瑞星卡卡安全论坛

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      15:32:51, 日期 2006-5-28
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\LSASS.exe
E:\back\Rising\Rav\RavTask.exe
C:\WINDOWS\smss.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Program Files\Thunder Network\ThunderMini\program\ThunderMini.exe
E:\back\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Program Files\Tencent\QQ\QQ.exe
D:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\WINDOWS\system32\ctfmon.exe
E:\back\Rising\Rav\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
D:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\system32\svchost.exe
E:\back\security suite\EWIDO3.5\SecuritySuite.exe
C:\PROGRA~1\THUNDE~1\WEBTHU~1\WEBTHU~1.EXE
G:\下载的东西就放这\2535952005811174944\HijackThis1991zww.exe

F2 - REG:system.ini: Shell=explorer.exe 1
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll
O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - F:\Program Files\BitComet\BitCometBar\BitCometBar0.3.dll
O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\baidubar.dll
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [NvCplDaemon] ; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] ; nwiz.exe /install
O4 - 启动项HKLM\\Run: [NvMediaCenter] ; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [RfwMain] "E:\back\Rising\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTask] "E:\back\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [TkBellExe] ; "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [ThunderMini] d:\Program Files\Thunder Network\ThunderMini\ThunderMiniShell.exe
O4 - 启动项HKLM\\Run: [TProgram] C:\WINDOWS\smss.exe
O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Program Files\Thunder Network\Thunder1\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder1\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: &使用迷你迅雷下载 - d:\Program Files\Thunder Network\ThunderMini\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: 使用Web迅雷下载 - C:\Program Files\Thunder Network\WebThunder\GetUrl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://E:\back\OFFICE~1\OFFICE11\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - 浏览器额外的“工具”菜单项: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - 浏览器额外的按钮: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {A96C48EA-AA88-4BBD-B58C-7B41146A6EAC} (Qzone Media Tools) - http://imgcache.qq.com/qzone/photo/QzoneMediaTools.cab
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - e:\back\rising\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Unknown owner - e:\back\rising\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - E:\back\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\back\Rising\Rav\Ravmond.exe
O23 - NT 服务: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\back\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

http://forum.ikaka.com/topic.asp?board=28&artid=7828861
C:\WINDOWS\LSASS.exe
这是个针对瑞星的木马。估计你的瑞星防火墙得重装了（rfwcfg.exe被改写了）。
————————————————

木马Trojan.Agent.awa的手工查杀流程：

1、断开网络连接。关闭瑞星杀软及瑞星防火墙（已被木马进程插入）。
2、结束木马进程C:\windows\LSASS.EXE。
3、删除木马文件（见附图）
4、重启。清理注册表：
先将RegFix或SREng的后缀改为.com 或.bat，再运行之。（恢复HKEY_CLASSES_ROOT\.exe的键值）。
展开：HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开：HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开：HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" -nohome"
展开HKEY_CLASSES_ROOT\.exe
删除WindowFiles
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}"
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Top
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
删除wextract_cleanup0

这个破马早就有。最初见到它是2005年9月22日，我称之为“传奇龙”木马，因为其主体文件的图标是个红色背景的龙，此马属于传奇盗号木马。最近，这个木马的变种又开始流行。这几天在“江民”论坛看到不少人在议论“征途旗帜图标木马——SMSS.EXE”的查杀，搞得很多人头痛！
其实，这个木马还是可以手工杀净的，只是操作比较麻烦。
我最初写的查杀帖子：http://forum.ikaka.com/topic.asp?board=28&artid=7205233
2005-12-4的另一个查杀帖子：http://forum.ikaka.com/topic.asp?board=28&artid=7495863
2006-01-13写的第三个查杀帖子：http://forum.ikaka.com/topic.asp?board=28&artid=7678628
以下是最近写的一个查杀方法

SMSS.EXE手工查杀流程：

1、安装SSM（下载地址：http://www.syssafety.com/files.html。开机后，SSM会有若干此类报警（见图1）。一律按图1所示操作处理。
2、将SREng改名运行（图2），修复主要文件关联。
3、删除木马文件（图3）。
4、清理注册表：
展开HKEY_CLASSES_ROOT\.bfc\ShellNew
将"Command"="%SystemRoot%\\system32\\rundll32.com %SystemRoot%\\system32\\syncui.dll,Briefcase_Create %2!d! %1"中的Command"="%SystemRoot%\\system32\\rundll32.com 删除。
展开HKEY_CLASSES_ROOT\.lnk\ShellNew
将"Command"="rundll32.com appwiz.cpl,NewLinkHere %1"中的rundll32.com删除
展开HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
展开HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
展开HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
将@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"中的rundll32.com 删除
展开HKEY_CLASSES_ROOT\Drive\shell\find\command
将@="%SystemRoot%\\explorer.com"改为@="%SystemRoot%\\explorer.exe"
展开HKEY_CLASSES_ROOT\dunfile\shell\open\command
将@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"中的%SystemRoot%\\system32\\rundll32.com删除
展开HKEY_CLASSES_ROOT\ftp\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\iexplore.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\iexplore.exe\" -nohome"
展开HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command
将@="\"C:\\Program Files\\common~1\\iexplore.pif\" %1"改为@="\"C:\\Program Files\\common~1\\iexplore.exe\" %1"
展开HKEY_CLASSES_ROOT\htmlfile\shell\print\command
将@="rundll32.com %SystemRoot%\\system32\\mshtml.dll,PrintHTML \"%1\""中的rundll32.com删除
展开HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
将@="finder.com shdocvw.dll,OpenURL %l"中的finder.com删除
展开HKEY_CLASSES_ROOT\scrfile\shell\install\command
将@="finder.com desk.cpl,InstallScreenSaver %l"中的finder.com删除
展开HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
将@="\"C:\\WINDOWS\\system32\\finder.com\" C:\\WINDOWS\\system32\\scrobj.dll,GenerateTypeLib \"%1\""中的\"C:\\WINDOWS\\system32\\finder.com\"删除
展开HKEY_CLASSES_ROOT\telnet\shell\open\command
将@="finder.com url.dll,TelnetProtocolHandler %l"中的finder.com删除
展开HKEY_CLASSES_ROOT\Unknown\shell\openas\command
将@="%SystemRoot%\\system32\\finder.com %SystemRoot%\\system32\\shell32.dll,OpenAs_RunDLL %1"中的%SystemRoot%\\system32\\finder.com 删除
展开HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
删除@="C:\\windows\\ExERoute.exe \"%1\" %*"
展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings
删除"GUID"="{C08L95-CW547B-IC74A8-57KU9O-J7M617}"
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除Tprogram
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除Tprogram
展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将"Shell"="Explorer.exe 1"中的1删除

还是不行啊

真的不知道怎么办了
我重装防火墙了还是一样

因为你的病毒没杀干净。我前天也遭了类似的,情况和你一样，感染lsass.exe文件。我升级了瑞星，杀了一次毒就ok了。

你是用什么杀的呢