Trojan.DL.Small.oan ,,, bbs.ikaka.com

与时拒进 - 2006-9-13 10:47:00

版主现身呐

tigergroup - 2006-9-13 10:49:00

你杀毒软件如果杀到这文件是.exe 的文件如果重启还有..可以在安全模式下将此文件压缩...

这是版主告诉我的

我不会,
太菜了...

不是麻烦大家了..

与时拒进 - 2006-9-13 10:51:00

引用:

【爬行动物的贴子】sysmgr.exe 是要这个么开机后不杀可以找到这个肯定是崽子..
………………

你水平还高点，怎么给他发一个？我们都在线等ing～～～～

tigergroup - 2006-9-13 10:55:00

你杀毒软件如果杀到这文件是.exe 的文件如果重启还有..可以在安全模式下将此文件压缩...

版主是这样告诉我的...

我不会,太菜了..

还得麻烦大家了..

与时拒进 - 2006-9-13 10:58:00

关键是找不着啊，找到了直接删除不就得了，也就没事了

tigergroup - 2006-9-13 21:34:00

一下午没有顶,都沉到这里了.

顶上去,

版主看看吧.

天天泡泡 - 2006-9-13 21:45:00

有没有试过关闭系统还原后，在安全模式下杀毒？这个毒属于瑞星可以查杀的病毒，看样子大家手工的能力都不是很强。所以建议还是尽量用软件来解决？有人在安全模式下试过吗？

成都妹妹 - 2006-9-13 21:59:00

我是强烈支持快快解决这个问题的！！我以向瑞星公司发了样本！正在等他们的回复！！

tigergroup - 2006-9-13 22:35:00

快解决啊

我都在哭了....

tigergroup - 2006-9-13 22:53:00

快啊

我系统还原都不行了
不知道是不是被这个病毒给删除了...

郁闷啊

爬行动物 - 2006-9-13 23:08:00

病毒样本我下午已经给他们发过去了

15的显示屏 - 2006-9-13 23:22:00

你的情况和我表弟中的毒有点象,最好上网上看看是不是中了橙色八月病毒了,下载个专杀杀看,再修改一下你的防火墙设置,具体我也说不清,你可以上网上找找好象要在规则MS06-040关闭139,445端口.反正你上网上找能找到的!

与时拒进 - 2006-9-14 8:24:00

引用:

【tigergroup的贴子】快解决啊

我都在哭了....
………………

同情，默默无语两行泪，耳边响起驼铃声

tigergroup - 2006-9-14 10:47:00

又沉下去了..

解决啊

tigergroup - 2006-9-14 11:05:00

顶上去

juny40334745 - 2006-9-14 11:22:00

楼上的的朋友　支持你　帮你顶一下了

与时拒进 - 2006-9-14 11:24:00

引用:

【juny40334745的贴子】楼上的的朋友　支持你　帮你顶一下了
………………

闪了

engine119 - 2006-9-14 12:01:00

看了这些贴，才知道中这个的还真不少，刚才的贴也白发了，斑竹删了吧。不过读这些帖也挺闹心的。我说几句啊，得罪的地方多担待。斑竹的答复太笼统了，这是我的感觉。我觉得用瑞星的，一般都是菜鸟，真要是系统搞的明白，也就不用花这钱了。所以，相对于我们这些菜鸟，作为高手的斑竹们能不能把问题解释的详细一点呢？不知道别人的感受，反正我知道我是很菜很菜的鸟，正在学习中，希望斑竹们能够为我们这些人想想。别的不多说了，说的不对多包含。不过，真的很着急啊。

lehehea - 2006-9-14 12:03:00

顶上去

juny40334745 - 2006-9-14 12:16:00

怎么很多高手好象突然之间都不见了啊？　忙什么呢这么多的帖子也不回一个　　也没有个音儿．．．
Trojan.DL.Small.oan 　这个病毒是怎么回事　这么多的人也没有说出个道道来．　　
　　方法说了很多问题依旧，悲哀啊！！　看来菜鸟们也要联合起来　多多学习探讨，要学会自谋出路啊　

