瑞星卡卡安全论坛

双击D盘没有任何反映,将隐藏文件显示后发现多了一个名为command.exe的文件,将此文件删除后,双击d盘提示"没有command.exe打开d盘需要此文件..双击d盘后运行名为:LSASS.EXE的文件!!
HijackThis_815汉化版扫描日志 V1.99.1
保存于      22:38:47, 日期 2006-5-3
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\超级兔子\magicset.exe
C:\WINDOWS\LSASS.exe
D:\h\HijackThis1991zww.exe

O1 - Hosts: 61.129.75.124 hheno.w58.100dns.com
O1 - Hosts: 61.129.75.124 www.sbfn77.com
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FLASHGET\fgiebar.dll
O4 - 启动项HKLM\\Run: [KAVPersonal50] "d:\Kaspersky卡巴斯基\kav.exe" /minimize
O4 - 启动项HKLM\\Run: [jiahu] ; C:\WINDOWS\System32\svchqst.exe
O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ScanRegistry] C:\Program Files\Common Files\update\update.exe
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\FLASHGET\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\FLASHGET\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 相关站点 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: 相关站点 - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O16 - DPF: {448A5F6B-8C03-4B54-A338-F00237C508AD} - http://www.51uc.com/cab/WEBChatRoom_1_46.cab
O16 - DPF: {C07405FD-84D1-4A25-94E8-68609EA8335B} (iChatX Object) - http://chat.zbinfo.net/ichatx.dll
O16 - DPF: {D0A29C6C-AA71-4423-8C4A-5998B774C448} (IEDown Class) - http://download.ourgame.com/IEDown4.cab
O23 - NT 服务: DHCP Clientt (DHC) - Unknown owner - C:\WINDOWS\lsasss.exe
O23 - NT 服务: kavsvc - Kaspersky Lab - d:\Kaspersky卡巴斯基\kavsvc.exe

C:\WINNT\TEMP\lg2.dll] <N/A><N/A>
[PID: 224][\??\C:\WINNT\system32\winlogon.exe] <Microsoft Corporation><5.00.2195.6997>

【回复“拒绝网游珍惜生命”的帖子】
？何意？
【回复“雨鹤”的帖子】
楼主还记不记得一星期前你中了一个插入核心进程的灰鸽子，得用SSM才搞定？这次中的这个，从某种程度上说，比那个麻烦多了。
参考以下帖子：
http://forum.ikaka.com/topic.asp?board=28&artid=7828861
注意，一定要严格按照版主在帖子中列出的步骤进行，否则随时可能前功尽弃。

【回复“雨鹤”的帖子】
找到C:\WINDOWS\LSASS.exe，
用WINRAR做成压缩包（解压密码请用virus），发到：baohelin@yahoo.com.cn

还多了这个吧！
O23 - NT 服务: DHCP Clientt (DHC) - Unknown owner - C:\WINDOWS\lsasss.exe

谢谢各位!!3楼的大侠,我把他发到你的邮箱里了,麻烦你看看能不能解决他~~!!谢谢!!


哎 ,为什么我老是中这种难玩的东东~~~~....

O23 - NT 服务: DHCP Clientt (DHC) - Unknown owner - C:\WINDOWS\lsasss.exe
这个玩意有可能是灰鸽子，但是与C:\WINDOWS\LSASS.exe相比，这个灰鸽子简直就是小儿科。
当然，在大问题还没解决之前，可以先解决小问题（本来不小的，但是相比之下就显得小了）：
修复O4 - 启动项HKLM\\Run: [jiahu] ; C:\WINDOWS\System32\svchqst.exe

控制面板-性能与维护-管理工具-服务，找到DHCP Clientt →双击→启动类型→禁止→停止→应用→确定。终止DHCP Clientt 这个服务。
然后在注册表中展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除DHC项目

重启后在硬盘中删除：
C:\WINDOWS\System32\svchqst.exe
C:\WINDOWS\lsasss.exe
C:\WINDOWS\lsasss.dll（若存在的话）
C:\WINDOWS\lsasssKey.dll（若存在的话）
C:\WINDOWS\lsasss_hook.dll（若存在的话）

晕    好象和我的像

【回复“文行雨下”的帖子】
很可能就是一样的，你们两个同时求助，都为了同一个这么棘手的木马，倒很少见啊。

这种病毒对新手来说，最好的办法就是重装，再删除D盘下的，autorun.inf和commad.exe

"注意，一定要严格按照版主在帖子中列出的步骤进行，否则随时可能前功尽弃。"
老大 我重启后没有先结束LSASS.EXE进程就进注册表了.现在我的所有的EXE文件都打不开了....555555
现在该怎么办????

现在可以了~~可以打开EXE文件了..然后重新来过~~ 哎~~


"先将RegFix或SREng的后缀改为.com 或.bat，再运行之。（恢复HKEY_CLASSES_ROOT\.exe的键值）。"
这里面的＂RegFix或SREng＂我没有找到，直接进注册表可以吗？？？？
谢谢老大～～

原来,我也中过这个木马
怎么也解决不掉,最后牙齿一咬,下定决心,从装系统

我不想天天重装系统阿，我这里有几台机器，三天两头的中病毒。我装系统的频率世居高不下阿。。。。
哎，，，服了。。
水平不行啊。。。

不想做系统，那以后要学会用GHOST备份啊，那篇文章要看懂，我再推荐一篇http://www.xren.net/security/14336.html

谢谢,我照大侠的方法试试看能不能搞定他.要是搞不定我就重装系统了~

谢谢各位老大~~我现在已经解决了问题了,,,谢谢~~

引用:

【雨鹤的贴子】谢谢各位老大~~我现在已经解决了问题了,,,谢谢~~ ...........................

