D:\Program Files\AutoCAD 2004\acad.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~e5d141.tmp
C:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe
C:\Documents and Settings\Administrator\桌面\殺毒\HijackThis.exe

O4 - HKLM\..\Run: [ZYCSearchWDF] C:\Lotus\Notes\檢測待辦文件.exe
O4 - HKLM\..\Run: [KAVPersonal50] "d:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [PHIME2002A] ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [TCASUTIEXE] ; TCAUDIAG -on
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: 卡巴斯基反黑客.lnk = D:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: 匯出到 Microsoft Excel(&x) - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\休閒遊戲\QQ.EXE (file missing)
O9 - Extra 'Tools' menuitem: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\休閒遊戲\QQ.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {1F831FA1-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://D:\Program Files\AutoCAD 2002\InstFred.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1143186608781
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday 控件) - file://D:\Program Files\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {AE563722-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://D:\Program Files\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {D30CA0FD-1CA0-11D4-AC78-006008A9A8BC} (WebBasedClientInstall Class) - http://192.10.27.7/dss/webinst/WebInst.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview 控件) - file://D:\Program Files\AutoCAD 2002\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9A352C4-58CF-4167-85FF-01D79BCC1058}: NameServer = 192.10.27.8,192.10.37.33
O20 - Winlogon Notify: Syncmgr - C:\WINDOWS\system32\irj8l51u1.dll (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: kavsvc - Kaspersky Lab - d:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



A:

那就修復好了....
檔案已經沒有了....
可說用HijackThis 修復一下就行
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-14, 08:37 PM   #26 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Q:

CPU無援無故100%

開機 我按CTRL+ALT+DELETE CPU就100% 過了一秒 CPU有正常 關掉再按
CPU又100% 鬱悶 機卡。。。
我的系統是WINXP 是不是病毒?


A:


可能中了間諜程式..不過先用hijackthis掃瞄'

1.下載最新官方版本HijackThis 1.99.1:
http://www.merijn.org/files/hijackthis.zip
2.解開hijackthis.zip,執行HijackThis.exe
3.點擊 Do a system scan and save a logfile
4.掃瞄完成後,一個記事本彈出來,把裡面的Log發上來


Q:
你看看哪個工作行程佔了大量的CPU啊


A:


工作行程都沒有特別大的



Logfile of HijackThis v1.99.1
Scan saved at 16:30:10, on 2006-6-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\System32\VIPTray.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Thunder Network\Thunder\Thunder.exe
D:\121\HijackThis.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_8888.dll
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O2 - BHO: CAISHOW TOOLBAR - {3AF40CB8-B3BA-4E2D-8968-4BF8DB172997} - C:\Program Files\CaiShow Tech\CaiShow\BrowerHelper.dll
O2 - BHO: 網路加速 - {5673A7C0-95CC-4646-BB07-3BD71234CEF9} - C:\WINDOWS\system32\MicrosoftNet.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [caishowmanage] C:\Program Files\CaiShow Tech\CaiShow\UpdateManager.EXE
O4 - Global Startup: IE-BAR.lnk = ?
O8 - Extra context menu item: &使用迅雷下載 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下載全部鏈接 - C:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - Extra context menu item: 上傳到QQ網路硬碟 - C:\Program Files\QQ2005\AddToNetDisk.htm
O8 - Extra context menu item: 使用影音傳送帶下載 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音傳送帶下載全部鏈接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 新增到QQ自定義面板 - C:\Program Files\QQ2005\AddPanel.htm
O8 - Extra context menu item: 新增到QQ表情 - C:\Program Files\QQ2005\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信發送該圖片 - C:\Program Files\QQ2005\SendMMS.htm
O8 - Extra context menu item: 用炫彩圖鈴發送該圖片 - C:\Program Files\CaiShow Tech\CaiShow\SendMMS.htm
O9 - Extra button: 中文上網 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - Extra 'Tools' menuitem: 中文上網 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - Extra button: 微軟 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ2005\QQ.EXE (file missing)
O9 - Extra 'Tools' menuitem: 騰訊QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\QQ2005\QQ.EXE (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\cdnns.dll
O11 - Options group: [CDNCLIENT] 中文上網
O17 - HKLM\System\CCS\Services\Tcpip\..\{A668D9A3-C551-438A-8088-8212FEA42836}: NameServer = 202.100.192.68 202.100.199.8
O17 - HKLM\System\CCS\Services\Tcpip\..\{A67DBC2B-1ECB-447A-A753-36E5C307F052}: NameServer = 202.100.192.68,202.100.192.8
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: VIPTray - Unknown owner - C:\WINDOWS\System32\VIPTray.exe




Q:

可是之前沒有啊。。。

A:


暈,你按CTRL+ALT+DELETE,會出現短暫如是100%正常現象啊

O10 - Unknown file in Winsock LSP: c:\windows\system32\cdnns.dll
O11 - Options group: [CDNCLIENT] 中文上網
O23 - Service: VIPTray - Unknown owner - C:\WINDOWS\System32\VIPTray.exe
這個幹掉


O2 - BHO: MyIEHelper Class - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_8888.dll
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O2 - BHO: CAISHOW TOOLBAR - {3AF40CB8-B3BA-4E2D-8968-4BF8DB172997} - C:\Program Files\CaiShow Tech\CaiShow\BrowerHelper.dll
O23 - Service: VIPTray - Unknown owner - C:\WINDOWS\System32\VIPTray.exe
修復這些,使用惡意軟件清理助手(有鏈接)卸載流氓軟件


卸載 IE-BAR

用HijackThis修復下面項
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\system32\WinDefendor.dll
O23 - Service: VIPTray - Unknown owner - C:\WINDOWS\System32\VIPTray.exe



下載Dr.Web CureIT!
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
執行殺毒,先會自動掃瞄記憶體工作行程和啟動項,自動掃瞄結束後,手工選中所有的硬碟分區再次殺毒.
最後把殺毒報告發上來 File->Save report list


刪除下面文件

C:\WINDOWS\system32\WinDefendor.dll
C:\WINDOWS\System32\VIPTray.exe

此帖於 2006-06-16 01:10 AM 被 psac 編輯.
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-15, 05:53 PM   #27 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Q:
求助】誰來幫我看看是什麼病毒啊?


