瑞星卡卡安全论坛
来自何处 - 2005-11-13 22:34:00
你们的东东都比我的多,我也发一个上来帮我参谋参谋.
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 22:29:14, 日期 2005-11-13
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Rising\Rav\Ravmond.exe
d:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
d:\program files\rising\rfw\RfwMain.exe
D:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\racer-henan-cnc\racer.exe
C:\Program Files\racer-henan-cnc\RacerKp.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Adobe\Acrobat 6.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\WISPTIS.EXE
H:\备用软件\16-绿色软件\6-系统扫描工具\系统扫描hijackthis 1.99.1\HijackThis V1.99.1汉化版\HijackThis1991zww.exe
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\pdf7.0\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162}? - (no file)
O2 - BHO: HunterSite Class - {A83E9D7E-119A-4A2C-94FE-2D4315ED3D40} - D:\Program Files\GetFlash\GetFlash.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - IE工具栏增项: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [RavTask] "D:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "D:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\pdf7.0\Acrobat 7.0\Reader\reader_sl.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Program Files\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Program Files\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: Save Flash to GetFlash - res://D:\Program Files\GetFlash\GetFlash.dll/GetFlash.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\QQ2005\AddEmotion.htm
O9 - 浏览器额外的按钮: GetFlash - {348821E2-5D36-42c5-9821-E3293F6699F9} - D:\Program Files\GetFlash\GetFlash.dll
O9 - 浏览器额外的“工具”菜单项: GetFlash - {348821E2-5D36-42c5-9821-E3293F6699F9} - D:\Program Files\GetFlash\GetFlash.dll
O9 - 浏览器额外的按钮: GetFlash - {3CA1D406-30D8-4DBC-8EE6-0E2C05F78864} - D:\Program Files\GetFlash\GetFlash.dll
O9 - 浏览器额外的“工具”菜单项: GetFlash - {3CA1D406-30D8-4DBC-8EE6-0E2C05F78864} - D:\Program Files\GetFlash\GetFlash.dll
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - D:\Program Files\QQ2005\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - D:\Program Files\QQ2005\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - D:\Program Files\QQ2005\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - D:\Program Files\QQ2005\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的按钮: GetFlash - {3CA1D406-30D8-4DBC-8EE6-0E2C05F78864} - D:\Program Files\GetFlash\GetFlash.dll (HKCU)
O9 - 浏览器额外的“工具”菜单项: GetFlash - {3CA1D406-30D8-4DBC-8EE6-0E2C05F78864} - D:\Program Files\GetFlash\GetFlash.dll (HKCU)
O11 - Options group: [!AGetFlash] GetFlash
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131302446428
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131775241578
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\Ravmond.exe
来自何处 - 2005-11-13 22:42:00
C++果冻.怎么搞的呀用着您了跑掉了.唉.
爱我就跟我走 - 2005-11-13 23:41:00
这就是你不穿衣服上网的后果
帮你顶下,偶也想知道解决方法```````````````
阿蛮 - 2005-11-14 0:08:00
装了3721助手挷的东西就是多
叶子弟弟有工商银行的灵通卡被我看见了
呵呵~~~有钱人
阿蛮 - 2005-11-14 0:14:00
叶子弟弟是北京人?
漂亮妹妹1989 - 2005-11-14 0:16:00
你们两个家伙眼力一个比一个厉害!
高人哪!!!
阿蛮 - 2005-11-14 0:46:00
漂亮的妹妹这么晚不不睡?看了你日志,水平有限,帮不了你什么,好像你雅虎助手,兔子上网精灵一起自启动,没必要2个一起吧!你用牙虎助手后在关机时不感觉慢吗?
O18 - 列举现有的协议: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - 列举现有的协议: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: ipp - (no CLSID) - (no file)
O18 - 列举现有的协议: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - 列举现有的协议: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列举现有的协议: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列举现有的协议: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - 列举现有的协议: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: msdaipp - (no CLSID) - (no file)
O18 - 列举现有的协议: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列举现有的协议: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - 列举现有的协议: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - 列举现有的协议: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - 列举现有的协议: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
这些是你修复后出现的情况吧?应该是修复后的提示.你重新用HijackThis扫下,应该没有018上面的那些了
爱我就跟我走 - 2005-11-14 0:59:00
下面是Hij的日志解析,023项在第5楼,很好的东东,希望对PLMM和大家有所帮助,018项是Hij的一个bug,要在第2次扫描时才会出现,偶就知道这么多了~~~~~~~~~~~~~~~~~~~~~~
http://forum.ikaka.com/topic.asp?board=67&artid=3926957
漂亮妹妹1989 - 2005-11-14 1:21:00
谢谢二位。
阿蛮:兔子我没用它的上网精灵,就随机启动了内存整理一项。雅虎助手本不是好东西,只不过觉得对菜鸟我来说,目前阶段还用的着。
37楼的,我虽然不爱你,但还是跟你走--看贴去!
