瑞星卡卡安全论坛

第一次处理病毒realplay.exe后。一切正常。
开启MSN，引爆大量病毒。下面是引爆后的报告。
爆发了netstart.exe
第二次病毒处理。处理后一切正常。
打开FOXMAIL后，引爆大量病毒。
吓的把网线拨了。在进程监控发现写入logo1_.exe威金。(这个看错了，我爆发的是logo1_.exe.威金是logo_1.exe)我晕死了。
所以只能紧急上来求救。
一次比一次严重。处理病毒后。

我现在电脑都不感重启，网线也拨了。logo1_.exe被我手工删了，生成的同时也生成了一个rundll.exe。都在windows目录下.
logo1_.exe的报告一慌没有扫描下来。

Logfile of HijackThis v1.99.1
Scan saved at 11:41:00, on 2006-9-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Program Files\Rising\Rfw\RfwMain.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\Intel\rundll32.exe
C:\WINDOWS\winampa.exe
I:\u2\SREng2\SREng.com
I:\u2\ha_hijackthis_1991\HijackThis.com

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
R3 - URLSearchHook: Micrsoft SearchBar - {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - C:\Program Files\Micrsoft SearchBar\tbu11\SearchBar.dll
O1 - Hosts: 59.34.197.239 www.baidu.com
O1 - Hosts: 59.34.197.239 baidu.com
O1 - Hosts: 59.34.197.239 www.sohu.com
O1 - Hosts: 59.34.197.239 sohu.com
O1 - Hosts: 59.34.197.239 www.sina.com
O1 - Hosts: 59.34.197.239 sina.com
O1 - Hosts: 59.34.197.239 www.sina.com.cn
O1 - Hosts: 59.34.197.239 sina.com.cn
O1 - Hosts: 59.34.197.239 www.163.com
O1 - Hosts: 59.34.197.239 163.com
O1 - Hosts: 59.34.197.239 www.google.com
O1 - Hosts: 59.34.197.239 google.com
O1 - Hosts: 59.34.197.239 www.qq.com
O1 - Hosts: 59.34.197.239 qq.com
O1 - Hosts: 59.34.197.239 www.hao123.com
O1 - Hosts: 59.34.197.239 hao123.com
O1 - Hosts: 59.34.197.239 ttlttt.com
O1 - Hosts: 59.34.197.239 about:blank
O2 - BHO: MyIEHelper Class - {16B770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_5074.dll (file missing)
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
O2 - BHO: (no name) - {4BBC1A4D-DD20-4980-A645-2E13F6FC286D} - C:\WINDOWS\system32\3721.1.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: XBTP03129 - {B07D1F6B-6B8C-4904-8EE8-5E5A2B4624B3} - C:\PROGRA~1\MICRSO~1\tbu11\SEARCH~1.DLL
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll
O3 - Toolbar: Micrsoft SearchBar - {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} - C:\Program Files\Micrsoft SearchBar\tbu11\SearchBar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [IntelliPoint] ; "C:\Program Files\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\..\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O4 - HKLM\..\Run: [webService] systems.exe
O4 - HKLM\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - HKLM\..\Run: [Tray] C:\WINDOWS\command\rundll32.exe
O4 - HKLM\..\Run: [zt] ; C:\WINDOWS\Intel\rundll32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] ; "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe
O4 - HKCU\..\Run: [msnnt] C:\WINDOWS\winampa.exe
O4 - HKCU\..\Run: [LetsCool] ; ; C:\Program Files\LetsCool\LetsCool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
O15 - Trusted IP range: http://202.108.152.8
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {F2EB8999-766E-4BF6-AAAD-188D398C0D0B} (PBActiveX40 Control) - http://szdl.cmbchina.com/download/PB/pb50.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{731E7BB8-214F-416D-9373-491AA21C2734}: NameServer = 192.168.32.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF738F67-B20D-49AE-8709-9FFB312C1437}: NameServer = 192.168.32.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia

Shared\Service\Macromedia Licensing.exe
O23 - Service: host Service For Windows (mshost) - Unknown owner - C:\WINDOWS\mshost.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation -

C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: Remote Managements Instrumenta (Remss_Ser) - Unknown owner - C:\WINDOWS\system32\netstart.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - C:\Program