【求助】誰來幫我看看是什麼病毒啊?


圖片:
http://img151.imageshack.us/img151/6656/641040006a28e126b42ae301js.jpg

圖片:
http://img81.imageshack.us/img81/460/64104000599788b7e9574478cp.jpg

圖片:
http://img151.imageshack.us/img151/1462/64104000f64b9e41d46a5ca5bg.jpg
每當我打開IE的時候,就會自動彈出許多東西出來要下載.殺軟監控報毒,殺了.下次開IE還是這個情況,但是我掃瞄了硬碟後卻沒有發現病毒...誰知道這個是什麼病毒啊?怎麼解決?



A:

請以hijackthis掃瞄後把結果貼上

1.下載最新官方版本HijackThis 1.99.1:
http://www.merijn.org/files/hijackthis.zip
2.解開hijackthis.zip,執行HijackThis.exe
3.點擊 Do a system scan and save a logfile
4.掃瞄完成後,一個記事本彈出來,把裡面的Log發上來




Q:


Logfile of HijackThis v1.99.1
Scan saved at 17:18:05, on 2006-6-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINPENJR\Win32\pphidpad.exe
C:\WINDOWS\vsnpstd3.exe
F:\Soft4Ever\looknstop\looknstop.exe
F:\Virus Chaser\Vcrmon.exe
C:\WINDOWS\system32\ctfmon.exe
F:\Virus Chaser\spiderml.exe
C:\WINDOWS\system32\oodag.exe
f:\Virus Chaser\SpiderNT.exe
F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
f:\Virus Chaser\Spiderui.exe
F:\Maxthon\Maxthon.exe
f:\Virus Chaser\Update.exe
G:\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v13.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - G:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: Yahoo Ie-Bar - {4FCE0A2B-6D48-4B22-AD7A-1ACACABC0B38} - C:\WINDOWS\twuenk_16.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - G:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - F:\Tencent\qq\QQIEHelper.dll
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - G:\PROGRA~1\KUGOO3~1.215\KUGOO3~1.OCX
O4 - HKLM\..\Run: [PPHIDPAD] C:\WINPENJR\Win32\pphidpad.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "f:\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [Vcrmon] F:\Virus Chaser\Vcrmon.exe
O4 - HKLM\..\Run: [!ewido] "G:\Program Files\ewido4.0-木螞蟻綠色漢化版\ewido.exe" /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: 使用 IDM 下載 - G:\Program Files\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: 使用 IDM 下載所有鏈接 - G:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: 使用KuGoo3下載(&K) - G:\PROGRA~1\KUGOO3~1.215\KuGoo3DownX.htm
O8 - Extra context menu item: 使用迅雷下載 - g:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: 使用迅雷下載全部鏈接 - g:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - Extra context menu item: 新增到QQ表情 - F:\Tencent\qq\AddEmotion.htm
O9 - Extra button: 易趣購物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O9 - Extra 'Tools' menuitem: 易趣購物 - {DE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{3EFA34E2-DD97-474C-B0CD-6BD87981A6A9}: NameServer = 61.139.2.69 202.96.128.68
O23 - Service: AVKProxy - Unknown owner - C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: 註冊表管理服務 (RegManServ) - Unknown owner - g:\Program Files\Registry Toolkit\RegManServ.exe (file missing)
O23 - Service: Virus Chaser Spider NT (spidernt) - New Technology Wave Inc. - f:\Virus Chaser\SpiderNT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe



A:



修復這三項看看
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

請下載使用工具SREng(點擊這裡下載)中的"智慧式掃瞄"功能,把儲存的log的內容複製-貼上去上來




Q:


2006-06-15,20:15:52

System Repair Engineer 2.0.21.505 (2.0 RC 2)
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600)
- 管理權限用戶 - 完整功能

以下內容被選中:
所有的啟動專案(包括註冊表、啟動資料夾、服務等)
瀏覽器載入項
正在執行的工作行程(包括工作行程模塊訊息)
文件關聯


啟動專案
註冊表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
<ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe> [Microsoft Corporation]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<run><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<PPHIDPAD><C:\WINPENJR\Win32\pphidpad.exe> []
<snpstd3><C:\WINDOWS\vsnpstd3.exe> []
<Look 'n' Stop><"f:\Soft4Ever\looknstop\looknstop.exe" -auto> [Soft4Ever]
<Vcrmon><F:\Virus Chaser\Vcrmon.exe> [New Technology Wave Inc.]
<!ewido><"G:\Program Files\ewido4.0-木螞蟻綠色漢化版\ewido.exe" /minimized> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<shell><Explorer.exe> [Microsoft Corporation]
<Userinit><C:\WINDOWS\system32\userinit.exe,> [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
<UIHost><F:\美化專版\美化資源\登入界面\releaved\releaved.exe> []

==================================
啟動資料夾
服務
[AVKProxy / AVKProxy]
<"C:\Program Files\Common Files\G DATA\AVKProxy\AVKProxy.exe"><N/A>
[O&O Defrag / O&O Defrag]
<C:\WINDOWS\system32\oodag.exe><O&O Software GmbH>
[註冊表管理服務 / RegManServ]
<g:\Program Files\Registry Toolkit\RegManServ.exe><N/A>
[Virus Chaser Spider NT / spidernt]
<f:\Virus Chaser\SpiderNT.exe><New Technology Wave Inc.>
[StarWind iSCSI Service / StarWindService]
<F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe><Rocket Division Software>

