我也中了"碰碰追星"毒网,附日志 bbs.ikaka.com

去了又来 - 2006-10-15 16:37:00

最近中了一个"碰碰追星"网,自动加载到收藏那里,删掉一会又有,还不断弹出各种黄色网址,试好很多IE修复都无用,用瑞星查毒,结果显示:C:\WINDOWS\System32\DRIVERS\xzuvlv13.sys有一个Rootkit.Agent.ky病毒,提示重启后删掉xzuvlv13.sys文件,便重启后删不掉这个文件,提示有程序在使用这个文件,无法删除.

以下附上扫描日志:
Logfile of HijackThis v1.99.1
Scan saved at 16:23:26, on 2006-10-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE
C:\WINDOWS\system32\conime.exe
D:\Program Files\QQ2004\QQ.exe
D:\Program Files\QQ2004\TIMPlatform.exe
D:\Program Files\QQ2004\QQ.exe
C:\Program Files\Microsoft Office\OFFICE11\MSACCESS.EXE
C:\WINDOWS\system32\alexa.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\new\桌面\新建文件夹 (2)\HijackThis.exe

R3 - URLSearchHook: Tencent SearchHook - {DB8B2393-7A6C-4C76-88CE-6B1F6FF6FFE9} - C:\Program Files\TENCENT\Adplus\SSAddr.dll
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O3 - Toolbar: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O4 - HKLM\..\Run: [MSPY2002] ; C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [Super Rabbit SRRestore] C:\PROGRA~1\SUPERR~1\MAGICSET\SRRest.exe /autosave
O4 - HKLM\..\Run: [stup.exe] C:\PROGRA~1\TENCENT\Adplus\stup.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Program Files\QQ2004\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\QQ2004\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\QQ2004\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\QQ2004\SendMMS.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\srvdll.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\srvdll.dll
O11 - Options group: [TBH] 搜搜地址栏搜索
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096088341547
O17 - HKLM\System\CCS\Services\Tcpip\..\{353D5CCB-DEEA-4DCD-B331-87A2B4292058}: NameServer = 202.96.128.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{CF949F2D-A94C-444A-B136-C1D438A3A989}: NameServer = 202.96.128.166 202.96.128.86
O17 - HKLM\System\CS1\Services\Tcpip\..\{353D5CCB-DEEA-4DCD-B331-87A2B4292058}: NameServer = 202.96.128.68
O23 - Service: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

deadmanzj - 2006-10-15 16:43:00

那个毒网的地址，偶去还原先

去了又来 - 2006-10-15 16:46:00

楼上什么意思啊?

AngelPray - 2006-10-15 16:47:00

很爽的,好像有很多美女.

scriptman - 2006-10-15 16:56:00

扫描SREng日志.

去了又来 - 2006-10-15 17:08:00

楼上的GG,什么是SREng日志?怎么样扫描SREng日志啊?用什么工具扫描?

deadmanzj - 2006-10-15 17:16:00

我倒。。。叫你把那个什么“碰碰追星”的网址发给我

C:\WINDOWS\system32\alexa.exe这鸟东西，结束掉再删除

没见到他的注册表。。。不知道是隐藏了还是。。。

LZ可以把C:\WINDOWS\system32\alexa.exe这文件压缩，加密123，发到我邮箱

去了又来 - 2006-10-15 17:22:00

http://www.pengpeng.com/就是这个网址啦,不过它不直接打开,而是加载在收藏那里,然后自动打开别的网址,我快昏死了

去了又来 - 2006-10-15 17:46:00

回deadmanzj :已按你要求发送邮件到你邮箱,请查看,谢谢

去了又来 - 2006-10-15 17:53:00

我已经把alexa.exe结束了并删掉,这个alexa.exe是什么东东?

去了又来 - 2006-10-15 18:43:00

人呢?顶一下

deadmanzj - 2006-10-15 18:58:00

刚拿到样本。。。等偶去测试

去了又来 - 2006-10-15 19:03:00

好的,有结果和解决办法的话发到我邮箱里或者在这里回贴,先谢了啊

deadmanzj - 2006-10-15 20:20:00

流氓一个/C:\Program Files\alexb toolbar 里面有个卸载程序。。卸掉

清空IE临时文件夹，安全模式下清空C：/Documents and Settings/用户名/Local Settings/Temp

删除c:\windows\system32\alxRes.dll
c:\windows\system32\alxTb1.dll

再用恶意软件清理器清理一下。。。下载地址我的E盘。。。E盘见我的签名

去了又来 - 2006-10-16 8:51:00

楼上的GG,您所说的alexb toolbar alxRes.dll
alxTb1.dll 我一个没找到啊,只有一个 alexa.exe的东西,昨天删掉的现在又出现了

瑞星卡卡安全论坛