tigergroup - 2006-9-14 12:50:00

郁闷啊

痛苦啊

tigergroup - 2006-9-14 13:19:00

版主又来了,

顶上去

帮忙啊

maokewu - 2006-9-14 13:31:00

此病毒在开机后第一次启动浏览器之前，根本找不到sysmgr.exe这个进程。当然如果安装了瑞星，第一次启动浏览器之后也一样找不到这个进程。我估计sysmgr.exe是iexplore.exe执行时所调用的某个模块生成的，生成时判断%SystemRoot%\System32\目录下有没有这个文件，如果没有就生成该文件，如果有同名文件并且是非只读的，就覆盖它。因此目前我暂时采用以下办法阻止该病毒：在%SystemRoot%\System32\目录下找一个可执行文件，如bootok.exe，将其复制并改名为sysmgr.exe，再将文件属性设置为只读，这样就不会出现烦人的瑞星拦截提示了。这样，我相信由于该病毒无法生成执行文件sysmgr.exe，应该也就没有机会感染你的电脑了。当然最终解决的办法是必须找出生成sysmgr.exe的模块，但由于工作太忙，没有时间做这件事。

tigergroup - 2006-9-14 13:35:00

引用:

【maokewu的贴子】此病毒在开机后第一次启动浏览器之前，根本找不到sysmgr.exe这个进程。当然如果安装了瑞星，第一次启动浏览器之后也一样找不到这个进程。我估计sysmgr.exe是iexplore.exe执行时所调用的某个模块生成的，生成时判断%SystemRoot%\System32\目录下有没有这个文件，如果没有就生成该文件，如果有同名文件并切是非只读的，就覆盖它。因此目前我暂时采用以下办法阻止该病毒：在%SystemRoot%\System32\目录下找一个可执行文件，如bootok.exe，将其复制并改名为sysmgr.exe，再将文件属性设置为只读，这样就不会出现烦人的瑞星拦截提示了。这样，我相信由于该病毒无法生成执行文件sysmgr.exe，应该也就没有机会感染你的电脑了。当然最终解决的办法是必须找出生成sysmgr.exe的模块，但由于工作太忙，没有时间做这件事。
………………

不要啊

这可是关系到这么多人的生命啊...

谢谢了

你就拿出点时间解救一下大家吧..

与时拒进 - 2006-9-14 13:35:00

问题还没解决啊，肯定是个什么病毒，不然大家的情况不会如此相似

westbeck - 2006-9-14 13:44:00

关注

sunjian830 - 2006-9-14 13:46:00

重装吧，我等到现在系统都被搞崩溃了啊，没办法才重装，中了这病毒到后来连机器都开不了了啊！！！！！！！！1

noname123 - 2006-9-14 13:50:00

Logfile of Kaka v2. 0. 0. 9 Scan Module v2. 0. 0. 1
Scan saved at 13:26:58, on 2006-09-14
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))

Running processes:
[smss.exe]
CommandLine =

[csrss.exe]
CommandLine = C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

[winlogon.exe]
CommandLine = winlogon.exe

[SERVICES.EXE]
CommandLine = C:\WINDOWS\system32\services.exe

[LSASS.EXE]
CommandLine = C:\WINDOWS\system32\lsass.exe

[Ati2evxx.exe]
CommandLine = C:\WINDOWS\system32\Ati2evxx.exe

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost -k DcomLaunch

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost -k rpcss

[CCenter.exe]
CommandLine = "C:\Program Files\Rising\Rav\CCenter.exe"

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\System32\svchost.exe -k netsvcs

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost.exe -k NetworkService

[RavMonD.exe]
CommandLine = "C:\Program Files\Rising\Rav\Ravmond.exe"

[rfwsrv.exe]
CommandLine = "c:\program files\rising\rfw\rfwsrv.exe"

[spoolsv.exe]
CommandLine = C:\WINDOWS\system32\spoolsv.exe

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost.exe -k LocalService

[wdfmgr.exe]
CommandLine = C:\WINDOWS\system32\wdfmgr.exe

[RavStub.exe]
CommandLine = "C:\Program Files\Rising\Rav\RavStub.exe" /RAVMOND

[alg.exe]
CommandLine = C:\WINDOWS\System32\alg.exe

[Ati2evxx.exe]
CommandLine = Ati2evxx.exe -Client

[EXPLORER.EXE]
CommandLine = C:\WINDOWS\Explorer.EXE

[RavTask.exe]
CommandLine = "C:\PROGRAM FILES\RISING\RAV\RAVTASK.EXE" -SYSTEM

[RFWMAIN.EXE]
CommandLine = -StartUp

[RavMon.exe]
CommandLine = "C:\Program Files\Rising\Rav\Ravmon.exe" -SYSTEM

[AliTalk.exe]
CommandLine = "D:\PROGRA~1\阿里巴巴\贸易通\AliTalk.EXE" -hideframe

[realsched.exe]
CommandLine = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