Files\Rising\Rfw\rfwsrv.exe

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [Microsoft Corporation]
    <msnmsgr><"C:\Program Files\MSN Messenger\msnmsgr.exe" /background>  [Microsoft Corporation]
    <MSMSGS><; "C:\Program Files\Messenger\msmsgs.exe" /background>  [Microsoft Corporation]
    <Realplayer.exe><C:\WINDOWS\system32\Realplayer.exe>  []
    <msnnt><C:\WINDOWS\winampa.exe>  []
    <LetsCool><; ; C:\Program Files\LetsCool\LetsCool.exe>  []
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <{3A6812FD-0729-2052-0826-040107310056}><"C:\Program Files\Common Files\{3A6812FD-0729-2052-0826-040107310056}\Update.exe" te-110-12-0000029>  []
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  []
    <run><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [Microsoft Corporation]
    <PHIME2002ASync><; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [Microsoft Corporation]
    <PHIME2002A><; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [Microsoft Corporation]
    <IgfxTray><C:\WINDOWS\System32\igfxtray.exe>  [Intel Corporation]
    <vptray><C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe>  [Symantec Corporation]
    <KernelFaultCheck><%systemroot%\system32\dumprep 0 -k>  []
    <IntelliPoint><; "C:\Program Files\Microsoft IntelliPoint\point32.exe">  [Microsoft Corporation]
    <YLive.exe><C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe>  [ ]
    <yassistse><"C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe">  [Yahoo!]
    <webService><systems.exe>  []
    <Realplayer.exe><C:\WINDOWS\system32\Realplayer.exe>  []
    <Tray><C:\WINDOWS\command\rundll32.exe>  []
    <zt><; C:\WINDOWS\Intel\rundll32.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><EXPLORER.EXE>  [Microsoft Corporation]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [Microsoft Corporation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\NavLogon]
    <WinlogonNotify: NavLogon><C:\WINDOWS\System32\NavLogon.dll>  []

==================================
启动文件夹
服务
[C-DillaCdaC11BA / C-DillaCdaC11BA]
  <C:\WINDOWS\System32\drivers\CDAC11BA.EXE><Macrovision>
[DefWatch / DefWatch]
  <C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe><Symantec Corporation>
[Macromedia Licensing Service / Macromedia Licensing Service]
  <"C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe"><N/A>
[Symantec AntiVirus Client / Norton AntiVirus Server]
  <C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe><Symantec Corporation>
[Remote Managements Instrumenta / Remss_Ser]
  <C:\WINDOWS\system32\netstart.exe -service><N/A>
[Rising Personal Firewall Service / RfwService]
  <C:\Program Files\Rising\Rfw\rfwsrv.exe><Beijing Rising Technology Co., Ltd.>
[Volume Shadddow Copyer / Service332242]
  <><N/A>