==================================
瀏覽器載入項
[ThunderIEHelper Class]
{0005A87D-D626-4B3A-84F9-1D9571695F55} <C:\WINDOWS\system32\xunleibho_v13.dll, Thunder Networking Technologies,LTD>
[IDMIEHlprObj Class]
{0055C089-8582-441B-A0BF-17B458C2A3A8} <G:\Program Files\Internet Download Manager\IDMIECC.dll, Internet Download Manager Corp., Tonec Inc.>
[Yahoo Ie-Bar]
{4FCE0A2B-6D48-4B22-AD7A-1ACACABC0B38} <C:\WINDOWS\twuenk_16.dll, N/A>
[]
{53707962-6F74-2D53-2644-206D7942484F} <G:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll, Safer Networking Limited>
[QQBrowserHelperObject Class]
{54EBD53A-9BC1-480B-966A-843A333CA162} <F:\Tencent\qq\QQIEHelper.dll, 深圳市騰訊電腦系統有限公司>
[]
{A9930D97-9CF0-42A0-A10D-4F28836579D5} <G:\PROGRA~1\KUGOO3~1.215\KUGOO3~1.OCX, N/A>
[易趣購物]
{DE60714F-AC17-427e-861A-FD60CBDF119A} <http://click2.ad4all.net/url2/urlmanage/url.asp?id=1, N/A>
[ThunderIEHelper Class]
{0005A87D-D626-4B3A-84F9-1D9571695F55} <C:\WINDOWS\system32\xunleibho_v13.dll, Thunder Networking Technologies,LTD>
[IDMIEHlprObj Class]
{0055C089-8582-441B-A0BF-17B458C2A3A8} <G:\Program Files\Internet Download Manager\IDMIECC.dll, Internet Download Manager Corp., Tonec Inc.>
[Windows Genuine Advantage Validation Tool]
{17492023-C23A-453E-A040-C7C580BBF700} <C:\WINDOWS\system32\legitcheckcontrol.dll, Microsoft Corp.>
[Yahoo Ie-Bar]
{4FCE0A2B-6D48-4B22-AD7A-1ACACABC0B38} <C:\WINDOWS\twuenk_16.dll, N/A>
[]
{53707962-6F74-2D53-2644-206D7942484F} <G:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll, Safer Networking Limited>
[QQBrowserHelperObject Class]
{54EBD53A-9BC1-480B-966A-843A333CA162} <F:\Tencent\qq\QQIEHelper.dll, 深圳市騰訊電腦系統有限公司>
[WUWebControl Class]
{6414512B-B978-451D-A0D8-FCFDF33E833C} <C:\WINDOWS\system32\wuweb.dll, Microsoft Corporation>
[Microsoft Web 瀏覽器]
{8856F961-340A-11D0-A96B-00C04FD705A2} <C:\WINDOWS\system32\shdocvw.dll, Microsoft Corporation>
[]
{A9930D97-9CF0-42A0-A10D-4F28836579D5} <G:\PROGRA~1\KUGOO3~1.215\KUGOO3~1.OCX, N/A>
[Shockwave Flash Object]
{D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash8.ocx, Macromedia, Inc.>
[使用 IDM 下載]
<G:\Program Files\Internet Download Manager\IEExt.htm, N/A>
[使用 IDM 下載所有鏈接]
<G:\Program Files\Internet Download Manager\IEGetAll.htm, N/A>
[使用KuGoo3下載(&K)]
<G:\PROGRA~1\KUGOO3~1.215\KuGoo3DownX.htm, N/A>
[使用迅雷下載]
<g:\Program Files\Thunder Network\Thunder\geturl.htm, N/A>
[使用迅雷下載全部鏈接]
<g:\Program Files\Thunder Network\Thunder\getallurl.htm, N/A>
[新增到QQ表情]
<F:\Tencent\qq\AddEmotion.htm, N/A>

==================================
正在執行的工作行程
[PID: 728][\SystemRoot\System32\smss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 808][\??\C:\WINDOWS\system32\csrss.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 832][\??\C:\WINDOWS\system32\winlogon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 876][C:\WINDOWS\system32\services.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 888][C:\WINDOWS\system32\lsass.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\DRWEBSP.DLL] <Doctor Web, Ltd.><4.33.0.09160>
[PID: 1108][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 1156][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\DRWEBSP.DLL] <Doctor Web, Ltd.><4.33.0.09160>
[PID: 1252][C:\WINDOWS\System32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\DRWEBSP.DLL] <Doctor Web, Ltd.><4.33.0.09160>
[PID: 1372][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\DRWEBSP.DLL] <Doctor Web, Ltd.><4.33.0.09160>
[PID: 1496][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\DRWEBSP.DLL] <Doctor Web, Ltd.><4.33.0.09160>
[PID: 1636][C:\WINDOWS\system32\spoolsv.exe] <Microsoft Corporation><5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)>
[PID: 1844][C:\WINDOWS\Explorer.EXE] <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\Program Files\StormCodec\Codecs\mmfinfo.dll] <N/A><N/A>
[C:\Program Files\StormCodec\Codecs\mkunicode.dll] <N/A><N/A>
[G:\Program Files\小工具集合\Fastcopy\fastext1.dll] <SHIROUZU Hiroaki><1, 3, 0, 0>
[G:\Program Files\Internet Download Manager\IDMIECC.dll] <Internet Download Manager Corp., Tonec Inc.><1, 0, 2, 1>
[C:\WINDOWS\system32\DRWEBSP.DLL] <Doctor Web, Ltd.><4.33.0.09160>
[C:\WINDOWS\twuenk_16.dll] <N/A><N/A>
[G:\PROGRA~1\SPYBOT~1\SPYBOT~1\SDHelper.dll] <Safer Networking Limited><1, 4, 0, 0>
[G:\PROGRA~1\KUGOO3~1.215\KUGOO3~1.OCX] <N/A><N/A>
[F:\解壓工具\WinRAR\rarext.dll] <N/A><N/A>
[C:\WINDOWS\system32\PathCopyEx.dll] <><1, 0, 0, 1>
[f:\Virus Chaser\Shellexe.dll] <New Technology Wave Inc.><5, 0, 0, 0>
[g:\Program Files\Unlocker\UnlockerCOM.dll] <N/A><N/A>
[C:\WINDOWS\FastFolders.dll] <DeskSoft><3.0.0>
[PID: 1952][C:\WINPENJR\Win32\pphidpad.exe] <N/A><N/A>
[PID: 1960][C:\WINDOWS\vsnpstd3.exe] <><1, 0, 1, 2>
[PID: 1976][F:\Soft4Ever\looknstop\looknstop.exe] <Soft4Ever><2, 0, 0, 5>
[C:\WINDOWS\system32\fwapi.dll] <Soft4Ever><4.01>
[F:\Soft4Ever\looknstop\plugin_language.dll] <><1, 0, 0, 1>
[PID: 1988][F:\Virus Chaser\Vcrmon.exe] <New Technology Wave Inc.><5, 0, 0, 101>
[PID: 2000][C:\WINDOWS\system32\ctfmon.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 256][F:\Virus Chaser\spiderml.exe] <Doctor Web, Ltd.><4.33.0.09160>
[F:\Virus Chaser\vchaser.dll] <N/A><N/A>
[F:\Virus Chaser\drwspcnt.dll] <Doctor Web, Ltd.><4.33.0.09160>
[C:\WINDOWS\system32\DRWEBSP.DLL] <Doctor Web, Ltd.><4.33.0.09160>
[PID: 396][C:\WINDOWS\system32\oodag.exe] <O&O Software GmbH><8.0.1341>
[C:\WINDOWS\system32\OODAGRS.DLL] <O&O軟件股份有限公司><8.0.1.1319>
[C:\WINDOWS\system32\DRWEBSP.DLL] <Doctor Web, Ltd.><4.33.0.09160>
[PID: 592][f:\Virus Chaser\SpiderNT.exe] <New Technology Wave Inc.><5, 0, 1, 104>
[PID: 640][F:\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe] <Rocket Division Software><2.6.1 Build 0x20050401>
[C:\WINDOWS\system32\DRWEBSP.DLL] <Doctor Web, Ltd.><4.33.0.09160>
[PID: 700][C:\WINDOWS\system32\svchost.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\dsnpstd3.dll] <><1, 1, 0, 1>
[PID: 752][C:\WINDOWS\system32\wdfmgr.exe] <Microsoft Corporation><5.2.3790.1230 built by: dnsrv(bld4act)>
[PID: 1272][f:\Virus Chaser\Spiderui.exe] <New Technology Wave Inc.><5, 0, 1, 104>
[PID: 1836][C:\WINDOWS\System32\alg.exe] <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[C:\WINDOWS\system32\DRWEBSP.DLL] <Doctor Web, Ltd.><4.33.0.09160>
[PID: 3600][F:\Maxthon\Maxthon.exe] <Maxthon International Ltd.><1, 5, 2, 21>
[F:\Maxthon\maxzlib.dll] < ><1, 0, 0, 2>
[F:\Maxthon\Plugin\ViewSource\ViewSrc.dll] <><1, 0, 0, 1>
[C:\WINDOWS\system32\xunleibho_v13.dll] <Thunder Networking Technologies,LTD><4, 6, 0, 48>
[F:\Maxthon\Services\RealTime\real_time.dll] <><1, 0, 0, 1>
[C:\WINDOWS\system32\DRWEBSP.DLL] <Doctor Web, Ltd.><4.33.0.09160>
[PID: 1820][C:\WINDOWS\system32\wuauclt.exe] <Microsoft Corporation><5.8.0.2469 built by: lab01_n(wmbla)>
[PID: 3620][G:\sreng2\SREng2\SREng.exe] <Smallfrogs Studio><2.0.21.505>
[C:\WINDOWS\system32\DRWEBSP.DLL] <Doctor Web, Ltd.><4.33.0.09160>

