瑞星卡卡安全论坛
dxl5727 - 2006-9-14 19:33:00
这个病毒对系统有什么危害????
ricewhu - 2006-9-14 22:38:00
汗,我也中毒了,帮忙顶上去!
女圭女圭宝贝 - 2006-9-15 0:13:00
我也中招了,
nwupspx.sys文件感染了trojan.dl.agent.lqt病毒,杀不了, 该文件是病毒源 无法删除,提示说"文件为无效文件句柄"。大家帮忙出个注意啊 谢谢各位啦,真是急死人了!!!!!!!!
wy8011 - 2006-9-15 0:31:00
我在安全模式也试了!@还是杀不掉!而且病毒把我的检空系统给关了!救命啊!!!我要死掉了
wy8011 - 2006-9-15 0:33:00
死瑞星快点给我杀掉他!什么病毒这么厉害!我崩溃了
ricewhu - 2006-9-15 0:33:00
所有的方法都试了,结果还是没用啊
救命啊
wy8011 - 2006-9-15 0:35:00
草你大爷的!快点啊
iampipi - 2006-9-15 11:17:00
啊~~偶也中了~快顶上去啊~高手来帮帮偶们~
tonywalk - 2006-9-15 11:22:00
来,我也加入你们的行列,因为我也中了,瑞星简直跟垃圾没两样,兄弟姐妹们,我们重新装系统吧
tgdoc - 2006-9-15 11:28:00
最近接连中招,9月8号中了logo_1.exe,前天中了Trojan.DL.Small.oan,好像是我在百度搜东西时,不小心打开了一个网站,后来印象是www.234567.com(net),记不清了,现在logo_1.exe是控制住了,Trojan.DL.Small.oan试了很多办法,比如把boot.exe复制改名也不行,求高手赶快出招!
另外还有个是c:/windows/system32/drivers/nwupspx.sys里面的病毒也是杀不掉,升级到了18.44.40也是无法干掉.帮忙啊!
1314520o - 2006-9-15 12:30:00
痛苦啊 我们怎么都是 中了一样的问题这是我刚拿的东西
Logfile of Kaka v2. 0. 0. 9 Scan Module v2. 0. 0. 1
Scan saved at 12:23:14, on 2006-09-15
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))
Running processes:
[smss.exe]
CommandLine =
[csrss.exe]
CommandLine = C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16
[winlogon.exe]
CommandLine = winlogon.exe
[services.exe]
CommandLine = C:\WINDOWS\system32\services.exe
[lsass.exe]
CommandLine = C:\WINDOWS\system32\lsass.exe
[svchost.exe]
CommandLine = C:\WINDOWS\system32\svchost -k DcomLaunch
[svchost.exe]
CommandLine = C:\WINDOWS\system32\svchost -k rpcss
[CCenter.exe]
CommandLine = "C:\Program Files\Rising\Rav\CCenter.exe"
[svchost.exe]
CommandLine = C:\WINDOWS\System32\svchost.exe -k netsvcs
[svchost.exe]
CommandLine = C:\WINDOWS\system32\svchost.exe -k NetworkService
[svchost.exe]
CommandLine = C:\WINDOWS\system32\svchost.exe -k LocalService
[RavMonD.exe]
CommandLine = "C:\Program Files\Rising\Rav\Ravmond.exe"
[spoolsv.exe]
CommandLine = C:\WINDOWS\system32\spoolsv.exe
[RavStub.exe]
CommandLine = "C:\Program Files\Rising\Rav\RavStub.exe" /RAVMOND
[svchost.exe]
CommandLine = C:\WINDOWS\svchost.exe
[explorer.exe]
CommandLine = C:\WINDOWS\Explorer.EXE
[RavTask.exe]
CommandLine = "C:\PROGRAM FILES\RISING\RAV\RAVTASK.EXE" -SYSTEM
[RavMon.exe]
CommandLine = "C:\Program Files\Rising\Rav\Ravmon.exe" -SYSTEM
[realsched.exe]
CommandLine = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
[cdnup.exe]
CommandLine = "C:\Program Files\CNNIC\Cdn\cdnup.exe"
[alg.exe]
CommandLine = C:\WINDOWS\System32\alg.exe
[issch.exe]
CommandLine = "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
[ctfmon.exe]
CommandLine = "C:\WINDOWS\system32\ctfmon.exe"
[svchost.exe]
CommandLine = C:\WINDOWS\System32\svchost.exe -k HTTPFilter
[IEXPLORE.EXE]
CommandLine = "C:\Program Files\Internet Explorer\iexplore.exe" -nohome
[conime.exe]
CommandLine = C:\WINDOWS\system32\conime.exe
[KkScan.exe]
CommandLine = "C:\Program Files\Rising\KakaToolBar\KkScan.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar=http://toolsbar.kuaiso.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://toolsbar.kuaiso.com/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.baidu.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
R3 - Default URLSearchHook is missing
O1 - Hosts: 127.0.0.1 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ChajianHelper Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\WINDOWS\system32\SYSREA~1.DLL
