瑞星卡卡安全论坛

我从网上下了个软件，可是里面藏了很多东西，搞的我现在快死了一样，请帮忙看看日志，帮忙解决啊，谢谢谢谢谢谢啊。

HijackThis_815汉化版扫描日志 V1.99.1
保存于      17:52:23, 日期 2006-9-19
操作系统：  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\system32\msdtc.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\WINNT\system32\ctfmon.exe
D:\program files\ActiveSync\WCESCOMM.EXE
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\WINNT\system32\conime.exe
C:\WINNT\system32\inetsrv\csrss.exe
C:\WINNT\system32\taskmgr.exe
D:\Program Files\TortoiseSVN\bin\TSVNCache.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\explorer.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\TEMP\huacai904.exe
C:\WINNT\system32\rundll32.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HttpGet16bt8.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HttpGet.exe
C:\Program Files\Common Files\{80FF6D83-07CC-2052-0425-030916200056}\Update.exe
C:\WINNT\TEMP\exewdr0e030.exe
C:\Program Files\CNNIC\Cdn\cdnup.exe
F:\新学习\4842302005817230232\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\adocbc.exe
O1 - Hosts: 192.87.106.226 ant.apache.org
O1 - Hosts: 192.87.106.226 www.apache.org
O1 - Hosts: 192.87.106.226 struts.apache.org
O1 - Hosts: 192.67.198.49 jgoodies.com
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O2 - BHO: CpapView Class - {77962960-536E-47EC-9DDB-52651519705F} - C:\WINNT\system32\rundll32.dll
O2 - BHO: perfdp - {995FF616-7583-4D6B-9675-EED24EDC93BB} - C:\WINNT\system32\perfiup.dll
O2 - BHO: Spoolsv Class - {9C363D55-07D7-433d-A13E-D9C105202F6F} - C:\WINNT\system32\drivers\spoolsv.dll
O2 - BHO: DDOC - {A64E86D2-203D-4145-AA9B-2425BAF568E9} - C:\WINNT\system32\xenroer.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll
O2 - BHO: WMHlprObj Class - {F5824EFB-728A-4726-A5A5-85A68B20EDC3} - C:\PROGRA~1\CNNIC\Cdn\wmhlpr.dll
O3 - IE工具栏增项: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [WoWoDesk] D:\Program Files\WowoDesk2.0桌面精灵\wowodesk.exe
O4 - 启动项HKLM\\Run: [SoundMam] C:\WINNT\system32\SVOHOST.exe
O4 - 启动项HKLM\\RunOnce: [Super Rabbit Winspeed] "C:\Program Files\Super Rabbit\MagicSet\winspeed.exe" /autokill:54
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\program files\ActiveSync\WCESCOMM.EXE"
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe
O4 - Global Startup: 服务管理器.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: + Offline &Explorer: Download the link - file://D:\Program Files\Add_UrlO.htm
O8 - IE右键菜单中的新增项目: + Offline E&xplorer: Download the current page - file://D:\Program Files\Add_AllO.htm
O8 - IE右键菜单中的新增项目: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - D:\Program Files\BitSpirit\bsurl.htm
O9 - 浏览器额外的按钮: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - 浏览器额外的“工具”菜单项: 彩E精灵设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - 浏览器额外的按钮: (no name) - {0246d4c7-57d6-41eb-ae55-cc9a883929da} - D:\Program Files\WebCatcher\script\save.htm (HKCU)
O9 - 浏览器额外的按钮: (no name) - {0246d4c7-57d6-41eb-ae55-cc9a883929db} - D:\Program Files\WebCatcher\script\savex.htm (HKCU)
O9 - 浏览器额外的按钮: (no name) - {0246d4c7-57d6-41eb-ae55-cc9a883929dd} - D:\Program Files\WebCatcher\script\savex.htm (HKCU)
O9 - 浏览器额外的按钮: (no name) - {0246d4c7-57d6-41eb-ae55-cc9a883929de} - D:\Program Files\WebCatcher\WebCatcher.exe (HKCU)
O10 - 未知的文件在 Winsock LSP: c:\winnt\system32\cdnns.dll
O10 - 未知的文件在 Winsock LSP: c:\winnt\system32\quartz32.dll
O10 - 未知的文件在 Winsock LSP: c:\winnt\system32\quartz32.dll
O11 - Options group: [CDNCLIENT]  中文上网
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126855871375
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1152785006546
O16 - DPF: {9D8A2E2F-D38F-42EA-ADAC-5B3FB2275442} (iWebOffice2000[OCX]) - http://192.168.1.43/topweboa/gwlz/iWebOffice2000.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{44E37722-02B1-4663-B84E-F075578502BA}: NameServer = 202.102.134.68,218.56.57.58
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8883C73-F5B9-4680-84F4-EB8B51F2970B}: NameServer = 218.56.57.58
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: CVSNT (CVS) - GNU - C:\JAVA\Tools\cvsnt\cvsservice.exe
O23 - NT 服务: CVSNT Locking Service (CVSLock) - Unknown owner - C:\JAVA\Tools\cvsnt\cvslock.exe
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: SVCHAST (SystemInspect) - Unknown owner - C:\Program Files\SystemInspect\SVCHAST.exe
O23 - NT 服务: Apache Tomcat (Tomcat5) - Unknown owner - C:\JAVA\Tools\Tomcat 4.1\bin\tomcat5.exe" //RS//Tomcat5 (file missing)

以下:

O10 - 未知的文件在 Winsock LSP: c:\winnt\system32\cdnns.dll
O10 - 未知的文件在 Winsock LSP: c:\winnt\system32\quartz32.dll

下载"LSPFix"和"WinsockXPFix",用LSPFix删除"cdnns.dll"和"quartz32.dll"后再用WinsockXPFix修复你的TCP/IP协议.

