【求助】Logical Disk Manager服务因未知病毒无法启动 bbs.ikaka.com

gundamzl - 2006-2-11 0:49:00

我今天打开一个BT下载电影的论坛时，突然瑞星防火墙弹出并且扫描，但什么也没扫出来。但我已经感觉到不对，于是我重新启动电脑，重启进去后我立刻打开进程进行观看，发现有一个IEXPLORER.EXE被SYSTEM在运行，我以前中过几次这种外壳病毒，就明白这个是一个病毒进程，我尝试关闭他，无法关闭，等了1分钟，突然系统弹出提示：系统至少有一个服务或驱动程序没有启动，请查看……。的提示出来，我查看进程，发现是Logical Disk Manager 服务无法启动了，所有对它的操作都是黑的，他的上级服务都正常启动了的。就是他自己无法启动，经我用瑞星防火墙的进程信息观察，发现IEXPLORER.EXE是Logical Disk Manager启动进程的一个下级运行进程。
所以我推测出是因为这个IEXPLORER.EXE病毒让我无法启动Logical Disk Manager服务。
然后我观察网络活动，C:\Program Files\Internet Explorer\IEXPLORER.EXE会在我没开任何浏览器的情况下大概30秒一个周期的打开2秒后又被关闭。但不会弹出浏览器来。
我用各种杀毒软件都杀过了，我机子里查不出任何毒来，就到现在也查不出来，所以认为这是一个未知病毒。我使用的是瑞星2006正版，中了这个IEXPLORER.EXE病毒后在防火墙的日志里的防火墙TCP时间里禁止了几次网络访问。如下：

详细内容2006-02-10 21:25:55, 系统禁止本地IEXPLORE.EXE连接网络的请求，地址为：TCP, 0.0.0.0:1053 => 192.168.1.4:5678程序名称为：C:\Program Files\Internet Explorer\IEXPLORE.EXE

详细内容2006-02-10 21:25:55, 系统禁止本地IEXPLORE.EXE连接网络的请求，地址为：TCP, 0.0.0.0:1052 => 61.152.167.95:80[WEB网页]程序名称为：C:\Program Files\Internet Explorer\IEXPLORE.EXE

这个61.152.167.95多半就是病毒发源地。

注册表方面我敢保证没发生任何变化，我对我的注册表内容非常清楚，也用了备份还原注册表，但没用。所以我想此病毒是把系统参数改了，或改了.INI文件什么的，但我没找到。请高手们救救我呀~~~

不言放弃 - 2006-2-11 8:28:00

http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载HIJACKTHIS
导出日志

gundamzl - 2006-2-11 15:28:00

这是我刚进入系统，不开任何软件的扫描结果，里面出现浏览器进程，可我并没开。

HijackThis_zww汉化版扫描日志 V1.99.1
保存于 15:23:57, 日期 2006-2-11
操作系统： Windows 2003 (WinNT 5.02.3790)
浏览器： Internet Explorer v6.00 (6.00.3790.0000)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
c:\program files\rising\rfw\rfwproxy.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\crypserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\system32\mqsvc.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rising\Rav\Ravmon.exe
F:\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F57} - C:\WINDOWS\system32\ThunderBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Tencent\QQ\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FlashGet\jccatch.dll
O2 - BHO: 百度搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\WINDOWS\DOWNLO~1\BaiDuBar.dll
O3 - IE工具栏增项: 百度搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\WINDOWS\DOWNLO~1\BaiDuBar.dll
O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - D:\Kingsoft\FASTAI~1\IEBand.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FlashGet\fgiebar.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [High Definition Audio Property Page Shortcut] HDAudPropShortcut.exe
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - 启动项HKLM\\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - E:\games\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: 迅雷 - {1FBA04EE-3024-11D2-8F1F-000019796948}} - D:\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 迅雷 - {1FBA04EE-3024-11D2-8F1F-000019796948}} - D:\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: 金山毒霸网站 - {1ff190e7-38ab-423e-b59c-4d166c2ea5f1} - url:http://www.duba.net (file missing)
O9 - 浏览器额外的按钮: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - D:\Herosoft\HeroV8\STHSDVD.EXE
O9 - 浏览器额外的“工具”菜单项: 豪杰超级解霸V8 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - D:\Herosoft\HeroV8\STHSDVD.EXE
O9 - 浏览器额外的按钮: (no name) - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - (no file)
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: (no name) - {f58d36c3-40be-4418-a786-d8fbe3eb3554} - (no file)
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {43331111-1111-1111-1111-611111195622} - file://c:\ex.cab
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) -

