笨笨v宝宝 - 2006-2-5 16:05:00
昨晚在Q空间看见有人回帖,就跑去那人空间看了看 结果好象是中了木马还是什么的。用3721反间谍专家看网络连接管理,发现有远程IP地址连接上了~``只要上Q或者IE就有这地址连接~``我用瑞星杀毒也没杀到任何病毒。请问哪位大哥能告诉小妹该怎么办啊?我把系统C盘恢复到出厂设置也没用,现在想把瑞星升级回2006版也没动静。好象是那个鬼东西阻碍我下杀毒的。~~`急人~~`请问谁能帮帮忙~~`
天天泡泡 - 2006-2-5 16:06:00
先用HijackThis1.99.1版扫个日志上来,看看有无异常。
笨笨v宝宝 - 2006-2-5 16:09:00
恩 好的 谢谢大哥
笨笨v宝宝 - 2006-2-5 16:18:00
大哥 我找不到HijackThis1.99.1的地址 能给个么 谢谢了...
笨笨v宝宝 - 2006-2-5 16:25:00
有了有了 是这个不?
笨笨v宝宝 - 2006-2-5 16:25:00
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 16:23:25, 日期 2006-2-5
操作系统: Windows XP (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 (6.00.2600.0000)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\LEGEND\联想遥控器驱动\Remdrv.exe
C:\WINDOWS\soundman.exe
C:\Program Files\Common Files\DeviceManager\lxdevclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\LEGEND\联想标准功能键盘驱动程序安装\skdaemon.exe
C:\happyhome\幸福飞梭\lxswitch.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\DeviceManager\DeviceManager.exe
C:\Program Files\rising\rav\RavMon.exe
C:\Program Files\rising\rav\RavTimer.exe
C:\Program Files\rising\rav\ravbkmon.exe
E:\新建文件夹 (3)\ske\TrojanAssistant.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\新建文件夹 (2)\WinRAR.exe
C:\WINDOWS\System32\conime.exe
E:\新建文件夹 (4)\安装包\2535952005811174944\HijackThis1991zww.exe
O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\Program Files\E-Book Systems\FlipViewer\fplaunch.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\kakatool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [LegendRemDriver] C:\Program Files\LEGEND\联想遥控器驱动\Remdrv.exe
O4 - 启动项HKLM\\Run: [SoundMan] soundman.exe
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [lxdevclient] C:\Program Files\Common Files\DeviceManager\lxdevclient.exe
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTimer] C:\Program Files\rising\rav\RavTimer.exe
O4 - 启动项HKLM\\Run: [RavMon] C:\Program Files\rising\rav\RavMon.exe
O4 - 启动项HKLM\\Run: [popproxy] C:\Program Files\rising\rav\RavProxy.exe
O4 - 启动项HKLM\\RunServices: [RavMon] C:\Program Files\rising\rav\RavMon.exe
O4 - 启动项HKLM\\RunOnce: [Rfw] "C:\Program Files\Rising\Rfw\Update\setup.exe" /REPAIR /ONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: 联想键盘驱动程序.lnk = ?
O9 - 浏览器额外的按钮: 卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - C:\HAPPYH~1\CIBA2002\IEPlugin.dll
O9 - 浏览器额外的按钮: 金山词霸 - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - C:\HAPPYH~1\CIBA2002\IEPlugin.dll
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.legend.com
O20 - Winlogon Notify: skwinlogon - C:\WINDOWS\SYSTEM32\dll.dll
O23 - NT 服务: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - NT 服务: LEGEND DeviceManager Service (lxdmg) - Unknown owner - C:\Program Files\Common Files\DeviceManager\DeviceManager.exe
O23 - NT 服务: lxswitch - Unknown owner - C:\happyhome\幸福飞梭\lxswitch.exe
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
天天泡泡 - 2006-2-5 16:35:00
我建议你修复这一项:O20 - Winlogon Notify: skwinlogon - C:\WINDOWS\SYSTEM32\dll.dll
并删除这个C:\WINDOWS\SYSTEM32\dll.dll
另外,O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\Program Files\E-Book Systems\FlipViewer\fplaunch.dll
这个是否为你自己安装的?
强烈建议楼主给系统打上最新的SP2补丁包及其之后所有的安全补丁。
笨笨v宝宝 - 2006-2-5 16:38:00
O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\Program Files\E-Book Systems\FlipViewer\fplaunch.dll
好象以前就有 没用过
修复 是直接用你告诉我的那个东西修复么?
天天泡泡 - 2006-2-5 16:39:00
是的,直接用HijackThis修复,并删除对应文件。
笨笨v宝宝 - 2006-2-5 16:42:00
并删除这个C:\WINDOWS\SYSTEM32\dll.dll
我找不到dll.dll 该怎么删啊大哥?T_T...急死我了
笨笨v宝宝 - 2006-2-5 16:45:00
| 引用: |
【天天泡泡的贴子】是的,直接用HijackThis修复,并删除对应文件。
........................... |
我已经修复并且删掉了 可是反间谍还是显示有远程IP连接着 是不是没杀掉那个鬼东东?
笨笨v宝宝 - 2006-2-5 16:56:00
对了 我在恢复C盘为出厂以前 在瑞星防火墙连接里看见有一瞬上面连接了几个木马 有Bla、 Rasmin、 Extreme、 Rat、恶鹰 等木马
可是我下专杀去安全模式下杀毒照样一个也没杀到
笨笨v宝宝 - 2006-2-5 16:59:00
连接的是 iexplore.exe 端口有3156 3157 3280 3281 远程IP219.238.233.205:80 219.238.233.252:80 219.238.233.249:80 全是Tcp连接 如果上Q的话也跟这些地址相似
不言放弃 - 2006-2-5 17:04:00
【回复“笨笨v宝宝”的帖子】
若使用的是瑞星防火墙
建议导入本论坛的防火墙规则
天天泡泡 - 2006-2-5 17:06:00
219.238.233.205这个瑞星官方网站
219.238.233.252这个是卡卡社区
219.238.233.249这个也是瑞星的
你在这几个网页上,当然会连接了。
笨笨v宝宝 - 2006-2-5 17:14:00
晕 以前没见过会这样连接啊 而且在瑞星防火墙连接里会看见IE和QQ程序下连接着一大啪啦的TCP 地址 那也是正常的么?好象我以前没见会那样连接似的 并且昨晚后 我明明没去别人空间发帖子 但别人空间会出现我发的帖 我的密码也让其他人在别的机子上改掉了 可还有这现象
笨笨v宝宝 - 2006-2-5 17:17:00
【回复“不言放弃”的帖子】
本论坛的防火墙规则 在哪 请指点下 谢谢
不言放弃 - 2006-2-5 17:30:00
| 引用: |
【笨笨v宝宝的贴子】【回复“不言放弃”的帖子】
本论坛的防火墙规则 在哪 请指点下 谢谢
........................... |
参考http://forum.ikaka.com/topic.asp?board=33&artid=7726139
© 2000 - 2026 Rising Corp. Ltd.