WinsockXPFix

下载地址:http://www.wedoc.com/software/WinsockXPFix.exe

LSPFix

下载地址:http://forum.ikaka.com/download.asp?id=6491502

重启到安全模式下修复:

F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\adocbc.exe
O1 - Hosts: 192.87.106.226 ant.apache.org
O1 - Hosts: 192.87.106.226 www.apache.org
O1 - Hosts: 192.87.106.226 struts.apache.org
O1 - Hosts: 192.67.198.49 jgoodies.com
O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O8 - IE右键菜单中的新增项目: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O9 - 浏览器额外的按钮: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - 浏览器额外的“工具”菜单项: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll
O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - 浏览器额外的“工具”菜单项: 彩E精灵设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O23 - NT 服务: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - NT 服务: Apache Tomcat (Tomcat5) - Unknown owner - C:\JAVA\Tools\Tomcat 4.1\bin\tomcat5.exe" //RS//Tomcat5 (file missing)

删除C:\PROGRA~1\MMSASS~1整个目录

删除C:\PROGRA~1\CNNIC整个目录

删除C:\WINNT\system32\adocbc.exe

O4 - 启动项HKLM\\Run: [SoundMam] C:\WINNT\system32\SVOHOST.exe(橙色八月)

橙色八月的查杀:

一、关闭病毒进程

Ctrl + Alt + Del 任务管理器，在进程中查找 sxs 或 SVOHOST（不是SVCHOST，相差一个字母），有的话就将它结束掉（我的电脑里出现的是SVCHOST）注意别搞错了。

二、显示出被隐藏的系统文件

运行——regedit

HKEY_LOCAL_MACHINE\Software\Microsoft\windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL，将CheckedValue键值修改为1

这里要注意，病毒会把本来有效的DWORD值CheckedValue删除掉，新建了一个无效的字符串值CheckedValue，并且把键值改为0！我们将这个改为1是毫无作用的。（有部分病毒变种会直接把这个CheckedValue给删掉，只需和下面一样，自己再重新建一个就可以了）

方法：删除此CheckedValue键值，单击右键 新建——Dword值——命名为CheckedValue，然后修改它的键值为1，这样就可以选择“显示所有隐藏文件”和“显示系统文件”。

在文件夹——工具——文件夹选项中将系统文件和隐藏文件设置为显示

三、删除病毒
在system32里删除文件：svohost,winsock.dll

在分区盘上单击鼠标右键——打开，看到每个盘跟目录下有 autorun.inf 和 sxs.exe 两个文件，将其删除。

四、删除病毒的自动运行项

打开注册表运行——regedit

HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run

下找到 SoundMam 键值，可能有两个，删除其中的键值为 C:\\WINDOWS\system32\SVOHOST.exe
最后到 C:\\WINDOWS\system32\ 目录下删除 SVOHOST.exe 或 sxs.exe

重启电脑后，发现杀毒软件可以打开，分区盘双击可以打开了。

C:\WINNT\system32\inetsrv\csrss.exe病毒

参考:http://forum.ikaka.com/topic.asp?board=28&artid=8171746

SREng下载地址:http://www.kztechs.com/sreng/sreng2.zip

以下:

C:\Program Files\SystemInspect(这个文件夹你认识吗?)
C:\WINNT\system32\perfiup.dll
C:\WINNT\system32\drivers\spoolsv.dll
C:\WINNT\system32\xenroer.dll

你看下文件属性,如果你不认识删除.

如果看不到上面的文件那么先显示隐藏文件,显示隐藏文件:
1.打开任意文件夹窗口=》工具=》文件夹选项=》查看
2.取消隐藏受保护的系统文件前面的钩(出现提示点是)
3.选中显示所有文件和文件
4.取消隐藏已知文件类型扩展名前面的勾
5.确定,再到windows下你会发现,这个文件

如何进入安全模式
Windows Xp 进入安全模式方法:
在计算机开启BIOS加载完之后,迅速按下F8键,在出现的WindowsXP高级选项菜单中回车按下[安全模式].
Windows 2000 进入安全模式方法:
启动Windows2000时,当看到白色箭头的进度条,按下F8键,出现Windows2000高级选项菜单中回车按下[安全模式].
Windows98/Me 进入安全模式方法:
启动Windows98/Me时,当出现[Starting Windows 98]的时候,迅速按下F8键,按下启动菜单中选择第三项[Safe Mode].

如果文件删不掉可以下载killbox删除

下载地址:http://forum.ikaka.com/topic.asp?board=28&artid=69792132楼

好
建议楼主修复后重启。
请下载 System Repair Engineer，使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
日志一次粘不完，分次粘完，请不要修改