羽当以化 - 2006-8-4 22:01:00
这个好像是虚拟内存的问题
http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下HijackThis
帖日志上来
雾泪 - 2006-8-4 22:07:00
HijackThis_815汉化版扫描日志 V1.99.1
保存于 21:57:17 ******, 日期 2006-8-4
操作系统: Windows XP (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP1 (6.00.2600.0000)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
F:\Program Files\Helexis\Drive Health\dhcore.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\D-Tools\daemon.exe
C:\WINDOWS\VM_STI.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\System32\svchost.exe
F:\Program Files\Tencent\TT\TTraveler.exe
C:\WINDOWS\system32\notepad.exe
F:\Program Files\Adobe\Photoshop CS\Photoshop.exe
C:\Program Files\Windows NT\Accessories\WORDPAD.EXE
C:\WINDOWS\System32\taskmgr.exe
E:\安装程序\安全检测工具\HijackThis1991zww.exe
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v13.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: IDDTInitObj Class - {15DDE989-CD45-4561-BF99-D22C0D5C2B74} - C:\PROGRA~1\SINA\UC\UCddt\ddtinit.dll
O2 - BHO: Wbho Class - {40E3A34A-3282-41F8-AD2C-051BAB96AD4A} - C:\WINDOWS\System32\Usign.dll (file missing)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - F:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: KillObj Class - {66C28884-4E5D-494B-80C9-CAA27528FD6D} - C:\PROGRA~1\SINA\UC\UCddt\ddtkillw.ocx
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - D:\李海强\SOFTWARE\软件安装\网络软件\KuGoo2\KuGoo3DownXControl.ocx
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - (no file)
O2 - BHO: 珊瑚虫 工具栏 - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - C:\Program Files\Infofo Bar\infofobar.dll
O3 - IE工具栏增项: 珊瑚虫 工具栏 - {D74EC18E-3DDD-4174-B1B1-949FE3B8366D} - C:\Program Files\Infofo Bar\infofobar.dll
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [Super Rabbit SRRestore] C:\PROGRA~1\SUPERR~1\MAGICSET\SRRest.exe /autosave
O4 - 启动项HKLM\\Run: [DAEMON Tools-1033] "C:\Program Files\D-Tools\daemon.exe" -lang 2052
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - F:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用KuGoo3下载(&K) - D:\李海强\SOFTWARE\软件安装\网络软件\KuGoo2\KuGoo3DownX.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - F:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - F:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - F:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 免费精彩视频超流畅在线观看 - {022C4009-5283-4365-97BF-144054B40E2E} - http://itv.mop.com (file missing)
O9 - 浏览器额外的“工具”菜单项: 播霸电视 - {022C4009-5283-4365-97BF-144054B40E2E} - http://itv.mop.com (file missing)
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomail (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=taobao (file missing)
O9 - 浏览器额外的按钮: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yassist (file missing)
O9 - 浏览器额外的按钮: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - 浏览器额外的“工具”菜单项: kele8 - {84920E5F-3788-49cd-A274-E365578DF174} - http://www.kele8.com/ (file missing)
O9 - 浏览器额外的按钮: 珊瑚虫 工具栏 - {8507326C-B5C1-4559-BB91-0919E753836F} - C:\Program Files\Infofo Bar\infofobar.dll
O9 - 浏览器额外的“工具”菜单项: 珊瑚虫 工具栏 - {8507326C-B5C1-4559-BB91-0919E753836F} - C:\Program Files\Infofo Bar\infofobar.dll
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=yahoomsg (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=repair (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://cn.zs.yahoo.com/cnsbutton.htm?source=cns&btn=clean (file missing)
O11 - Options group: [!CNS] 网络实名
O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} - http://www.clubbox.co.kr/neo.fld/NowStarter.cab
O16 - DPF: {448A5F6B-8C03-4B54-A338-F00237C508AD} - http://www.51uc.com/cab/WEBChatRoom_1_39.cab
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {ABA7CC7F-019D-47DB-A0D2-B3C2B3AC1B44} (Fc2Boot Class) - http://h5.kele8.com/onet/ActiveX/fc2boot.cab
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://www.tenpay.com/download/qqedit.cab
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://ps.itv.mop.com/dn/files/pCastCtl_1.0.0.80_20060123.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E10881C0-D2D5-4165-B00A-9F8239366D73}: NameServer = 202.99.96.68 202.99.64.69
O18 - 列举现有的协议: NetCat - {9D8327E1-E57C-46DC-A50A-980A2F8DE064} - F:\Program Files\AsiaFans\AsiaFansPlug.dll
O23 - NT 服务: DriveHealth - Helexis Software Development - F:\Program Files\Helexis\Drive Health\dhcore.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Unknown owner - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
雾泪 - 2006-8-4 22:13:00
| 引用: |
【羽当以化的贴子】这个好像是虚拟内存的问题
http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下HijackThis
帖日志上来
……………… |
我觉得硬件或系统错误的可能性不大,现在已经可以肯定这是个病毒。你看看今天其他新发的帖子几乎都是反映的这个问题,看看下图中这个帖子,就是我说的问题,被“狮王心”设为了超级主题。可见这个问题不一般。似乎瑞星目前也没有有效的解决方法,所以在广纳良策啊~~!!!