https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {C8BD9ACB-F7EC-48E6-BB2F-DAADC6789E9A} (Kingsoft DUBA OnlineScan) -

http://ol.db.kingsoft.com/antiscan/setup/KAVClean.CAB
O16 - DPF: {DDA166FA-B3EA-4A3B-8EE2-4F552CDEEE81} (KATScan Control) - http://ol.db.kingsoft.com/antitrojan/setup/KATScan.CAB
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://www.tenpay.com/download/qqedit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3C1CC106-4B20-4770-A444-A02B494D8B1F}: NameServer = 127.0.0.1,61.139.2.69
O17 - HKLM\System\CCS\Services\Tcpip\..\{4538DBDA-4288-46A2-886A-47D8FD8AF0AD}: NameServer = 127.0.0.1
O18 - 列举现有的协议: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft

Shared\Help\hxds.dll
O23 - NT 服务: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - NT 服务: Macromedia Licensing Service - Macromedia - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia

Licensing.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: 10moons Remote Control Service (RemoteControlService) - Unknown owner - C:\Program

Files\10moons\RemoteService\RS.exe
O23 - NT 服务: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program

files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program

files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program

Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

gundamzl - 2006-2-11 15:58:00

对了，还忘了说一下，这个病毒在安全模式下一样存在，照样在进程里运行。

gundamzl - 2006-2-11 17:40:00

顶起来~~

gundamzl - 2006-2-11 19:12:00

我顶~~

gundamzl - 2006-2-11 23:26:00

再顶~

gundamzl - 2006-2-12 14:43:00

咋就没人帮下我哩？

baohe - 2006-2-12 14:51:00

【回复“gundamzl”的帖子】
O23 - NT 服务: 10moons Remote Control Service (RemoteControlService) - Unknown owner - C:\Program

Files\10moons\RemoteService\RS.exe
这项不对吧。
请显示隐藏文件，找到C:\Program Files\10moons\RemoteService\RS.exe，用WINRAR打包，发到：baohelin@yahoo.com.cn

独孤豪侠 - 2006-2-12 14:53:00

O4 - 启动项HKLM\\Run: [MsmqIntCert] regsvr32 /s mqrt.dll这个好像也有点~~~~~~~``

baohe - 2006-2-12 14:53:00

【回复“gundamzl”的帖子】
O18 - 列举现有的协议: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft

Shared\Help\hxds.dll
这项也有问题

gundamzl - 2006-2-12 18:39:00

O23 - NT 服务: 10moons Remote Control Service (RemoteControlService) - Unknown owner - C:\Program

Files\10moons\RemoteService\RS.exe

这个是我的天敏电视卡的文件，很早就安了有的，不是它。

O4 - 启动项HKLM\\Run: [MsmqIntCert] regsvr32 /s mqrt.dll

这个是我SERVER系统安的消息队列服务，是微软的东西，也安了很久了。

O18 - 列举现有的协议: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft

Shared\Help\hxds.dll

是Microsoft Visual Studio .NET 2003帮助文档的程序，更不是了。

gundamzl - 2006-2-12 18:46:00

这病毒我已经解决了，但它还留下一个后遗症，不知道怎么解决，请帮下我，就是桌面属性面板上的选项卡按钮不见了，怎么恢复？下面是截图：

gundamzl - 2006-2-13 15:33:00

顶~~~一直顶

瑞星卡卡安全论坛