[ctfmon.exe]
CommandLine = "C:\WINDOWS\system32\ctfmon.exe"

[iexplore.exe]
CommandLine = "C:\Program Files\Internet Explorer\iexplore.exe"

[SVCHOST.EXE]
CommandLine = C:\WINDOWS\system32\svchost.exe -k imgsvc

[KkScan.exe]
CommandLine = "C:\Program Files\Rising\KakaToolBar\KkScan.exe"

R3 - Default URLSearchHook is missing
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 555.265.com
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [AliTalk] D:\PROGRA~1\阿里巴巴\贸易通\AliTalk.EXE -hideframe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &使用迅雷下载 - D:\Program Files\迅雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Program Files\迅雷\Program\GetAllUrl.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {43E839C5-E10F-443A-BC1F-F09CFD2ABC77} (updatePanelX Control) - http://www.uusee.com/player/updateC.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157044030671
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AXSafeControls.cab
O16 - DPF: {7FC751A9-492D-41B1-9F8D-D2C8809D8907} (EmoWebInstallerCtl Class) - http://img.365ren.com/tv/cabs/EmoWebInstaller.cab
O16 - DPF: {ACFE8232-03C5-4AEC-AF5E-42B806724096} (KSHScan Control) - http://safe.qq.com/scan/KAllScan.CAB
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://password.qq.com/download/qqedit.cab
O16 - DPF: {EF6205C1-3F17-4829-BCB5-1336ED89E356} (KvScanOnline Control) - http://club.jiangmin.com/kvscan/KvDown.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7F5430FE-DBB0-4E4E-8AFE-CC1574F75BC1}: NameServer = 202.102.192.68 202.102.199.68
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O20 - Winlogon Notify: AtiExtEvent
O23 - Service: Ati HotKey Poller (Ati HotKey Poller) - ATI Technologies Inc. - C:\WINDOWS\system32\ati2evxx.exe
O23 - Service: ATI Smart (ATI Smart) - - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Human Interface Device Access (HidServ) - - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\CCenter.exe"
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\Ravmond.exe"
各位大哥我也一样的情况啊~！帮我看看吧~~~

yayaxf - 2006-9-14 16:06:00

引用:

【maokewu的贴子】此病毒在开机后第一次启动浏览器之前，根本找不到sysmgr.exe这个进程。当然如果安装了瑞星，第一次启动浏览器之后也一样找不到这个进程。我估计sysmgr.exe是iexplore.exe执行时所调用的某个模块生成的，生成时判断%SystemRoot%\System32\目录下有没有这个文件，如果没有就生成该文件，如果有同名文件并且是非只读的，就覆盖它。因此目前我暂时采用以下办法阻止该病毒：在%SystemRoot%\System32\目录下找一个可执行文件，如bootok.exe，将其复制并改名为sysmgr.exe，再将文件属性设置为只读，这样就不会出现烦人的瑞星拦截提示了。这样，我相信由于该病毒无法生成执行文件sysmgr.exe，应该也就没有机会感染你的电脑了。当然最终解决的办法是必须找出生成sysmgr.exe的模块，但由于工作太忙，没有时间做这件事。
………………

你这么厉害！
就花点时间救救大家了！
谢谢了！

yayaxf - 2006-9-14 16:06:00

引用:

【maokewu的贴子】此病毒在开机后第一次启动浏览器之前，根本找不到sysmgr.exe这个进程。当然如果安装了瑞星，第一次启动浏览器之后也一样找不到这个进程。我估计sysmgr.exe是iexplore.exe执行时所调用的某个模块生成的，生成时判断%SystemRoot%\System32\目录下有没有这个文件，如果没有就生成该文件，如果有同名文件并且是非只读的，就覆盖它。因此目前我暂时采用以下办法阻止该病毒：在%SystemRoot%\System32\目录下找一个可执行文件，如bootok.exe，将其复制并改名为sysmgr.exe，再将文件属性设置为只读，这样就不会出现烦人的瑞星拦截提示了。这样，我相信由于该病毒无法生成执行文件sysmgr.exe，应该也就没有机会感染你的电脑了。当然最终解决的办法是必须找出生成sysmgr.exe的模块，但由于工作太忙，没有时间做这件事。
………………

你这么厉害！
就花点时间救救大家了！
谢谢了！

瑞星卡卡安全论坛