瑞星卡卡安全论坛

我每天升级瑞星，每天N遍杀毒，次次都有病毒，而且提示说已清除，再杀还有，上网把那些病毒查了N遍，N种方法试过，还是有，机器是几秒钟加速一次，听得我心里燥燥的。瑞星监控明明是开机启动但是不见了。麻烦哪位指点一下了，不想重装系统啊。
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      17:30:08, 日期 2006-4-28
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Unable to get Internet Explorer version!

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\WINDOWS\LSASS.exe
C:\Program Files\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Common Files\smartde\sde.exe
D:\Program Files\淘宝网\淘宝旺旺\WangWang.exe
F:\bindu\fjdzj\TrojanAssistant.exe
C:\Program Files\rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
F:\MyIE.exe
F:\bindu\HijackThis1991zww.exe

R3 - URLSearchHook: bho Class - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll
F2 - REG:system.ini: UserInit=userinit.exe,
O1 - Hosts: <html>
O1 - Hosts: <META HTTP-EQUIV="Pragma" CONTENT="no-cache">
O1 - Hosts: <head>
O1 - Hosts: <META HTTP-EQUIV="Refresh" CONTENT="0;URL=http://10.4.3.102/auth.asp">
O1 - Hosts: </head>
O1 - Hosts: </html>
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O2 - BHO: MEobjectSDT - {D4D5C535-BA95-4327-870D-A33826FDD17A} - C:\WINDOWS\system32\obwbkya.dll
O2 - BHO: update wnwb - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - 启动项HKLM\\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - 启动项HKLM\\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\system32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe
O4 - 启动项HKLM\\Run: [WangWang] D:\Program Files\淘宝网\淘宝旺旺\WangWang.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ScanRegistry] C:\Program Files\Common Files\update\update.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - 启动项HKCU\\RunServices: [Antivirus Protection Services] CCapp2.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A851A43-CEA7-42C7-9048-FE55BD9C68CA}: NameServer = 202.96.128.68 172.16.1.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6DA9433-F2B7-44AC-87C7-03F6D6F610A7}: NameServer = 202.96.128.143,202.96.128.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{3A851A43-CEA7-42C7-9048-FE55BD9C68CA}: NameServer = 202.96.128.68 172.16.1.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{3A851A43-CEA7-42C7-9048-FE55BD9C68CA}: NameServer = 202.96.128.68 172.16.1.10
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - NT 服务: HackerHaiServer - Unknown owner - C:\WINDOWS\HackerHaiServer.exe
O23 - NT 服务: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: SDAgent Service (SDAgentService) - 北京兴华基业软件技术有限公司 - C:\Program Files\Common Files\smartde\sde.exe

O23 - NT 服务: HackerHaiServer - Unknown owner - C:\WINDOWS\HackerHaiServer.exe
灰鸽子。参考http://forum.ikaka.com/topic.asp?board=28&artid=7713905处理；

O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe
今天下午真是邪门了，竟然一连看到三例。参考http://forum.ikaka.com/topic.asp?board=28&artid=7828861
要有心理准备，这个木马比较BT。

以上两个问题比较重要（中毒不浅）。

另外还有：
修复：
O1 - Hosts: <html>
O1 - Hosts: <META HTTP-EQUIV="Pragma" CONTENT="no-cache">
O1 - Hosts: <head>
O1 - Hosts: <META HTTP-EQUIV="Refresh" CONTENT="0;URL=http://10.4.3.102/auth.asp">
O1 - Hosts: </head>
O1 - Hosts: </html>
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O2 - BHO: MEobjectSDT - {D4D5C535-BA95-4327-870D-A33826FDD17A} - C:\WINDOWS\system32\obwbkya.dll
O23 - NT 服务: SDAgent Service (SDAgentService) - 北京兴华基业软件技术有限公司 - C:\Program Files\Common Files\smartde\sde.exe

C:\WINDOWS\SYSTEM32\stdup.dll的详细处理请务必参考http://forum.ikaka.com/topic.asp?board=28&artid=7971417

控制面板-性能与维护-管理工具-服务
禁用SDAgent Service服务。
在注册表中找到并删除SDAgentService项目。
删除：
C:\WINDOWS\system32\obwbkya.dll
C:\Program Files\Common Files\smartde\文件夹

做完以上各个步骤后（不容易做，慢慢来），参考http://forum.ikaka.com/topic.asp?board=28&artid=7866296修改与瑞星相关的注册表键值以恢复瑞星监控

谢谢啊！我从来不打游戏，真是冤枉，竟然中这种毒！试一下了再反馈情况，请楼上的大侠继续关注啊呀

是一定要按以上顺序来吗？再请教一下！

当然咯

对于C:\WINDOWS\LSASS.exe，这是最难搞的，必须严格按照版主在那篇帖子中的回答来做。
灰鸽子处理起来不是很困难，所以可以先做；后面的那几项与这两个比起来就不算什么了。