O2 - BHO: (file missing)
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm
O9 - Extra Button: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - Extra 'Tools' menuitem: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - Extra Button: 金山卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B}? - C:\WINDOWS\system32\KAV_IE~1.dll
O9 - Extra Button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263}? - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra Button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra Button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra Button: 访问瑞星网站 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E444} - http://www.rising.com.cn/?u=RSTB (file missing)
O9 - Extra Button: 访问卡卡社区 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E445} - http://www.ikaka.com/?u=RSTB (file missing)
O10 - Unknown file in Winsock LSP: C:\WINDOWS\system32\cdnns.dll
O11 - Options group: [CDNCLIENT] 中文上网
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O16 - DPF: {285C55C4-B32C-4EC0-8539-BBCE97FDF380} (SuperStream Control) - http://listen.sdo.com/video/SuperRelease.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2529C8D5-EB05-454A-8373-65D55A3BB8B3}: NameServer = 222.46.120.6,211.98.2.4
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O21 - SSODL: UPnPMonitor - {e57ce738-33e8-4c51-8354-bb4de9d215d1} - C:\WINDOWS\system32\upnpui.dll
O23 - Service: Human Interface Device Access (HidServ) - - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\CCenter.exe"
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\Ravmond.exe"
O23 - Service: Windows Video (VideoService) - Microsoft Corporation - C:\WINDOWS\svchost.exe
O23 - Service: Windowes (Windowes) - - C:\WINDOWS\Hacker.com.cn.exe
上善溪水 - 2006-9-15 12:35:00
杀都杀不掉,完蛋了,只有重装系统了!
icefirescl - 2006-9-15 19:53:00
如果是多操作系统的话,建议先切换到另一个系统删除中毒系统目录下的nwupspx.sys.可能有什么关联程序,先删注册表的话会无响应的,删了nwupspx.sys后再删就没事了.我就是这样删除的.
ps:这个病毒把我弄烦了,把和nwupspx.sys相同时间生成一些文件删除了. -_! 当然是先打了包备份起来,看来2个操作系统还是有好处的:)
LEOCROWN - 2006-9-16 19:18:00
這事我也煩 ~ 刪暸又刪還是沒有辦妥 , 老是亂彈網頁 ! 特別是那個什么ukaka ! 那天真的不爽就召集大伙一同DDOS把這網站滅掉 !
noname123 - 2006-9-17 16:44:00
大家别等了,重装吧~! 死瑞星,没用的家伙~!
我已经格盘重装了~~~
等下去也是像我一样,系统整个崩溃~!
carolyoung - 2006-9-18 12:04:00
我都是,用瑞星最新的版本可以查找到,但是,殺毒失敗。。試過很多次都不行。。最后,,用IceSword直接刪除暸。。
下载地址:http://www.xfocus.net/tools/200605/IceSword1.18.rar
在文章欄,查找收感染的文件:
windows/system32/drivers/nwvpspx.sys
直接右鍵,刪除。。ok
xiaotree - 2006-9-19 9:53:00
| 引用: |
【carolyoung的贴子】我都是,用瑞星最新的版本可以查找到,但是,殺毒失敗。。試過很多次都不行。。最后,,用IceSword直接刪除暸。。
下载地址:http://www.xfocus.net/tools/200605/IceSword1.18.rar
在文章欄,查找收感染的文件:
windows/system32/drivers/nwvpspx.sys
直接右鍵,刪除。。ok
……………… |
试试看,谢谢了
lgl32 - 2006-9-19 10:18:00
我的也中了.冰刃找不到nwupspx.sys啊,怎么删?????
长工123 - 2006-9-19 10:28:00
我也天天都有这个家伙,监控删除了还会出来,不过好像名称的后缀不一样。
基本零起点 - 2006-9-19 10:43:00
我是在安全模式用冰刃删除掉nwupspx.sys后,重起机器,在%\System32\drivers下找不到nwupspx.sys的文件,然后用瑞星查毒,显示没有病毒,打开IE,瑞星监控也不再报告拦截到Trojan.DL.Small.oan病毒的提示。但我用SREng2扫描日志,发现SREng2的驱动服务项里面仍然有nwupspx存在,但是状态由之前的running变为stopped,删除服务,提示删除失败。感觉处理干净了,不知道这个僵尸服务项为什么删不掉?~
lgl32 - 2006-9-19 23:52:00
本人是病毒方面的菜鸟,昨天电脑中了这毒忙乎了一整天,上baidu查了N多方法去弄都失败,今早我想起我以前的那个WINDOWME系统还没被删掉<不会删>.就进去那用瑞星杀毒竟然成功杀毒了<XP里杀毒总是失败>,不敢相信,忙重启动进入XP去查毒竟然没毒了,再用雅虎助手一键修付后,那个恶意的广告也不会跳出来了,我也搞不清楚原因,只是希望中此毒的朋友又有双系统的可以去试下
© 2000 - 2026 Rising Corp. Ltd.