爱我就跟我走 - 2005-11-14 2:03:00
汗,偶是在注册昵称时看了郭的图片,想到了这句歌词~~~~~~~
只是个代号而已,没其他的~~~~~~~~~~```
春雨的色彩 - 2005-11-14 7:21:00
这个是俺的扫描!!!!!!
HijackThis_815汉化版扫描日志 V1.99.1
保存于 7:17:38, 日期 2005-11-14
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\rising\Rfw\rfwmain.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\下载包\4483172005817224059\HijackThis1991zww.exe
R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}? - (no file)
O2 - BHO: (no name) - {0E7505F8-8F30-41E0-9D1E-D9DEABD36D38} - (no file)
O2 - BHO: CCIT Memory Manager - {2CE7166E-8BBA-4E76-BA7E-02AB3C573011}? - (no file)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162}? - (no file)
O2 - BHO: EyeOnIE Class - {82925498-364E-4419-B3BF-CD12FC7A8815} - D:\Program Files\Tuotu\xDownDll2.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B}? - (no file)
O3 - IE工具栏增项: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3}? - (no file)
O3 - IE工具栏增项: (no name) - {F60C7D81-8471-4D40-AAFE-56D318F34C2D}? - (no file)
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - d:\PROGRA~1\Kingsoft\FASTAI~1\IEBand.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 使用脱兔下载 - D:\Program Files\Tuotu\xdownGeturl.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 新浪UC - {2253922F-1B26-4C74-8B57-E3AEE748DBB8}? - D:\Program Files\sina\UC\UC.exe
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263}? - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - d:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - d:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: 脱兔下载 - {D5C1CCC2-811B-4bf2-BF22-0D3B89600F5B} - D:\Program Files\Tuotu\TuoTu.exe
O9 - 浏览器额外的“工具”菜单项: &TuoTu - {D5C1CCC2-811B-4bf2-BF22-0D3B89600F5B} - D:\Program Files\Tuotu\TuoTu.exe
O9 - 浏览器额外的按钮: 脱兔下载 - {D5C1CCC2-811B-4bf2-BF22-0D3B89600F5B}? - D:\Program Files\Tuotu\TuoTu.exe
O9 - 浏览器额外的“工具”菜单项: &TuoTu - {D5C1CCC2-811B-4bf2-BF22-0D3B89600F5B}? - D:\Program Files\Tuotu\TuoTu.exe
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3}? - D:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3}? - D:\PROGRA~1\FlashGet\flashget.exe (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (CwlscInstall Object) - https://scan.safety.live.com/resource/download/scanner/en-us/wlscbase1524.cab
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
春雨的色彩 - 2005-11-14 7:27:00
天空软件里新的HijackThis V1.99.2 有病毒,大家小心!!!
病毒分类 WINDOWS下的PE病毒 病毒名称 TrojanDropper.MultiJoiner.13.e
别 名 病毒长度
依赖系统 传播途径
行为类型 WINDOWS下的木马程序 感 染
病毒发作 瑞 星 版 本 号
16.37.20
释放多个病毒
hellokiddy - 2005-11-14 7:49:00
高手还没上来,帮顶下
回41楼,官方的HijackThis没有V1.99.2版的
寿宁 - 2005-11-14 8:40:00
| 引用: |
【漂亮妹妹1989的贴子】寿宁老师你好!下午在【管理工具】--【服务】里发现了一“EnvSec”可疑服务项,处于手动已停止状态,将其禁用关闭后重启进入安全模式,用hajackthis扫描无果,遂打开资源管理器,显示所有隐藏受保护文件,输入envsec在windows下搜索,只找到一个名称为“winspeed undo 2005-11-1”的注册表项,路径为“c:\windows\magicset”。
接着打开注册表编辑器,输入envsec进行查找,却意外的发现了那个可恶的fe7zf.exe等8个注册项。(见附图)(c:\pagefile.sys文件无法删除,提示是系统文件被程序占用)
最后,我打电话到为我组装电脑装操作系统的电脑店,问明其店内的电脑操作系统里只有一个安装路径为c:\windows\system32下的winlogon.exe文件。则是否可以判定我的操作系统内另一路径为c:\windows\system32\dllcache下的winlogon.exe文件为病毒文件?我已将其删除移入回收夹,重启回到正常模式后感觉系统正常。
综上所述,特此请教寿宁老师,在没找到Envsec.exe及fe7zf.exe病毒文件的情况下,能否将那8个注册表项一并删除?还有更好的查杀处理办法吗?