==================================

浏览器加载项
[MyIEHelper Class]
  {16B770A0-0E87-4278-B748-2460D64A8386} <C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_5074.dll, N/A>
[AntiFish Class]
  {38928D50-8A48-44C2-945F-D2F23F771410} <C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll, Yahoo.>
[雅虎助手]
  {406F94F0-504F-4a40-8DFD-58B0666ABEBD} <C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll, Yahoo!>
[]
  {4BBC1A4D-DD20-4980-A645-2E13F6FC286D} <C:\WINDOWS\system32\3721.1.dll, 3721公司<推荐使用>>
[DragSearch BHO]
  {62EED7C6-9F02-42f9-B634-98E2899E147B} <C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL, >
[XBTP03129 Class]
  {B07D1F6B-6B8C-4904-8EE8-5E5A2B4624B3} <C:\PROGRA~1\MICRSO~1\tbu11\SEARCH~1.DLL, IE Toolbar>
[ToolBar888]
  {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} <C:\Program Files\ToolBar888\MyToolBar.dll, N/A>
[雅虎助手]
  {406F94F0-504F-4a40-8DFD-58B0666ABEBD} <C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll, Yahoo!>
[ToolBar888]
  {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} <C:\Program Files\ToolBar888\MyToolBar.dll, N/A>
[Micrsoft SearchBar]
  {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} <C:\Program Files\Micrsoft SearchBar\tbu11\SearchBar.dll, IE Toolbar>
[Edit Class]
  {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} <C:\WINDOWS\system32\CMBEdit.dll, >
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx, Adobe Systems, Inc.>
[PBActiveX40 Control]
  {F2EB8999-766E-4BF6-AAAD-188D398C0D0B} <C:\WINDOWS\system32\CmbPb40.ocx, China Merchants Bank>
[MyIEHelper Class]
  {16B770A0-0E87-4278-B748-2460D64A8386} <C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_5074.dll, N/A>
[UserCpuCard Control]
  {16F2448E-8C16-11D1-9A11-0080C8E1561F} <C:\WINDOWS\system32\USERCP~1.OCX, EPort>
[HTML Document]
  {25336920-03F9-11CF-8FD0-00AA00686F13} <%SystemRoot%\system32\mshtml.dll, N/A>
[Yahoo!Photo]
  {33BBE430-0E42-4F12-B075-8D21ACB10DCB} <C:\Program Files\Yahoo!\Assistant\Assist\yphtb.dll, Yahoo! China>
[AntiFish Class]
  {38928D50-8A48-44C2-945F-D2F23F771410} <C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll, Yahoo.>
[雅虎助手]
  {406F94F0-504F-4A40-8DFD-58B0666ABEBD} <C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll, Yahoo!>
[超级兔子上网精灵]
  {43869BB3-22FD-4F15-9B46-238106BA2F4E} <C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll, Xiang Feng Technology>
[]
  {4BBC1A4D-DD20-4980-A645-2E13F6FC286D} <C:\WINDOWS\system32\3721.1.dll, 3721公司<推荐使用>>
[CdnForIE Class]
  {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} <C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll, CNNIC>
[DragSearch BHO]
  {62EED7C6-9F02-42F9-B634-98E2899E147B} <C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL, >
[Windows Media Player]
  {6BF52A52-394A-11D3-B153-00C04F79FAA6} <C:\WINDOWS\system32\wmp.dll, Microsoft Corporation>
[Micrsoft SearchBar]
  {6D53ADB7-6AD5-4A59-BFE4-7B57D2F4AA89} <C:\Program Files\Micrsoft SearchBar\tbu11\SearchBar.dll, IE Toolbar>
[超级兔子上网精灵]
  {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} <C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll, Xiang Feng Technology>
[]
  {A9930D97-9CF0-42A0-A10D-4F28836579D5} <D:\PROGRA~1\KuGoo3\KUGOO3~1.OCX, N/A>
[XBTP03129 Class]
  {B07D1F6B-6B8C-4904-8EE8-5E5A2B4624B3} <C:\PROGRA~1\MICRSO~1\tbu11\SEARCH~1.DLL, IE Toolbar>
[RDS.DataSpace]
  {BD96C556-65A3-11D0-983A-00C04FC29E36} <C:\Program Files\Common Files\System\msadc\msadco.dll, Microsoft Corporation>
[ToolBar888]
  {CBCC61FA-0221-4CCC-B409-CEE865CACA3A} <C:\Program Files\ToolBar888\MyToolBar.dll, N/A>
[Shockwave Flash Object]
  {D27CDB6E-AE6D-11CF-96B8-444553540000} <C:\WINDOWS\system32\Macromed\Flash\Flash9.ocx, Adobe Systems, Inc.>

