瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 浏览器被 www.yxgou.com劫持,有日志,谢谢帮忙了!!!
ensemble - 2005-11-5 10:10:00
我用卡卡助手也没有修复。。。。


下面是日志:
HijackThis_815汉化版扫描日志 V1.99.1
保存于      9:22:41, 日期 2005-11-4
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Sygate\SON\Sygate.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\qq\Setup_w0011\IExplorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
E:\nimns\mysql\bin\mysqld-nt.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Sygate\SON\sgserv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Tencent\qq\QQ.exe
C:\Program Files\Tencent\qq\TIMPlatform.exe
C:\Program Files\Tencent\qq\QQMail.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\shi\桌面\科学字典\Hijackthis\HijackThis1991zww.exe

O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - 启动项HKLM\\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - 启动项HKLM\\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - 启动项HKLM\\Run: [SyGateManager] C:\Program Files\Sygate\SON\Sygate.exe
O4 - 启动项HKLM\\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [IMJPMIG8.2] C:\Program Files\qq\Setup_w0011\IExplorer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2591588802cd8e72d504/netzip/RdxIE601_cn.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C0C80F2-70D2-4279-BF4B-0C607A64405A}: NameServer = 202.195.224.100,202.195.224.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AB7D9B-858C-474F-85A8-ABFC2D78956A}: NameServer = 202.195.224.100,202.195.224.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{D99E36E6-008B-43D6-9CA1-0E6AD3FF9A4B}: NameServer = 202.195.224.100,202.195.224.101
O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\System32\mbprot.dll
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: MySql - Unknown owner - E:/nimns/mysql/bin/mysqld-nt.exe
O23 - NT 服务: Norton AntiVirus 自动防护服务 (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - NT 服务: SyGateService (SaService) - Sygate technologies Inc. - C:\Program Files\Sygate\SON\sgserv.exe
O23 - NT 服务: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - NT 服务: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

飞跃迷离 - 2005-11-5 10:56:00
请问楼主是怎么被劫持的?
水晶宫毛毛 - 2005-11-6 12:46:00
问题在于启动项的这一行:C:\Program Files\qq\Setup_w0011\IExplorer.exe
该网站进入后会自动下载一个程序,并修改注册表使之开机自动运行.开机后按ctrl+alt+del查看,会发现有"工程1"这个程序在运行.
清除的方法很简单,把c:\program files\qq这个目录删除,并把相应的进程关闭,修改好主页,关机重启即可.
kunzhou - 2005-11-9 23:31:00
我前几天也遇到这个问题,我自己解决了。方法如下:很简单的首先在进程里结束一个类似于IExplore.exe的进程(前2个字母是大写的)。然后去c盘下面(不知道是不是根据系统盘走的)Program Files找一个qq(注意是小写)的文件夹,里面应该有3个文件。将该文件删除。
在去注册表里面去找启动项里面有这么个东西C:\Program Files\qq\Setup_w0011\IExplorer.exe
删除掉。重启就可以了(其实重不重启动无所谓)。
以上没有在安全模式下操作。
怀疑该病毒会变种,请大家小心。
魔法学徒 - 2005-11-9 23:43:00
同意3楼朋友的意见

问题出在
C:\Program Files\qq\Setup_w0011\IExplorer.exe

kunzhou - 2005-11-10 21:47:00
该病毒可能与青娱乐也有关系,因为我在做前面的操作前,我是先删除青娱乐的。
liuxingmatt - 2008-3-3 11:17:00
引用:
【ensemble的贴子】我用卡卡助手也没有修复。。。。


下面是日志:
HijackThis_815汉化版扫描日志 V1.99.1
保存于      9:22:41, 日期 2005-11-4
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\Sygate\SON\Sygate.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\qq\Setup_w0011\IExplorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
E:\nimns\mysql\bin\mysqld-nt.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
C:\Program Files\Sygate\SON\sgserv.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Tencent\qq\QQ.exe
C:\Program Files\Tencent\qq\TIMPlatform.exe
C:\Program Files\Tencent\qq\QQMail.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Documents and Settings\shi\桌面\科学字典\Hijackthis\HijackThis1991zww.exe

O3 - IE工具栏增项: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - 启动项HKLM\\Run: [ccApp] C:\Program Files\Common Files\Symantec Shared\ccApp.exe
O4 - 启动项HKLM\\Run: [ccRegVfy] C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe
O4 - 启动项HKLM\\Run: [SyGateManager] C:\Program Files\Sygate\SON\Sygate.exe
O4 - 启动项HKLM\\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [IMJPMIG8.2] C:\Program Files\qq\Setup_w0011\IExplorer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2591588802cd8e72d504/netzip/RdxIE601_cn.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan ) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C0C80F2-70D2-4279-BF4B-0C607A64405A}: NameServer = 202.195.224.100,202.195.224.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{D3AB7D9B-858C-474F-85A8-ABFC2D78956A}: NameServer = 202.195.224.100,202.195.224.101
O17 - HKLM\System\CCS\Services\Tcpip\..\{D99E36E6-008B-43D6-9CA1-0E6AD3FF9A4B}: NameServer = 202.195.224.100,202.195.224.101
O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\System32\mbprot.dll
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: MySql - Unknown owner - E:/nimns/mysql/bin/mysqld-nt.exe
O23 - NT 服务: Norton AntiVirus 自动防护服务 (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - NT 服务: SyGateService (SaService) - Sygate technologies Inc. - C:\Program Files\Sygate\SON\sgserv.exe
O23 - NT 服务: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - NT 服务: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe


………………

解决了没?
海生 - 2008-3-3 13:03:00
引用:
【kunzhou的贴子】我前几天也遇到这个问题,我自己解决了。方法如下:很简单的首先在进程里结束一个类似于IExplore.exe的进程(前2个字母是大写的)。然后去c盘下面(不知道是不是根据系统盘走的)Program Files找一个qq(注意是小写)的文件夹,里面应该有3个文件。将该文件删除。
在去注册表里面去找启动项里面有这么个东西C:\Program Files\qq\Setup_w0011\IExplorer.exe
删除掉。重启就可以了(其实重不重启动无所谓)。
以上没有在安全模式下操作。
怀疑该病毒会变种,请大家小心。
………………



刚才试了在正常模式下面删除,重新启动之后扫描没有发现再出现这个问题,估计还没有变种的能力。
1
查看完整版本: 浏览器被 www.yxgou.com劫持,有日志,谢谢帮忙了!!!
© 2000 - 2026 Rising Corp. Ltd.