附件:
250990200684220603.jpg
雾泪 - 2006-8-4 22:24:00
我发这个帖子并不仅仅是为解决自己的问题,更重要的是希望大家都能对此有所重视,今天的一天之间突然间出现的这么多同样的问题,实非偶然。我个人自认为平时相当的注意电脑的维护和系统软件的安全防护,但仍然会出现这种问题,染上这种病毒。我能被感染,相信你也会有机会的,大家都要提高警惕啊。虽然目前为止仍没有有效的解决方法,预防方案。 但我个人建议大家最近上网时注意不要登陆陌生的网站,提高自己电脑的系统安全等级方案!!!
现在进行时 - 2006-8-4 22:25:00
http://forum.ikaka.com/topic.asp?board=28&artid=7624866参考这个
雾泪 - 2006-8-5 11:05:00
谢谢,问题解决!
◆病毒名称:WINLOGON.EXE
◆病毒路径:C:\WINDOWS\Winlogon.exe
◆病毒认识:winlogon.exe是正常的系统文件,任务管理器中看到此文件的用户名为system,是系统文件
WINLOGON.exe(注意:文件名全都大写),任务管理器中看到此文件的用户名为当前用户或ADMINISTRATOR
◆病毒危害:专门针对传奇游戏的盗号的木马,对QQ,网银等同样有危害···
◆病毒关联文件:
D:\autorun.inf
D:\pagefile.com
C:\WINDOWS\1.com
C:\WINDOWS\finder.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\explorer.com
C:\Windows\system32\command.com(此项谨慎删除,看是否与病毒文件同一时间被修改)
C:\WINDOWS\SYSTEM32\rundll32.com
C:\WINDOWS\SYSTEM32\regedit.com
C:\WINDOWS\SYSTEM32\Msconfig.com
C:\WINDOWS\SYSTEM32\finder.com
C:\WINDOWS\SYSTEM32\dxdiag.com
C:\Windows\system32\msconfig.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\Debug\*** Programme.exe(传奇图标)
◆其他关联文件(也许个别人会没有):
C:\WINDOWS\TEMP\a.exe
C:\WINDOWS\TEMP\b.exe
◆病毒解决方案:
首先要注意这些文件会自己关联,要是你删了一部分,不小心运行了一个或在开始-运行里msocnfig,command,regedit了,
所有的这些文件全会自己补充回来!
1.在我的电脑→工具栏→文件夹选项/查看标签→选择“显示所有文件和文件夹”,取消“隐藏受保护的操作系统文件(推荐)”→确定。
2.任务栏上开始→运行regedit,进入注册表,到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里面,有一个 Torjan pragramme,删除它。
3.任务栏上开始→注销
4.右键D盘符选“打开”,把autorun.inf和pagefile.com删掉
5.到C盘删除上面的所有的病毒关联文件,特别注意的是C:\WINDOWS\Winlogon.exe要等到最后一个删除,
最好用Killbox(强行删除软件)删除
6.到C:\Windows\system32 里,把cmd.exe文件复制出来,改名成cmd.com,然后双击打开此文件依次输入下列2条命令
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %* (ftype与.exefile之间,"%1"与%*之间有空格)
7.重启电脑,打开注册表,在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon中找到名为shell并将数值数 据Explorer.exe 1修改为Explorer.exe
8.最后修复IE,我用的是超级兔子,大功告成,病毒彻底删除。参照baohe的方案用瑞星自带的注册表扫描恢复。
雾泪 - 2006-8-5 11:12:00
病毒却是被清理掉了,不过瑞星和防火墙仍旧启动不了~~~。
GHOST还原系统,OK~!!!