==================================

正在运行的进程
[PID: 376][\SystemRoot\System32\smss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 432][\??\C:\WINDOWS\system32\csrss.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 456][\??\C:\WINDOWS\system32\winlogon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\System32\NavLogon.dll]  <N/A><N/A>
[PID: 500][C:\WINDOWS\system32\services.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\quartz32.dll]  <><4, 1, 0, 0>
[PID: 512][C:\WINDOWS\system32\lsass.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 664][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 712][C:\WINDOWS\system32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\quartz32.dll]  <><4, 1, 0, 0>
[PID: 820][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\quartz32.dll]  <><4, 1, 0, 0>
    [C:\olite\bin\oci.dll]  <Oracle Corporation><8.0.5.0.1>
    [C:\olite\bin\ORA805.dll]  <Oracle Corporation><8.0.5.0.0>
    [C:\olite\bin\CORE40.dll]  <Oracle Corporation><4.0.5.0.0>
    [C:\olite\bin\NLSRTL33.dll]  <Oracle Corporation><3.3.2.0.0>
    [C:\olite\bin\NL80.dll]  <Oracle Corporation><8.0.4.0.0 Production>
    [C:\olite\bin\OTRACE80.dll]  <Oracle Corporation><8.0.4.0.0>
    [C:\olite\bin\NS80.dll]  <Oracle Corporation><8.0.4.0.2 Production>
    [C:\olite\bin\nasns80.dll]  <Oracle Corporation><8.0.4.0.0 Production>
    [C:\olite\bin\nz80.dll]  <Oracle Corporation><8.0.4.0.0 Production>
    [C:\olite\bin\NNFG80.dll]  <Oracle Corporation><8.0.4.0.1 Production>
    [C:\olite\bin\NNCI80.dll]  <Oracle Corporation><8.0.4.0.0 Production>
    [C:\olite\bin\NNG80.dll]  <Oracle Corporation><8.0.4.0.2 Production>
    [C:\olite\bin\NMP80.dll]  <Oracle Corporation><8.0.4.0.0 Production>
    [C:\olite\bin\NPL80.dll]  <Oracle Corporation><8.0.4.0.0 Production>
    [C:\olite\bin\NR80.dll]  <Oracle Corporation><8.0.4.0.0 Production>
    [C:\olite\bin\NT80.dll]  <Oracle Corporation><8.0.4.0.1 Production>
    [C:\olite\bin\NCR80.dll]  <Oracle Corporation><8.0.4.0.0 Production>
    [C:\olite\bin\NMS80.dll]  <Oracle Corporation><8.0.4.0.0 Production>
    [C:\olite\bin\NNFD80.dll]  <Oracle Corporation><8.0.4.0.0 Production>
    [C:\olite\bin\NNFN80.dll]  <Oracle Corporation><8.0.4.0.0 Production>
    [C:\olite\bin\NI80.dll]  <Oracle Corporation><8.0.4.0.0 Production>
    [C:\olite\bin\PLS805.dll]  <Oracle Corporation><8.0.5.0.0>
    [C:\olite\bin\NDWSI80.DLL]  <N/A><N/A>
    [C:\olite\bin\SQLLib80.dll]  <Oracle Corporation><8.0.5.0.0>
    [C:\olite\bin\xa80.dll]  <Oracle Corporation><8.0.5.0.0>
[PID: 896][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 928][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\system32\quartz32.dll]  <><4, 1, 0, 0>
[PID: 980][C:\Program Files\Rising\Rfw\rfwsrv.exe]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 25>
    [C:\Program Files\Rising\Rfw\RfwRule.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 10>
    [C:\Program Files\Rising\Rfw\rfwlog.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 6>
    [C:\Program Files\Rising\Rfw\Rfwdrv.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 19>
    [C:\Program Files\Rising\Rfw\MonDrv.dll]  <rs><1, 0, 0, 4>
    [C:\Program Files\Rising\Rfw\ProcLib.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 9>
    [C:\Program Files\Rising\Rfw\mPorts.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 3>
[PID: 1152][C:\WINDOWS\system32\spoolsv.exe]  <Microsoft Corporation><5.1.2600.2696 (xpsp_sp2_gdr.050610-1519)>
    [C:\WINDOWS\system32\fppmon2.dll]  <FinePrint Software, LLC><2.51>
    [C:\WINDOWS\system32\fppr232.dll]  <FinePrint Software, LLC><2.51>
    [C:\WINDOWS\system32\Ssgb3mon.dll]  <Samsung Electronics.><1, 0, 0, 0>
[PID: 1436][C:\WINDOWS\Explorer.EXE]  <Microsoft Corporation><6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\WINDOWS\System32\AcSignIcon.dll]  <Autodesk><16.0.0.86>
    [C:\Program Files\Common Files\Autodesk Shared\AcSignCore16.dll]  <Autodesk><16.0.0.86>
    [C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll]  <Adobe Systems, Inc.><7.0.0.0>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 7, 1024>
    [C:\WINDOWS\System32\igfxpph.dll]  <Intel Corporation><3.0.0.3847>
    [C:\WINDOWS\System32\hccutils.DLL]  <Intel Corporation><3.0.0.3847>
    [C:\WINDOWS\system32\igfxres.dll]  <Intel Corporation><3.0.0.3847>
    [C:\WINDOWS\System32\igfxsrvc.dll]  <Intel Corporation><3.0.0.3847>
    [C:\WINDOWS\System32\igfxdev.dll]  <Intel Corporation><3.0.0.3847>
    [C:\WINDOWS\system32\Rsvtub.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\quartz32.dll]  <><4, 1, 0, 0>
    [C:\WINDOWS\system32\ztdll.dll]  <N/A><N/A>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\yaLive.dll]  <><2, 0, 5, 1031>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yalliveex.dll]  < ><2, 0, 1, 1007>
    [C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll]  <Yahoo!><2, 1, 9, 1049>
    [C:\WINDOWS\system32\3721.1.dll]  <3721公司<推荐使用>><1.0.0.0>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL]  <><1, 2, 7, 1006>
    [C:\Program Files\ToolBar888\MyToolBar.dll]  <N/A><1, 0, 0, 1>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\ywiper.dll]  <N/A><1, 0, 1, 1014>
    [C:\Program Files\Tencent\qq\qdshm.dll]  <><1, 0, 1, 2>
    [C:\Program Files\WinRAR\rarext.dll]  <N/A><N/A>
    [C:\Program Files\Common Files\Symantec Shared\SSC\vpshell2.dll]  <Symantec Corporation><8.1.0.821>