==================================
文件關聯
.TXT Error. [C:\WINDOWS\NOTEPAD.EXE %1]
.EXE OK. ["%1" %*]
.COM OK. ["%1" %*]
.PIF OK. ["%1" %*]
.REG OK. [regedit.exe "%1"]
.BAT OK. ["%1" %*]
.SCR OK. ["%1" /S]
.CHM Error. [C:\WINDOWS\hh.exe %1]
.HLP Error. [C:\WINDOWS\winhlp32.exe %1]
.INI Error. [C:\WINDOWS\NOTEPAD.EXE %1]
.INF Error. [C:\WINDOWS\NOTEPAD.EXE %1]
.VBS Error. [wscript.exe "%1" %*]
.JS Error. [NOTEPAD.EXE %1]
.LNK OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================


謝謝了,幫我分析下..並且!

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
我修復了,沒用,請幫忙分析下上面的





A:

下載安裝Windows流氓軟件清理大師 http://www.crsky.com/soft/6700.html
下載安裝惡意軟件清理助手http://www.crsky.com/soft/6251.html

R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo Ie-Bar - {4FCE0A2B-6D48-4B22-AD7A-1ACACABC0B38} - C:\WINDOWS\twuenk_16.dll
然後修復這兩個。

重新啟動後進入安全模式執行軟件進行清理,並刪除上述文件。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-19, 08:59 PM   #28 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Q:
偽裝成電影的病毒在我電腦裡落戶了真不知道該怎麼處理了!!!!

昨天下載了一部電影,我的電影都下載到E盤,然後打開電影資料夾,看見裡面有電影抓圖都很正常,還有個500MB的電影文件圖示,感覺圖示顏色比我電腦上其他電影文件圖示有一點兒淡,便沒想那麼多雙擊準備播放.電腦紅燈一直亮著顯示著系統在打開這個文件,等了好久也沒打開,順手把滑鼠停擱在文件上的時候文件名顯示出好像是:"螢幕保護"的什麼字樣,覺得不對勁會不會文件帶病毒.趕緊重啟動電腦,這時候打開我的電腦發現C硬碟系統硬碟少了幾百MB空間,D盤也少了幾百MB空間.用各種殺毒工具也什麼病毒也查不出,在看E盤,那個剛下載的幾百MB的電影文件也消失了,資料夾裡只有那幾張抓圖.
用搜索功能在電腦裡也找不出這個東西(把文件選項設置為全顯示了).請教高手該怎麼辦啊?
下面是掃瞄的日誌,也看不出什麼:
HijackThis_zww漢化版掃瞄日誌 V1.99.1
儲存於 12:15:27, 日期 2006-6-19
操作系統: Windows XP SP1 (WinNT 5.01.2600)
瀏覽器: Internet Explorer v6.00 SP1 (6.00.2800.1106)

當前執行的工作行程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\新增資料夾 (8)\KV2005\KVMonXP_3.kxp
C:\WINDOWS\VM_STI.EXE
C:\Program Files\ADSL\AccessRunner ADSL\CnxDslTb.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\Ati2evxx.exe
E:\Ewido\ewido anti-malware\ewidoctrl.exe
D:\新2178~1\KV2005\KVSrvXP.exe
C:\WINDOWS\System32\svchost.exe
D:\新增資料夾 (8)\KV2005\TrojDie.kxp
D:\新增資料夾 (8)\KV2005\KRegEx.exe
C:\WINDOWS\System32\DllHost.exe
E:\編輯QQ\QQ防盜\新增資料夾\QQ.exe
C:\Program Files\MyIE2\MyIE.exe
D:\cs2\非凡檢測\HijackThis\HijackThis.exe