看来之所以,之前还原无效,是因为它在D盘根目录下安插了两个病毒文件,要右键D盘符选“打开”,把autorun.inf和pagefile.com删掉。彻底除根~!!!
不过还是希望能找出不用重装系统,就能解决的方法来~!!
雾泪 - 2006-8-5 11:14:00
在这里在引用下BAOHE的解决方法:
1/结束进程WINLOGON.EXE(路径:C:\WINDOWS\WINLOGON.EXE).
2/将注册表修复工具RegFix.exe的后缀改为.scr。运行RegFix.scr,选择“全自动修复”,修复主要文件关联。
3/删除下列文件:
C:\WINDOWS\1.com
C:\WINDOWS\ExERoute.exe
C:\WINDOWS\explorer.com
C:\WINDOWS\finder.com
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\Debug\DebugProgram.exe
C:\Program Files\Common Files\iexplore.pif
C:\Program Files\Internet Explorer\iexplore.com
C:\WINDOWS\system32\command.pif
C:\WINDOWS\system32\dxdiag.com
C:\WINDOWS\system32\finder.com
C:\WINDOWS\system32\MSCONFIG.COM
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\rundll32.com
D:\autorun.inf
D:\pagefile.pif
4/清理注册表:
HKEY_CLASSES_ROOT\.bfc\ShellNew
将"Command"="%SystemRoot%\\system32\\rundll32.com"改为"Command"="%SystemRoot%\\system32\\rundll32.exe"
HKEY_CLASSES_ROOT\.lnk\ShellNew
删除"Command"="rundll32.com
HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command
将@="\"C:\\Program Files\\Internet Explorer\\IEXP1ORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE" %1"
HKEY_CLASSES_ROOT\cplfile\shell\cplopen\command
将@="rundll32.com shell32.dll,Control_RunDLL \"%1\",%*"改为@="rundll32.exe shell32.dll,Control_RunDLL \"%1\",%*"
HKEY_CLASSES_ROOT\dunfile\shell\open\command
将@="%SystemRoot%\\system32\\rundll32.com NETSHELL.DLL,InvokeDunFile %1"改为@="%SystemRoot%\\system32\\rundll32.exe NETSHELL.DLL,InvokeDunFile %1"
HKEY_CLASSES_ROOT\htmlfile\shell\print\command
将@="rundll32.com %SystemRoot%\\system32\\mshtml.dll,PrintHTML \"%1\""改为@="rundll32.exe %SystemRoot%\\system32\\mshtml.dll,PrintHTML \"%1\""
HKEY_CLASSES_ROOT\inffile\shell\Install\command
将@="%SystemRoot%\\System32\\rundll32.com setupapi,InstallHinfSection DefaultInstall 132 %1"该为@="%SystemRoot%\\System32\\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
HKEY_CLASSES_ROOT\InternetShortcut\shell\open\command
删除@="finder.com "
HKEY_CLASSES_ROOT\scrfile\shell\install\command
删除@="finder.com"
HKEY_CLASSES_ROOT\scriptletfile\Shell\Generate Typelib\command
删除@="\"C:\\WINDOWS\\system32\\finder.com\""
HKEY_CLASSES_ROOT\telnet\shell\open\command
删除@="finder.com"
HKEY_CLASSES_ROOT\Unknown\shell\openas\command
删除@="%SystemRoot%\\system32\\finder.com"
HKEY_CLASSES_ROOT\winfiles\Shell\Open\Command
删除@="C:\\WINDOWS\\ExERoute.exe \"%1\" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
删除"Torjan Program"="C:\\WINDOWS\\WINLOGON.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
删除"Torjan Program"="C:\\WINDOWS\\WINLOGON.EXE"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将"Shell"="Explorer.exe 1"改为"Shell"="Explorer.exe"
© 2000 - 2026 Rising Corp. Ltd.