[PID: 1476][C:\WINDOWS\System32\drivers\CDAC11BA.EXE]  <Macrovision><4.20.020>
[PID: 1512][C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe]  <Symantec Corporation><8.1.0.821>
[PID: 1552][C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe]  <Symantec Corporation><8.1.0.821>
    [C:\WINDOWS\system32\CBA.DLL]  <Intel? Corporation><6.12.0.105 E>
    [C:\WINDOWS\system32\MsgSys.dll]  <Intel? Corporation><6.12.0.105 E>
    [C:\WINDOWS\system32\NTS.dll]  <Intel? Corporation><6.12.0.105 E>
    [C:\WINDOWS\system32\PDS.DLL]  <Intel? Corporation><6.12.0.105 E>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\NAVLU.dll]  <Symantec Corporation><8.1.0.821>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\NAVNTUTL.DLL]  <Symantec/Peter Norton Group><1, 0, 0, 1>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\i2ldvp3.dll]  <Symantec Corporation><8.1.0.821>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\NAVAPI32.DLL]  <Symantec Corp.><4.2.0.7>
    [C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20060906.017\NAVEX32a.DLL]  <Symantec Corporation><20061.2.0.26>
    [C:\PROGRA~1\COMMON~1\SYMANT~1\VIRUSD~1\20060906.017\NAVENG32.DLL]  <Symantec Corporation><20061.2.0.26>
    [C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\NAVAP32.DLL]  <Symantec Corporation><9.1.0.26>
    [C:\PROGRA~1\COMMON~1\SYMANT~1\SSC\Scandlgs.dll]  <Symantec Corporation><8.1.0.821>
[PID: 1560][C:\Program Files\Rising\Rfw\RfwMain.exe]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 40>
    [C:\Program Files\Rising\Rfw\RsGuiLib.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 23>
    [C:\Program Files\Rising\Rfw\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [C:\Program Files\Rising\Rfw\PngDll.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 5>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 7, 1024>
    [C:\WINDOWS\system32\ztdll.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\3721.1.dll]  <3721公司<推荐使用>><1.0.0.0>
[PID: 936][C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe]  <Symantec Corporation><8.1.0.821>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 7, 1024>
    [C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Cliproxy.dll]  <Symantec Corporation><8.1.0.821>
    [C:\PROGRA~1\SYMANT~1\SYMANT~1\NAVNTUTL.DLL]  <Symantec/Peter Norton Group><1, 0, 0, 1>
    [C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Cliscan.dll]  <Symantec Corporation><8.1.0.821>
    [C:\WINDOWS\system32\ztdll.dll]  <N/A><N/A>
[PID: 968][C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe]  < ><2, 0, 0, 1002>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 7, 1024>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\yaLive.dll]  <><2, 0, 5, 1031>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yalliveex.dll]  < ><2, 0, 1, 1007>
    [C:\Program Files\Yahoo!\Assistant\yNotifier.dll]  <><1, 0, 0, 5>
    [C:\WINDOWS\system32\ztdll.dll]  <N/A><N/A>
[PID: 1016][C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe]  <Yahoo!><1, 0, 1, 1001>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 7, 1024>
    [C:\PROGRA~1\Yahoo!\Assistant\shell\yAssecblk.dll]  <Yahoo><1, 0, 2, 1002>
    [C:\PROGRA~1\Yahoo!\Assistant\shell\yAsMenu.dll]  <Yahoo><1, 0, 1, 1006>
    [C:\PROGRA~1\Yahoo!\Assistant\shell\yIEAngel.dll]  <Yahoo><1, 0, 1, 1001>
    [C:\PROGRA~1\Yahoo!\Assistant\shell\yMenuInfo.dll]  <Yahoo><1, 0, 0, 2>
    [C:\WINDOWS\system32\ztdll.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\3721.1.dll]  <3721公司<推荐使用>><1.0.0.0>
[PID: 1024][C:\WINDOWS\System32\alg.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 620][C:\WINDOWS\system32\wscntfy.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 7, 1024>
    [C:\WINDOWS\system32\ztdll.dll]  <N/A><N/A>
[PID: 1220][C:\WINDOWS\system32\ctfmon.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 7, 1024>
    [C:\WINDOWS\system32\ztdll.dll]  <N/A><N/A>
[PID: 1616][C:\WINDOWS\System32\svchost.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
[PID: 2468][C:\WINDOWS\system32\conime.exe]  <Microsoft Corporation><5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 7, 1024>
    [C:\WINDOWS\system32\ztdll.dll]  <N/A><N/A>
[PID: 2740][C:\WINDOWS\Intel\rundll32.exe]  <N/A><N/A>
    [C:\WINDOWS\system32\ztdll.dll]  <N/A><N/A>
[PID: 1192][C:\WINDOWS\winampa.exe]  <><1, 0, 0, 15>
    [I:\u2\SREng2\SREng.com]  <Smallfrogs Studio><2.0.21.505>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 7, 1024>
    [C:\WINDOWS\system32\ztdll.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\3721.1.dll]  <3721公司<推荐使用>><1.0.0.0>
    [C:\WINDOWS\system32\quartz32.dll]  <><4, 1, 0, 0>
[PID: 3784][C:\Program Files\Rising\Rfw\RfwCfg.exe]  <Beijing Rising Technology Corporation Limited><4, 0, 0, 53>
    [C:\Program Files\Rising\Rfw\RsGuiLib.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 23>
    [C:\PROGRA~1\Yahoo!\ASSIST~1\Yhelper.dll]  <><2, 0, 7, 1024>
    [C:\Program Files\Rising\Rfw\RSCOMMON.DLL]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 4>
    [C:\Program Files\Rising\Rfw\PngDll.dll]  <Beijing Rising Technology Co., Ltd.><18, 0, 0, 5>
    [C:\Program Files\Rising\Rfw\mPorts.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 3>
    [C:\WINDOWS\system32\ztdll.dll]  <N/A><N/A>
    [C:\WINDOWS\system32\3721.1.dll]  <3721公司<推荐使用>><1.0.0.0>
    [C:\Program Files\Rising\Rfw\RfwRule.dll]  <Beijing Rising Technology Co., Ltd.><4, 0, 0, 10>