如何处之,敬请详示。谢谢!
........................... |
在情况未进一步确定的情况下,请先备份注册表,然后将那8个注册表项一并删除!
给予奖励正版WINDVD,加我的QQ,晚上8:30-9:00左右,我在线,给你发送正版WINDVD。
taylor05771 - 2005-11-14 9:29:00
在我现有的样本中还没发现写8处注册表
我那个写了2处嘿嘿
MM这个发现绝对是惊人的
最好能向寿宁提供样本
便于分析
来自何处 - 2005-11-14 9:56:00
各位老师稍代着也帮咱看看扫描的内容.有没有问题呀.回个话哟.先谢谢.
taylor05771 - 2005-11-14 10:06:00
EnvSec键盘木马
我在我的病毒库找了一下 没有收集这个病毒
查了一下网络上的资料
关于这个木马的不是很多
主要是用来盗号的
金山的可疑文件扫描器 可以发现这玩意
xinyu9608 - 2005-11-14 10:10:00
偶是不是也中马了,请两位老师给看看。
在系统盘中搜索winlogon有两项,第二项是不是有问题?
另外,搜索fe7zf没有找到。
附件:
49168320051114101025.bmp
taylor05771 - 2005-11-14 10:12:00
EnvSec键盘木马位于 c:\windows\sysytem32文件夹下面
其文件名为 EnvSec.exe
你可以找到这个文件
上报给我和寿宁
taylor0577@zj.com
来自何处 - 2005-11-14 12:11:00
网警老好:帮忙看看我扫的日记.有没有可疑的东东好吗.
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 22:29:14, 日期 2005-11-13
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Rising\Rav\Ravmond.exe
d:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
d:\program files\rising\rfw\RfwMain.exe
D:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\racer-henan-cnc\racer.exe
C:\Program Files\racer-henan-cnc\RacerKp.exe
C:\WINDOWS\System32\svchost.exe
D:\Program Files\Adobe\Acrobat 6.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\WISPTIS.EXE
H:\备用软件\16-绿色软件\6-系统扫描工具\系统扫描hijackthis 1.99.1\HijackThis V1.99.1汉化版\HijackThis1991zww.exe
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\pdf7.0\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162}? - (no file)
O2 - BHO: HunterSite Class - {A83E9D7E-119A-4A2C-94FE-2D4315ED3D40} - D:\Program Files\GetFlash\GetFlash.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - IE工具栏增项: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [RavTask] "D:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "D:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program Files\pdf7.0\Acrobat 7.0\Reader\reader_sl.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Program Files\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Program Files\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: Save Flash to GetFlash - res://D:\Program Files\GetFlash\GetFlash.dll/GetFlash.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\QQ2005\AddEmotion.htm
O9 - 浏览器额外的按钮: GetFlash - {348821E2-5D36-42c5-9821-E3293F6699F9} - D:\Program Files\GetFlash\GetFlash.dll
O9 - 浏览器额外的“工具”菜单项: GetFlash - {348821E2-5D36-42c5-9821-E3293F6699F9} - D:\Program Files\GetFlash\GetFlash.dll
O9 - 浏览器额外的按钮: GetFlash - {3CA1D406-30D8-4DBC-8EE6-0E2C05F78864} - D:\Program Files\GetFlash\GetFlash.dll
O9 - 浏览器额外的“工具”菜单项: GetFlash - {3CA1D406-30D8-4DBC-8EE6-0E2C05F78864} - D:\Program Files\GetFlash\GetFlash.dll
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - D:\Program Files\QQ2005\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - D:\Program Files\QQ2005\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - D:\Program Files\QQ2005\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - D:\Program Files\QQ2005\QQIEHelper.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的按钮: GetFlash - {3CA1D406-30D8-4DBC-8EE6-0E2C05F78864} - D:\Program Files\GetFlash\GetFlash.dll (HKCU)
O9 - 浏览器额外的“工具”菜单项: GetFlash - {3CA1D406-30D8-4DBC-8EE6-0E2C05F78864} - D:\Program Files\GetFlash\GetFlash.dll (HKCU)
O11 - Options group: [!AGetFlash] GetFlash
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131302446428
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131775241578
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\Ravmond.exe
寿宁 - 2005-11-14 12:17:00
不建议用迅雷。
来自何处 - 2005-11-14 12:20:00
寿宁老师哪用什么呀?我常要下载一些电路图纸资料什么的.阅览器的好慢呀,给解介一个好吗.谢谢了.