O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - D:\新增資料夾 (8)\KV2005\KvShell_2.dll
O3 - IE工具欄增項: 江民殺毒工具欄 - {B5A34A93-D538-43A7-8371-864CB6148D12} - D:\新增資料夾 (8)\KV2005\KvShell_2.dll
O4 - 啟動項HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 啟動項HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 啟動項HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 啟動項HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 啟動項HKLM\\Run: [ATIPTA] rem C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - 啟動項HKLM\\Run: [NeroFilterCheck] rem C:\WINDOWS\system32\NeroCheck.exe
O4 - 啟動項HKLM\\Run: [KvMonXP] "D:\新增資料夾 (8)\KV2005\KVMonXP_3.kxp" /auto
O4 - 啟動項HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - 啟動項HKLM\\Run: [CnxDslTaskBar] "C:\Program Files\ADSL\AccessRunner ADSL\CnxDslTb.exe"
O4 - 啟動項HKCU\\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\kvwspxp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3471FC24-5F2A-4787-930E-4BB640F61AB6}: NameServer = 61.128.99.133 61.134.1.4
O23 - NT 服務: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服務: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服務: ewido security suite control - ewido networks - E:\Ewido\ewido anti-malware\ewidoctrl.exe
O23 - NT 服務: ewido security suite guard - ewido networks - E:\Ewido\ewido anti-malware\ewidoguard.exe
O23 - NT 服務: KVSrvXP - JiangMin New Tech Ltd. - D:\新2178~1\KV2005\KVSrvXP.exe
O23 - NT 服務: System Mageter - Unknown owner - C:\Program Files\Common Files\Consu.exe



A:

現在很多人利用bt的hot,把病毒和電影結合在一起,一般結合文件後綴名大多為exe或者src,exe的文件容易被殺毒軟件給查殺了,而src的螢幕保護程式後綴不容易被一般的用戶查殺,而能直接執行執行該程式,建議用戶把顯示文件名和所有文件顯示綴選上
電影文件一般被自動解壓到了windows文件目錄或者其它目錄,用搜索工具搜索一下大於200mb的文件,應該就會被搜索出來,具體還是要看用戶操作,估計樓主已經中毒了
C:\WINDOWS\System32\DllHost.exe《這個是什麼東西?病毒?
O17 - HKLM\System\CCS\Services\Tcpip\..\{3471FC24-5F2A-4787-930E-4BB640F61AB6}: NameServer = 61.128.99.133 61.134.1.4《這個是什麼服務?

你仔細檢查下,用最新病毒庫和木馬查殺軟件

建議修復
O23 - NT 服務: System Mageter - Unknown owner - C:\Program Files\Common Files\Consu.exe

刪除
C:\Program Files\Common Files\Consu.exe
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-19, 09:01 PM   #29 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Q:

【求助】qqhelper病毒,老是自己下載好煩人

本人使用的是xp系統,殺軟nod32,狂人版QQ,每次開機一陣就報有木馬,日誌如下:
2006-6-16 23:33:14 IMON 自解壓文件 htp://goto2.k265k.com/faceqq/mputoo.exe a variant of Win32/TrojanDownloader.QQHelper 木馬
請問總是這樣該怎麼辦?有沒有辦法防止這個軟件自動下載?

另外,我的電腦有個奇怪的工作行程:d11host.exe,不是dllhost.exe,我停止工作行程後發現這個程式藏在system32資料夾裡,只有用killbox等強制刪除工具才能刪掉,過些時候就又有了,請問這個是什麼東東?

以下是本人用hjacjthis分析的log,請高手幫忙看看:
Logfile of HijackThis v1.99.1
Scan saved at 14:49:46, on 2006-6-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
D:\Program Files\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
d:\Program Files\Eset\nod32krn.exe
d:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
D:\Program Files\Maxthon\Max.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\d11host.exe
d:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe
d:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\EdenSong\LOCALS~1\Temp\Rar$EX00.859\HijackThis.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: QuickBtn - {1A199C20-DE2B-4838-AE3F-B5257ECE2B7E} - C:\Program Files\CoolWebsite\QuickLink.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - d:\Program Files\Tencent\QQIEHelper.dll
O2 - BHO: NetAccelerate Class - {5673A7C0-95CC-4646-BB07-3BD71234CEF9} - C:\WINDOWS\system32\MicrosoftNet.dll
O2 - BHO: CpapView Class - {77962960-536E-47EC-9DDB-52651519705F} - C:\WINDOWS\system32\cacb.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - d:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_001.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MacroMediapd - {B8CCDD47-38E4-4CD2-B7FA-3B4B690F74BD} - C:\WINDOWS\system32\microapmddt.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {6B2455FD-3669-4555-8DF8-69FD5BC846F8} - (no file)
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\System Files Updater.exe /S
O4 - HKLM\..\Run: [nod32kui] "d:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [d11host] C:\WINDOWS\system32\d11host.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?SystemRoot%\Installer\{AC76BA86-2052-0000-7760-100000000002}\SC_Acrobat.exe
O8 - Extra context menu item: &使用迅雷下載 - d:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下載全部鏈接 - d:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 匯出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 匯出當前頁到超星閱覽器(&A) - d:\Program Files\SSREADER36\ss_all.htm
O8 - Extra context menu item: 匯出選中部分到超星閱覽器(&S) - d:\Program Files\SSREADER36\ss_select.htm
O8 - Extra context menu item: 轉換為 Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 轉換為現有 PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: 轉換選定的鏈接為 Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: 轉換選定的鏈接為現有 PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: 轉換選項為 Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 轉換選項為現有 PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: 轉換鏈接目標為 Adobe PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 轉換鏈接目標為現有 PDF - res://D:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: 實用網址導航 - {1D901067-2529-4A9B-9B6B-7A1DB3A44CB5} - C:\Program Files\CoolWebsite\QuickLink.dll
O9 - Extra button: 番茄花園 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - Extra 'Tools' menuitem: 番茄花園 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - Extra button: 訊息檢索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: 易趣購物 - {DE607143-AC19-423e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - Extra 'Tools' menuitem: 易趣購物 - {DE607143-AC19-423e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具條設置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQIEHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {3359C0B1-2363-40B3-AFCA-1ABC799AC486} (SSReaderPlug Control) - http://reg.ssreader.com/ssreaderplug.ocx
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://www.ppstream.com/bin/powerplayer.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1147505266406
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B07C2C9-DFD4-4BF0-864F-A4BDB93B957C}: NameServer = 61.128.99.133,61.128.99.134
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - d:\Program Files\Eset\nod32krn.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - d:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe