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者

==================================

【回复“我的疑问”的帖子】
C:\WINDOWS\system32\Realplayer.exe
C:\WINDOWS\command\rundll32.exe
C:\WINDOWS\Intel\rundll32.exe
以上文件——打包、加密发给我（baohelin@yahoo.com.cn）

——————————————————
O4 - HKLM\..\Run: [webService] systems.exe
这个木马的处理请参考：

http://forum.ikaka.com/topic.asp?board=28&artid=8168584

我按报告全部处理了，我又扫描了系统，包括启动项，注册表，服务项，文件目录，全部没有发现可疑的。
上网一切正常，
第一次是处理010项跟realplary.exe。处理成功
报告中并没有显示他们。一切正常。使用也正常。不会乱弹网页乱七八糟的。
打开MSN后，完蛋马上卡住。电脑马上爆发大量病毒。我处理了一下午。
以上就是我扫描的报告。后发现多出了 netstart.exe .也就是你叫我处理的system.exe.
我也按以上处理了。
处理以后。
也是一切正常。用的好好的。
打开FOXMAIL,电子邮件以后。不得了。
又爆发了一大堆病毒。
报告我没有扫，但我看了一遍，跟上面一样。
唯一不一样的。就是在进程里多了一个
logo1_.exe
我一紧张就把网线拨了。以为是中了威金。
后来一看我晕。威金是logo_1.exe