阿蛮 - 2005-11-14 12:42:00
用网际快车也可以.没捆挷垃圾东西.http://www.amazesoft.com/cn/index.htm
寿宁 - 2005-11-14 12:48:00
| 引用: |
【阿蛮的贴子】用网际快车也可以.没捆挷垃圾东西.http://www.amazesoft.com/cn/index.htm
........................... |
来自何处 - 2005-11-14 13:41:00
谢谢阿蛮师傅,谢谢寿宁老师,我已下载了,正给同事传一个文件,过一回装上看看.真是真情无限,四海处处知音.
bastar左岸 - 2005-11-14 14:24:00
【回复“来自何处”的帖子】卸载后要记得把注册表里的残余键值清除干净。
来自何处 - 2005-11-14 14:28:00
| 引用: |
【bastar左岸的贴子】【回复“来自何处”的帖子】卸载后要记得把注册表里的残余键值清除干净。
........................... |
谢谢提醒,知道了,真心的感谢您.
xinyu9608 - 2005-11-14 16:38:00
引用楼主【漂亮妹妹1989的贴子】.......是否可以判定我的操作系统内另一路径为c:\windows\system32\dllcache下的winlogon.exe文件为病毒文件?我已将其删除移入回收夹
请教版主,漂亮妹妹的处理正确吗?偶也在该路径下发现winlogon.exe文件了(47楼)
漂亮妹妹1989 - 2005-11-14 16:41:00
谢谢寿宁老师、网警老大!今天上午遵照寿宁老师的指示,进入安全模式打开注册表编辑器,将那8个注册项删除后,出于不放心,再次输入EnvSec进行搜索,结果又有更惊人的发现--又找到了15个注册项!用笔记录在本子上后忘记了截图就将其删除了。这15个注册项名称分别是:000. winlogon 001. fe7zf 002. fe7zf.exe 003. envsec 004. envsec.exe 005. file missing 006. winlogon.exe 007. 32c57d49.pf 008. GLIEDown 009. GLIEDown2.dll 010. 314200.htm 011. 817000.htm 012. B_434_2_0 013. Adcache 014. dllcache
删除这15个注册项后,又先后输入envsec、winlogon、fe7zf等名称再三搜索,没有新的发现,遂退出。打开资源管理器,先后在C盘、windows、system32目录下输入envsec、envsec.exe、fe7zf等搜索,依然找不到EnvSec.exe病毒文件。输入winlogon搜索后发现病毒一夜间又生成了一个32c57d49.pf文件。现在我怀疑是ewido杀软将此病毒的部分文件删除破坏掉了,因为我记起自10月中旬使用ewido以来,每次杀毒时ewido都发现删除了上述部分病毒项。我的笔记本上做过一次记录:
10月27日感染 SPY IEDown 高危
c:\winows\system32\GLIEDown2.dll_434_0_3_314200.swf
c:\winows\system32\GLIEDown2.dll_434_2_0_117300.htm等10多项
感染 Adware cydoor 中等
c:\windows\system32\cache\B_434_0_4_305800.swf
c:\windows\system32\cache\B_434_0_4_482300.gif等10多项
当时还以为是上网助手里的文件被eweido误杀就没放在心上,后来得知ewido与加了规则包的瑞墙有冲突,就把它卸载删除了。
再密切观察一段时间,若到时还不能将此病毒完歼,则只能是重装系统了。
本人如今的体会是:没事时不要到一些提供免费软件下载的网站胡乱下载,那些软件里大都植入了病毒,包括新浪下载!
最后,再次对寿宁老师、网警老大及朋友们的关心表示我诚挚的谢意!
附件:
59089920051114164133.jpg
taylor05771 - 2005-11-14 16:45:00
| 引用: |
【xinyu9608的贴子】【漂亮妹妹1989的贴子】.......是否可以判定我的操作系统内另一路径为c:\windows\system32\dllcache下的winlogon.exe文件为病毒文件?我已将其删除移入回收夹
请教版主,漂亮妹妹的处理正确吗?偶也在该路径下发现winlogon.exe文件了(47楼)
........................... |
你的正常
第二个可以删的
© 2000 - 2026 Rising Corp. Ltd.