A:


關閉IE瀏覽器等視窗後,勾選並修復(點FIX CHECKED):
O2 - BHO: NetAccelerate Class - {5673A7C0-95CC-4646-BB07-3BD71234CEF9} - C:\WINDOWS\system32\MicrosoftNet.dll
O2 - BHO: CpapView Class - {77962960-536E-47EC-9DDB-52651519705F} - C:\WINDOWS\system32\cacb.dll
4 - HKLM\..\Run: [d11host] C:\WINDOWS\system32\d11host.exe
重啟電腦後刪除上述文件。
QQHELPER自動下載這個問題見過幾次,極其少見。但是始終找不到罪魁禍首。只能用屏蔽HOST方法讓其不對你電腦造成危害而無法使其不下載
你可以編輯本機的HOST文件加入新的一行 127.0.0.1 http://goto2.k265k.com
HOST文件在C:\WINDOWS\system32\drivers\etc 用記事本打開
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-06-19, 09:05 PM   #30 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

如何看hijackthis掃瞄出來的日誌

HijackThis日誌細解正文

(一)HijackThis日誌縱覽
R0,R1,R2,R3 Internet Explorer(IE)的預定起始主頁和預定搜索頁的改變
F0,F1,F2,F3 ini文件中的自動載入程式
N1,N2,N3,N4 Netscape/Mozilla 的預定起始主頁和預定搜索頁的改變
O1 Hosts文件重定向
O2 Browser Helper Objects(BHO,瀏覽器輔助模塊)
O3 IE瀏覽器的工具條
O4 自啟動項
O5 控制台中被屏蔽的IE選項
O6 IE選項被管理員禁用
O7 註冊表編輯器(regedit)被管理員禁用
O8 IE的右鍵表菜單中的新增專案
O9 額外的IE「工具」表菜單專案及工具欄按鈕
O10 Winsock LSP「瀏覽器綁架」
O11 IE的高階選項中的新專案
O12 IE插件
O13 對IE預定的URL前綴的修改
O14 對「重置WEB設置」的修改
O15 「受信任的站點」中的不速之客
O16 Downloaded Program Files目錄下的那些ActiveX對像
O17 域「劫持」
O18 額外的協議和協議「劫持」
O19 用戶樣式模板表(stylesheet)「劫持」
O20 註冊表鍵值AppInit_DLLs處的自啟動項
O21 註冊表鍵ShellServiceObjectDelayLoad處的自啟動項
O22 註冊表鍵SharedTaskScheduler處的自啟動項

(二)組別——R

1. 專案說明
R – 註冊表中Internet Explorer(IE)的預定起始主頁和預定搜索頁的改變
R0 - 註冊表中IE主頁/搜索頁預定鍵值的改變
R1 - 新增的註冊表值(V),或稱為鍵值,可能導致IE主頁/搜索頁的改變
R2 - 新增的註冊表項(K),或稱為鍵,可能導致IE主頁/搜索頁的改變
R3 - 在本來應該只有一個鍵值的地方新增的額外鍵值,可能導致IE搜索頁的改變

R3主要出現在URLSearchHooks這一專案上,當我們在IE中輸入錯誤的網址後,瀏覽器會試圖在註冊表中這一項列出的位置找到進一步查詢的線索。正常情況下,當我們在IE中輸入錯誤的網址後,瀏覽器會使用預定的搜索引擎(如http://search.msn.com/、網路實...它網頁。

2. 舉例
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=http://www.google.com/
(HKCU就是HKEY_CURRENT_USER,HKLM就是HKEY_LOCAL_MACHINE,下同)
上面的例子中,預定主頁被改變,指向了新的地址http://www.google.com/。
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLOADED PROGRAM FILES\BDSRHOOK.DLL
這是百度搜索
R3 - URLSearchHook: CnsHook Class - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CNSHOOK.DLL
這是3721網路實名
R3 - Default URLSearchHook is missing
這是報告發現一個錯誤(預定的URLSearchHook丟失)。此錯誤可以用HijackThis修復。

3. 一般建議
對於R0、R1,如果您認得後面的網址,知道它是安全的,甚至那就是您自己這樣設置的,當然不用去修復。否則的話,在那一行前面打勾,然後按「Fix checked」,讓HijackThis修復它。
對於R2項,據HijackThis的作者說,實際上現在還沒有用到。
對於R3,一般總是要選修復,除非它指向一個您認識的程式(比如百度搜索和3721網路實名)。

4. 疑難解析
(1) 偶爾,在這一組的某些專案後面會出現一個特殊的詞——(obfuscated),例如下面幾個
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ls0.net/home.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\kihm.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://%34%2Dv%2Enet/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,(Default) = http://ls0.net/srchasst.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://homepage.com%00@www.e-finder.cc/search/ (obfuscated)

obfuscated,中文大意為「使混亂,使糊塗迷惑,使過於混亂或模糊,使得難於感覺或理解」。這裡主要是最後一個意義。這些被HijackThis標為obfuscated的專案在對IE主頁/搜索頁進行修改的同時,還利用各種方法把自己變得不易理解,以躲避人們對註冊表內容的查找辨識(比如直接在註冊表特定位置新增十六進制字元鍵值,電腦認得它,一般人可就不認得了)。

(2) 有些R3專案{ }號後面,會跟上一個下劃線( _ ),比如下面幾個:

R3 - URLSearchHook: (no name) - {8952A998-1E7E-4716-B23D-3DBE03910972}_ - (no file)
R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310}_ - (no file)
R3 - URLSearchHook: (no name) - {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ - (no file)

