瑞星卡卡安全论坛

首页 » 技术交流区 » 系统软件 » 标题: 急!求救!!!
nwyf - 2006-1-8 21:25:00
系统为WIN200SERVER  机器为IBM服务器!
系统启动后大概每间隔5分钟左右会自动打开以下网站:
http://www.intern-etadvertising.com/normal/yyy102.html
(等等,太多了。地址都很长)


使用上网助手的“高级修复”功能检测如下DNS项被更改,所在文件目录为:
c:\winnt\system32\drivers\etc\hosts
共更改如下几项:
sds-qckads.com
status.qckads.com
www.qoolaid.com
www.qoologic.com
www.clkprecision.com
www.urllogic.com
www.clkoptimizer.com
www.isearch.com
isearch.com
www.idownload.com
修复后重新启动依然会自动打开IE访问上述网站。上面各项依然存在!



使用hijackthis.exe的检测结果如下:


HijackThis_815汉化版扫描日志 V1.99.1
保存于      21:08:26, 日期 2006-1-8
操作系统:  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程:         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\PROGRA~1\NAV\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cba\pds.exe
C:\WINNT\System32\llssrv.exe
C:\PROGRA~1\NAV\Rtvscan.exe
C:\Program Files\SSC\NSCTOP.EXE
C:\Program Files\Symantec\Quarantine\Server\qserver.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Symantec\Quarantine\Server\ScanExplicit.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Symantec\Quarantine\Server\IcePack.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\NAV\vptray.exe
C:\WINNT\SVCHOST.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\conime.exe
D:\notes\nserver.exe
C:\WINNT\system32\rundll32.exe
D:\notes\nRouter.EXE
D:\notes\nReplica.EXE
C:\WINNT\System32\svchost.exe
D:\notes\nUpdate.EXE
D:\notes\nStats.EXE
C:\WINNT\system32\wuauclt.exe
D:\notes\nAmgr.EXE
D:\notes\namgr.EXE
D:\notes\namgr.EXE
D:\notes\nSched.EXE
D:\notes\nCalConn.EXE
D:\notes\nAdminP.EXE
D:\notes\nReport.EXE
D:\notes\nEvent.EXE
C:\WINNT\System32\svchost.exe
D:\notes\NLNOTES.EXE
D:\notes\naldaemn.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrator\桌面\新建文件夹\HijackThis1991汉化版\HijackThis1991zww.exe

O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - 启动项HKLM\\Run: [vptray] C:\PROGRA~1\NAV\vptray.exe
O4 - 启动项HKLM\\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - 启动项HKLM\\Run: [MS-4011 Memory Patch] C:\Documents and Settings\Administrator\桌面\RavSasser.exe -Patch
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - Startup: Lotus Domino.lnk = D:\notes\nserver.exe
O11 - Options group: [!CNS]  网络实名
O17 - HKLM\System\CCS\Services\Tcpip\..\{96D7E6D9-94E1-49F8-9AD8-481617F45EF1}: NameServer = 210.76.0.2,64.157.143.38,210.76.0.2
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\\NavLogon.dll
O20 - Winlogon Notify: Nls - C:\WINNT\system32\hpj0231mg.dll
O21 - SSODL: System - {FB76AD7E-8BAA-4177-80DC-4EC8081E69CA} - C:\WINNT\system32\winsock32.dll
O23 - NT 服务: DefWatch - Symantec Corporation - C:\PROGRA~1\NAV\DefWatch.exe
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Symantec Quarantine Agent (IcePack) - IBM Corp. - C:\Program Files\Symantec\Quarantine\Server\IcePack.exe
O23 - NT 服务: Intel Alert Handler - Intel? Corporation - C:\WINNT\system32\ams_ii\hndlrsvc.exe
O23 - NT 服务: Intel Alert Originator - Intel? Corporation - C:\WINNT\system32\ams_ii\iao.exe
O23 - NT 服务: Intel File Transfer - Intel? Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - NT 服务: Intel PDS - Intel? Corporation - C:\WINNT\system32\cba\pds.exe
O23 - NT 服务: Symantec AntiVirus Server (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\NAV\Rtvscan.exe
O23 - NT 服务: Symantec 系统中心搜索服务 (NSCTOP) - Symantec Corporation - C:\Program Files\SSC\NSCTOP.EXE
O23 - NT 服务: Symantec Central Quarantine (qserver) - Symantec Corporation - C:\Program Files\Symantec\Quarantine\Server\qserver.exe
O23 - NT 服务: Symantec Quarantine Scanner (ScanExplicit) - IBM Corp. - C:\Program Files\Symantec\Quarantine\Server\ScanExplicit.exe







前一段使用NORTON查出backdoor.nibu的病毒。NORTON隔离了!系统启动后提示无法加载:amslib.dll、dmsti.exe及无法找到:io.exe、hndlrsvc.exe好像还有一个叫DMSTI的可执行文件找不到(应该是病毒产生的文件被NORTON给隔离了!)

最重要的是机器在运行一段时间大概半天左右吧!就会自动重启,补丁都打了,基本可以排除冲击波、震荡波!


各位高手给看看,该如何来解决这些问题!或者能告知是中了什么病毒造成的!!!

1
查看完整版本: 标题: 急!求救!!!