检查一下——该删除的木马文件：

附件: 155847200654140028.jpg

引用:

【雨鹤的贴子】谢谢各位老大~~我现在已经解决了问题了,,,谢谢~~ ...........................

检查一下——该清理的注册表内容：

附件: 155847200654140133.jpg

谢谢 问题解决好了,能正常打开硬盘了~~

HijackThis_815汉化版扫描日志 V1.99.1
保存于      16:12:58, 日期 2006-5-4
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\DOCUME~1\user\LOCALS~1\Temp\6459.exe
C:\WINDOWS\System32\NTdhcp.exe
C:\WINDOWS\smss.exe
I:\新建文件夹\HijackThis1991zww.exe

R3 - URLSearchHook: 虎翼DIY吧! - {0A00D11E-B1E7-44b5-AD88-C9190876AAC4} - C:\WINDOWS\System32\diybar2\diybar2.dll
F2 - REG:system.ini: Shell=explorer.exe 1
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\NEW_EXE\NEW_EXE.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Link Filter - {4022F902-ABC7-4C79-924F-BB26F1D355A2} - C:\WINDOWS\System32\diybar2\diybar2.dll
O2 - BHO: LkdXilji Class - {44F5C640-A843-3311-FD5F-079828776B52} - C:\WINDOWS\DOWNLO~1\irup.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\QQ\QQIEHelper.dll
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: DownloadBHO T2BHO - {B1D147E7-873E-4909-8127-695D9BB78728} - C:\WINDOWS\Downloaded Program Files\barhelp24.0.dll (file missing)
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: 虎翼DIY吧! - {0A00D11E-B1E7-44b5-AD88-C9190876AAC4} - C:\WINDOWS\System32\diybar2\diybar2.dll
O4 - 启动项HKLM\\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - 启动项HKLM\\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [renewup] C:\Program Files\CNNIC\Cdn\cdnrenew.exe
O4 - 启动项HKLM\\Run: [TProgram] C:\WINDOWS\smss.exe
O4 - 启动项HKLM\\Run: [NTdhcp] C:\WINDOWS\System32\NTdhcp.exe
O4 - 启动项HKLM\\RunOnce: [Register D:\QQ\QQIEHelper.dll] "C:\WINDOWS\System32\rundll32.exe" "D:\QQ\QQIEHelper.dll",DllRegisterServer
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\System32\DrvMon.exe
O4 - Startup: 宽带连接.lnk = ?
O4 - Startup: 腾讯QQ.lnk = D:\QQ\QQ.exe
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - 浏览器额外的“工具”菜单项: Sun Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - 浏览器额外的按钮: (no name) - {3F686D91-4AFA-4ed1-B43F-F1DB46ED480C} - (no file)
O9 - 浏览器额外的“工具”菜单项: Link Filter - {3F686D91-4AFA-4ed1-B43F-F1DB46ED480C} - (no file)
O9 - 浏览器额外的按钮: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ\QQIEHelper.dll
O10 - 未知的文件在 Winsock LSP: c:\windows\system32\cdnns.dll
O11 - Options group: [CDNCLIENT]  中文上网
O14 - IERESET.INF: START_PAGE_URL=http://vaio-online.sony.com/cn/
O16 - DPF: {28E0FA88-ABA8-4937-A247-3031F1A11165} (Installer Class) - http://dl.51.net/download/diybar2.cab
O16 - DPF: {98A62E3F-A8C5-4EF0-8A00-C70CF9D18A89} (LoaderCore Class) - http://tb.sogou.com/DLLoader.cab
O16 - DPF: {9A578C98-3C2F-4630-890B-FC04196EF420} (CNNIC_IDN) - http://jump.cnnic.cn/stat/stat?sid=0008&debug=false&pid=c_95&url=http://client.jogo.cn/download/cnnic/cdn.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A127D2E7-D348-4233-95BE-32450B8A3841}: NameServer = 202.102.152.3 202.102.154.3
O20 - AppInit_DLLs: C:\WINDOWS\System32\SoDAHK.DLL
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服务: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\Pacsptisvr.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - NT 服务: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\Sptisrv.exe

【回复“雨鹤”的帖子】
C:\WINDOWS\smss.exe

F2 - REG:system.ini: Shell=explorer.exe 1

与你昨天的问题一样。只是木马文件名不同而已。应该能自己解决。

20楼的是哪位的日志，又是这两个：
C:\WINDOWS\System32\NTdhcp.exe
C:\WINDOWS\smss.exe

好的谢谢..我试试!

C:\WINDOWS\System32\NTdhcp.exe的处理（容易很多了）：
结束C:\WINDOWS\System32\NTdhcp.exe进程
修复O4 - 启动项HKLM\\Run: [NTdhcp] C:\WINDOWS\System32\NTdhcp.exe
重启后删除C:\WINDOWS\System32\NTdhcp.exe
不过它会屏蔽瑞星杀软，删完病毒后参考http://forum.ikaka.com/topic.asp?board=28&artid=7866296修改注册表恢复瑞星的正常运转。

哥哥 那还是我的日志...
唉~~~
谢谢你 ...

引用:

【雨鹤的贴子】哥哥 那还是我的日志... 唉~~~ 谢谢你 ... ...........................

不会吧！解决一个马上中另一个？！十天内从插入核心进程的灰鸽子到传奇龙木马和QQ大盗……楼主中猛毒的概率也太高了吧？

3台机器机器  3个猛毒,有两个是在一个星期内中的.最后这个中了有好长时间了,只是才解决而已...

跳线问题,硬盘上有MAR和SLA还有一个不知道是什么的,吗默认的MAR改成SLA就可以了,不需要重装,