這些{ }後面多一個下劃線的R3專案,實際上無法使用HijackThis修復(這是HijackThis本身的一個bug)。如果要修復這樣的專案,需要打開註冊表編輯器(開始——執行——輸入 regedit——按「確定」),找到下面的鍵

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

對比HijackThis的掃瞄日誌中那些R3項的CLSID——就是{ }號中的數位——刪除想要刪除的專案,但要注意不要誤刪以下一項
CFBFAE00-17A6-11D0-99CB-00C04FD64497
這一項是預定的。

請注意,如果是在{ }號前面有一個下劃線,這些專案HijackThis可以正常清除。比如下面的:
R3 - URLSearchHook: (no name) - _{00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{707E6F76-9FFB-4920-A976-EA101271BC25} - (no file)
R3 - URLSearchHook: (no name) - _{8952A998-1E7E-4716-B23D-3DBE03910972} - (no file)
R3 - URLSearchHook: (no name) - _{5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file)
R3 - URLSearchHook: (no name) - _{4FC95EDD-4796-4966-9049-29649C80111D} - (no file)

(3)最近見到不少後面沒有內容的R3項。比如
R3 - URLSearchHook:
懷疑這是3721的專案,如果您安裝了3721,則會出現這樣一個R3項。使用HijackThis無法修復這一項。是否使用3721決定權在用戶自己。

(三)組別——F

** 特別提醒:如果您在HijackThis的掃瞄日誌中發現了F2項並進行了修復,一旦因為某些原因想要反悔,請「不要」使用HijackThis的恢復功能來取消對F2專案的修改(我指的是config表菜單——Backups表菜單——Restore功能),因為據報告HijackThis在恢復對F2項的修改時,可能會錯誤地修改註冊表中另一個鍵值。此bug已被反映給HijackThis的作者。
此bug涉及的註冊表鍵值是
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit
一旦對上面鍵值相關的F2項使用HijackThis修復後再使用HijackThis的恢復功能恢復對這一項的修改,可能會錯誤修改另一個鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:Shell

所以,如果您在HijackThis的掃瞄日誌中發現了類似下面的F2項並進行了修復,一旦因為某些原因想要反悔,請手動修改上面提到的UserInit鍵值(HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit)
F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
不過,說實話,在我的記憶中我從沒有處理過含有F2項的HijackThis掃瞄日誌。

1. 專案說明
F - ini文件中的自動執行程式或者註冊表中的等價專案
F0 - ini文件中改變的值,system.ini中啟動的自動執行程式
F1 - ini文件中新增的值,win.ini中啟動的自動執行程式
F2 - 註冊表中system.ini文件映射區中啟動的自動執行程式或註冊表中UserInit項後面啟動的其它程式
F3 - 註冊表中win.ini文件映射區中啟動的自動執行程式

F0和F1分別對應system.ini和win.ini文件中啟動的自動執行程式。
F0對應在System.ini文件中「Shell=」這一項(沒有引號)後面啟動的額外程式。在Windows 9X中,System.ini裡面這一項應該是
Shell=explorer.exe
這一項指明使用explorer.exe作為整個操作系統的「殼」,來處理用戶的操作。這是預定的。如果在explorer.exe後面加上其它程式名,該程式在啟動Windows時也會被執行,這是木馬啟動的方式之一(比較傳統的啟動方式之一)。比如
Shell=explorer.exe trojan.exe
這樣就可以使得trojan.exe在啟動Windows時也被自動執行。
F1對應在win.ini文件中「Run=」或「Load=」項(均沒有引號)後面啟動的程式。這些程式也會在啟動Windows時自動執行。通常,「Run=」用來啟動一些老的程式以保持相容性,而「Load=」用來載入某些硬體驅動。
F2和F3項分別對應F0和F1項在註冊表中的「映像」。在Windows NT、2000、XP中,通常不使用上面提到的system.ini和win.ini文件,它們使用一種稱作IniFileMapping(ini文件映射)的方式,把這些ini文件的內容完全放在註冊表裡。程式要求這些ini文件中的相關訊息時,Windows會先到註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping這裡查找需要的內容,而不是去找那些ini文件。F2/F3其實和F0/F1相類似,只不過它們指向註冊表裡的ini映像。另外有一點不同的是,F2項中還報告下面鍵值處額外啟動的程式
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
此處預定的鍵值是(注意後面有個逗號)
C:\WINDOWS\system32\userinit.exe,
(根據您的Windows版本和安裝目錄的不同,路徑裡的「C」和「windows」可能不盡相同,總之這裡預定指向%System%\userinit.exe
%System%指的是系統文件目錄
對於NT、2000,該鍵值預定為X:\WINNT\system32\userinit.exe
對於XP,該鍵值預定為X:\WINDOWS\system32\userinit.exe
這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。)
這個鍵值是Windows NT、2000、XP等用來在用戶登入後載入該用戶相關訊息的。如果在這裡新增其它程式(在該鍵值中userinit.exe後的逗號後面可以新增其它程式),這些程式在用戶登入後也會被執行。比如將其鍵值改為
C:\windows\system32\userinit.exe,c:\windows\trojan.exe
則c:\windows\trojan.exe這個程式也會在用戶登入後自動執行。這也是木馬等啟動的方式之一。

總之,F項相關的文件包括
c:\windows\system.ini
c:\windows\win.ini
(根據您的Windows版本和安裝目錄的不同,路徑裡的「C」和「windows」可能不盡相同,總之這裡指的是%windows%目錄下的這兩個ini文件
%Windows%目錄指的是Windows安裝目錄
對於NT、2000,Windows安裝目錄為X:\WINNT\
對於XP,Windows安裝目錄為X:\WINDOWS\
這裡的X指的是Windows安裝到的盤的磁碟代號。此問題後面不再重複解釋了。)
F項相關的註冊表專案包括
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping

2. 舉例
F0 - system.ini: Shell=Explorer.exe trojan.exe
上面的例子中,在system.ini文件中,預定的Shell=Explorer.exe後面又啟動了一個trojan.exe,這個trojan.exe十分可疑。
F1 - win.ini: run=hpfsched
上面的例子中,在win.ini文件中,啟動了hpfsched這個程式,需要分析。
F2 - REG:-System.ini: UserInit=userinit,trojan.exe
上面的例子中,UserInit項(說明見上)中額外啟動了trojan.exe
F2 - REG:-System.ini: Shell=explorer.exe trojan.exe
上面的例子其實相當於第一個例子F0 - system.ini: Shell=Explorer.exe trojan.exe,在註冊表中的system.ini文件「映像」中,額外啟動了trojan.exe。