至于修复瑞星，当然是等病毒清除之后才做了。

好像好多人中毒都鸽子都差不多啊,郁闷...我机子怎么不也来个毒或鸽子呢~~~~

【回复“ぁ无名ぁ”的帖子】
首先，倒不是说所有中毒的都是中这种毒。上论坛上来发问的，一般都是用杀软不能彻底查杀的病毒，所以灰鸽子这些占主要也是很正常。

没中毒是好事嘛，其实养成良好的上网习惯对于防毒是十分重要的。

我已经把第一个灰鸽子杀掉了，但是第二个进行到有一步我不懂是什么意思了：
清理注册表：
先将RegFix或SREng的后缀改为.com 或.bat，再运行之。（恢复HKEY_CLASSES_ROOT\.exe的键值）。
RegFix我上网查了一下好象是个软件，是要先下载这个软件然后运行才能恢复HKEY_CLASSES_ROOT\.exe的键值，然后才能进行注册表清理吧。
是这样吗？我在线等回答。还有我这样又上了网了，是不是得从头来过才行了？谢谢！

有大侠在吗？下班了吗？

Regfix在http://forum.ikaka.com/topic.asp?board=28&artid=6979213第2楼下载。下载解压后将Regfix.exe改名为Regfix.com或Regfix.bat（在“我的电脑”点“工具”-“文件夹选项”，在“查看”那里把“隐藏已知文件类型的扩展名”前面的勾去掉才能看到扩展名），然后再运行修复文件关联。

http://forum.ikaka.com/topic.asp?board=28&artid=7168178
使用IceSword杀毒的一些基本操作

建议再把上面这个工具也下载来~~（用它来结束进程运行，删除文件 可是很不错的~~）

还有我杀那只鸽子的时候找到的文件都在回收站里，我居然CDEF每个盘里都有回收站，真是邪门了，我哪有那么多垃圾！而且用那个很厉害的KILL也K不了。但是硬盘没有隔一秒就加速了，心理舒服多了！现在就等大侠指点第二个的问题了。耐心等候！

引用:

【影子110的贴子】http://forum.ikaka.com/topic.asp?board=28&artid=7168178 使用IceSword杀毒的一些基本操作 建议再把上面这个工具也下载来~~（用它来结束进程运行，删除文件 可是很不错的~~） ...........................

修复文件关联之后用IceSword来删除文件比更方便。版主当时只是为了保留回收站的那份截图，让大家看看需删除的文件，才不用IceSword的。

这个软件我也看到了呀，但是楼主注明新手慎用，偶倒退了三步。。。，现在在大侠们的鼓励下斗胆来试一下，怕怕，不要割错了呀，这几天我和病毒做斗争的时候看了大把前辈的杀法，学习之下已经误伤了不少良民，现在一开机就出一大堆DOS提示我无效，OFFICE也在找安装文件。损失惨重啊！

杀完了,再看,那些删掉的病毒全回来了.把过程打了一遍点发表,它提示我说出错了.白写了这么半天.晕!

明天早上再向各位汇报过程,查找原因.今天是受不了了,先休息好,再和病毒作斗争,做好打持久战的准备!斗争到底!

今天早上又花了两个多小时手动清毒,版主的步骤中有些我的注册表里没有或者不在说的位置,反正我尽力而为了,再回系统一看,那几个什么EXERT/LSASS还在那里,我又用SHOU索把所有4月27日的创建文件全找出来了,又删了一通,并且发现了一个LSASSS.DLL,是26号下午创建的,把它也删掉了.因为记得当时出过一个很奇怪的对话框,说是来自瑞星的,要我下载什么INDEX.我当时选不下,它过一会又出,我想选项不下你出,那干脆下啰,反正是瑞星的,应该没问题,结果点下后出错误提示,现在想来就是从那之后出了很多的问题,所以我把当天创建的瑞星的文件也全删了.宁可错杀不可放过.这是刚才又扫的,请帮我看看下一步怎么办.谢谢啊!
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      10:33:01, 日期 2006-4-29
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Unable to get Internet Explorer version!

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
F:\bindu\fjdzj\TrojanAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
F:\MyIE.exe
C:\WINDOWS\System32\msiexec.exe
D:\Office\Office10\EXCEL.EXE
F:\bindu\2535952005811174944\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O1 - Hosts: <html>
O1 - Hosts: <META HTTP-EQUIV="Pragma" CONTENT="no-cache">
O1 - Hosts: <head>
O1 - Hosts: <META HTTP-EQUIV="Refresh" CONTENT="0;URL=http://10.4.3.102/auth.asp">
O1 - Hosts: </head>
O1 - Hosts: </html>
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - 启动项HKLM\\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - 启动项HKLM\\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - 启动项HKLM\\Run: [NMGameX_AutoRun] C:\WINDOWS\system32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - 启动项HKLM\\Run: [WangWang] D:\Program Files\淘宝网\淘宝旺旺\WangWang.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ScanRegistry] C:\Program Files\Common Files\update\update.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - 启动项HKCU\\RunServices: [Antivirus Protection Services] CCapp2.exe
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A851A43-CEA7-42C7-9048-FE55BD9C68CA}: NameServer = 202.96.128.68 172.16.1.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6DA9433-F2B7-44AC-87C7-03F6D6F610A7}: NameServer = 202.96.128.143,202.96.128.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{3A851A43-CEA7-42C7-9048-FE55BD9C68CA}: NameServer = 202.96.128.68 172.16.1.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{3A851A43-CEA7-42C7-9048-FE55BD9C68CA}: NameServer = 202.96.128.68 172.16.1.10
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - NT 服务: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

这次的有问题吗？下午开机病毒好象又回来了！