这下一着急就不知道怎么办好了。我搞了几小时了。
一次比一次爆发的更厉害。更严重。

等我晚上，再次把病毒引爆。
我把logo1_.exe什么的都发给你。我的天啊！！
我晕死了。

我告诉你怎么做，下午我刚搞定这个狗日的东西。
从进程里结束
logo1_.exe或logo_1.exe
rundl1.exe(点前面是1不是小写的L)
rundl132.exe(点前面是1不是小写的L)
cmd.exe
然后手动删除注册表里的可疑启动项。
安全模式起动电脑，看c:\windows目录下有没有上述几个文件，如没有就建几个记事本文件，不要往里写东西。然后把文件名改为这几个病毒名，属性改成不可读，隐藏。
祝你好运！

不行的。你你现在还没有引爆他。
我怀疑他是感染.exe文件的。
我处理后，也用的好好的啊。
可是总有某些软件引爆。
大量病毒。

引用:

【我的疑问的贴子】等我晚上，再次把病毒引爆。 我把logo1_.exe什么的都发给你。我的天啊！！ 我晕死了。 ………………

楼主的确挺晕的，可以告诉楼主，logo1_.exe的确是威金。威金也的确感染exe文件。

引用:

【yamaha400的贴子】我告诉你怎么做，下午我刚搞定这个狗日的东西。 从进程里结束 logo1_.exe或logo_1.exe rundl1.exe(点前面是1不是小写的L) rundl132.exe(点前面是1不是小写的L) cmd.exe 然后手动删除注册表里的可疑启动项。 安全模式起动电脑，看c:\windows目录下有没有上述几个文件，如没有就建几个记事本文件，不要往里写东西。然后把文件名改为这几个病毒名，属性改成不可读，隐藏。 祝你好运！ ………………

这样的方法，是无奈之举。因为病毒仍然存在，被感染的文件仍然是一个个“定时炸弹”。所以，这不能算是解决问题，只能是权宜之计。

威金不是logo_1.exe吗。
怎么logo1_.exe也是威金啊？

我现在重装系统有没有用。

格所有盘重装吧，LZ怎么中的那么多病毒啊

我自己当然是不会中毒的。是公司那些同事！
经常中了毒以后。整个网络都上不了网。
然后查啊查啊。查的我半事。

都处理了二回了。

今天又有个，给了我了这么多毒。一般我是自己能解决的。

没办法。太厉害了。我自己也搞不清是什么毒。

搞不定。搞了一下午。版主啊。我要明天才能去拿那些文件了。
今天拿不着。
先在这里谢谢了。

O4 - HKLM\..\Run: [Realplayer.exe] C:\WINDOWS\system32\Realplayer.exe这个已经不存在，被我杀了。
下面二个怎么都删不掉。

O4 - HKLM\..\Run: [Tray] C:\WINDOWS\command\rundll32.exe
O4 - HKLM\..\Run: [zt] ; C:\WINDOWS\Intel\rundll32.exe

刚去看了看。windows下多了个威金logo1_.exe

跟一个rundll.exe

压缩包已经分送。谢谢帮助分析。

请问一下猫叔。压缩包为什么要加密，有什么特殊道理吗。

把威金也发我个，gudugd@yahoo.com.cn
加密123

不加密，在邮箱下载附件时要被拦截的，不能下载，所以要加密

楼上的是不是找威金，找了好久了啊。
呵呵。这个害人不浅啊。

你要来干吗。不要威害武林啊。

我们单位中的也是这个毒，很厉害，几乎感染所有分区的exe文件，像acdsee/word/excel/wow/winrar，根本没法杀。

期待瑞星能重视这个问题，这个病毒太厉害。我用威金专杀没用。

同情一下兄弟们!!
看来要做好防患于未然的工作了!!

这个维金应该可以用SSM监控到吧 在它刚启动的时候

大家我想问一下　我的电脑前天不知道中了什么病毒　瑞星杀毒和防火都关掉了　在桌面上显示有就是点不出来　　没办法重新做了系统格了所有分区才搞定　怎么防啊～～～～

...为楼主电脑默哀.......

Mcafee 4850病毒库已经可以查杀，清除这个病毒了，我今天修复了600多个exe文件。Mcafee不愧是杀软大厂，大家快去试试。