3. 一般建議
基本上,F0提示的Explorer.exe後面的程式總是有問題的,一般應該修復。
F1後面的需要慎重對待,一些老的程式的確要在這裡載入。所以應該仔細看看載入的程式的名字,在電腦上查一下,網上搜一搜,具體問題具體分析。
對於F2項,如果是關於「Shell=」的,相當於F0的情況,一般應該修復。如果是關於「UserInit=」的,除了下面的「疑難解析」中提到的幾種情況另作分析外,一般也建議修復。但要注意,一旦修復了關於「UserInit=」的F2項,請不要使用HijackThis的恢復功能恢復對這一項的修改,這一點上面著重提到了。當然,您也可以利用「UserInit=」自己設置一些軟件開機自啟動,這是題外話了,相信如果是您自己設置的,您一定不會誤刪的。

4. 疑難解析
(1) F2 - REG:-System.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
注意到這一項與預定情況的區別了嗎?其實,這一項之所以被HijackThis報告出來,是因為丟失了鍵值最後的一個逗號。但這並不是真正的問題,可以不予理會。

(2) F2 - REG:-System.ini: UserInit=userinit,nddeagnt.exe
nddeagnt.exe是Network Dynamic Data Exchange Agent,這一項出現在userinit後面也是正常的。

(3) F2 - REG:-System.ini: UserInit=C:\Windows\System32\wsaupdater.exe,
這一個比較特別,這是廣告程式BlazeFind幹的好事,這個廣告程式修改註冊表時不是把自己的wsaupdater.exe放在userinit的後面,而是直接用wsaupdater.exe替換了userinit.exe,使得註冊表這一項
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
的鍵值從預定的
C:\WINDOWS\system32\userinit.exe,
變為
C:\Windows\System32\wsaupdater.exe,
如果您使用Ad-aware 6 Build 181清除該廣告程式,重啟動後可能會造成用戶無法登入系統。這時需要使用光碟或者軟碟啟動,將userinit.exe複製一份,命名為wsaupdater.exe放在同一目錄下,以使得系統能夠正常登入,然後將上面所述的註冊表中被廣告程式修改的鍵值恢復預定值,再刪除wsaupdater.exe文件。
該問題存在於Ad-aware 6 Build 181,據我所知,HijackThis可以正常修復這一項。
具體訊息清參考
http://www.lavahelp.com/articles/v6/04/06/0901.html

(四)組別——N

1. 專案說明
N - Netscape、Mozilla瀏覽器的預定起始主頁和預定搜索頁的改變
N1 - Netscape 4.x中,瀏覽器的預定起始主頁和預定搜索頁的改變
N2 - Netscape 6中,瀏覽器的預定起始主頁和預定搜索頁的改變
N3 - Netscape 7中,瀏覽器的預定起始主頁和預定搜索頁的改變
N4 - Mozilla中,瀏覽器的預定起始主頁和預定搜索頁的改變

與這些改變相關的文件為prefs.js。

2. 舉例
N1 - Netscape 4: user_pref("browser.startup.homepage", "www.google.com"); (C:\Program Files\Netscape\Users\default\prefs.js)
N2 - Netscape 6: user_pref("browser.startup.homepage", "http://www.google.com"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)
N2 - Netscape 6: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%206%5Csearchplugins%5CSBWeb_02.src"); (C:\Documents and Settings\User\Application Data\Mozilla\Profiles\defaulto9t1tfl.slt\prefs.js)

3. 一般建議
一般來說,Netscape和Mozilla的預定起始主頁和預定搜索頁是比較安全的,很少被修改。如果你在預定起始主頁或預定搜索頁看到了一個陌生的地址,可以修復它。
已知,Lop.com(Live Online Portal)這個網站會修改上述N類項。有興趣者請參考此鏈接提供的詳細訊息
http://www.doxdesk.com/parasite/lop.html

4. 疑難解析
(暫無)

(五)組別——O1(字母O,代表Other即「其它」類,以下各組同屬O類)

1. 專案說明
O1代表在hosts文件中對某個網址與IP地址的映射。在瀏覽器中輸入網址時,瀏覽器會先檢查hosts文件中是否存在該網址的映射,如果有,則直接連接到相應IP地址,不再請求DNS域名解析。這個方法可以用來加快瀏覽速度,也可能被木馬等惡意程式用來打開某些網址、屏蔽某些網址。
這個hosts文件在系統中的通常位置為
C:\WINDOWS\HOSTS (Windows 3.1、95、98、Me)

C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS (Windows NT、2000)

C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS (XP、2003)
注意,沒有延伸名。

該文件的一般格式類似

219.238.233.202 www.rising.com.cn

注意,IP地址在前,空格後為網址,下一個映射另起一行。(若有#,則#後的部分作為註釋,不起作用。)
上面的例子中,瑞星的主頁http://www.rising.com.cn和IP地址2...搜索頁。

2. 舉例
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
在上面的例子中,預定搜索頁(auto.search.msn.com、search.netscape.com、ieautosearch是不同情況下的預定搜索頁)被指向了216.177.73.139這個IP地址。造成每次使用瀏覽器的搜索功能,都被帶到216.177.73.139這個地方。

下面是XP的原始Hosts文件的內容

# Copyright (C) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a `#` symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

所有以#開始的行都是註釋內容,不起作用。最後一行指明本機主機(localhost)的IP地址為127.0.0.1(這是預定的)。

3. 一般建議
HijackThis報告O1項時,一般建議修復它,除非是您自己在Hosts文件中如此設置的。

4. 疑難解析
O1 - Hosts file is located at C:\Windows\Help\hosts
如果發現hosts文件出現在C:\Windows\Help\這樣的資料夾中,那麼很可能感染了CoolWebSearch(跟上面提到的Lop.com一樣著名的惡意網站家族),應該使用HijackThis修復相關項。當然,別忘了還有CoolWebSearch的專殺——CoolWebSearch Shredder (CWShredder.exe)。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 10:34 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1