瑞星卡卡安全论坛
鹿鹿926 - 2006-10-19 9:13:00
一开机KK就说"C:\WINDOWS\system32\tgoqst62.dll"发现"Trojan-Downloader.win32.QQHelper.mo",然后重启后就删除,可重启后又说相同的说,反复弄了4次,该怎么杀?各位高手教教我啊!
mopery - 2006-10-19 9:16:00
http://mopery.hits.io/hijackthis.zip
下载HijackThis...把日志帖上来..
mopery - 2006-10-19 9:17:00
http://mopery.hits.io/hijackthis.zip
下载HijackThis...把日志帖上来..
鹿鹿926 - 2006-10-19 9:21:00
未发现: 木马程序 Trojan-Dropper.Win32.Delf.hl文件: E:\安装原文件\qq2006Beta2.exe.td/UPX
已检测到: 广告程序 not-a-virus:AdWare.Win32.Eztracks.bURL: http://union123.com/SearchCarxid.cab\SearchCar.dll
已检测到: 广告程序 not-a-virus:AdWare.Win32.Iebar.hURL: http://iebar.t2t2.com/iebar.cab\iebar23.0.dll
已检测到: 木马程序 Trojan-Downloader.JS.IstBar.aiURL: http://iptan.union.dofor.cn/pop/popup.asp?id=1793&url=http%3A//zhbx.xihai.com/bin/zhbx_zhbxjs-message-1339.html
已检测到: 木马程序 Trojan-Downloader.JS.IstBar.aiURL: http://www.2t2t.cn/popup.asp?id=1175&url=http%3A//yqzsf.com/Article/sadf/dta/200610/1925.html
已检测到: 木马程序 Trojan-Downloader.JS.IstBar.aiURL: http://union.jonweb.net/pop/popup.asp?id=84&url=http%3A//kj8.bxsz.net/soft/5/115/202/2006/200605232542.html
已检测到: 木马程序 Trojan-Downloader.VBS.Psyme.clURL: http://afied.com/d/ads.htm
已检测到: 木马程序 Trojan-Downloader.VBS.Small.boURL: http://www.17587.net/inc/1.htm
已检测到: 木马程序 Trojan-Downloader.Win32.QQHelper.mo文件: C:\WINDOWS\system32\tgoqst62.dll
已检测到: 木马程序 Trojan-Dropper.Win32.Delf.hlURL: http://www.qqqxz.com/down/qq2006Beta2.exe/UPX
已检测到: 木马程序 Trojan-PSW.Win32.Delf.qcURL: http://bbs.m369m.com/wwwmmm/112.exe/UPX
已删除: 病毒 Virus.Python.RJump.a文件: H:\Autorun.inf
已删除: 广告程序 not-a-virus:AdWare.Win32.Hmt文件: d:\program files\sdmz\40.exe
已删除: 广告程序 not-a-virus:AdWare.Win32.Hmt文件: D:\System Volume Information\_restore{8B9A8F7C-0920-4CC3-9DEC-FA3CCA620FE4}\RP14\A0003120.exe
已删除: 木马程序 Backdoor.Win32.Hupigon.bsw文件: c:\windows\yoaoo.com.ini/PE_Patch
已删除: 木马程序 Backdoor.Win32.Hupigon.bsw文件: C:\System Volume Information\_restore{8B9A8F7C-0920-4CC3-9DEC-FA3CCA620FE4}\RP11\A0003015.ini
鹿鹿926 - 2006-10-19 9:22:00
未发现: 木马程序 Trojan-Dropper.Win32.Delf.hl文件: E:\安装原文件\qq2006Beta2.exe.td/UPX
已检测到: 广告程序 not-a-virus:AdWare.Win32.Eztracks.bURL: http://union123.com/SearchCarxid.cab\SearchCar.dll
已检测到: 广告程序 not-a-virus:AdWare.Win32.Iebar.hURL: http://iebar.t2t2.com/iebar.cab\iebar23.0.dll
已检测到: 木马程序 Trojan-Downloader.JS.IstBar.aiURL: http://iptan.union.dofor.cn/pop/popup.asp?id=1793&url=http%3A//zhbx.xihai.com/bin/zhbx_zhbxjs-message-1339.html
已检测到: 木马程序 Trojan-Downloader.JS.IstBar.aiURL: http://www.2t2t.cn/popup.asp?id=1175&url=http%3A//yqzsf.com/Article/sadf/dta/200610/1925.html
已检测到: 木马程序 Trojan-Downloader.JS.IstBar.aiURL: http://union.jonweb.net/pop/popup.asp?id=84&url=http%3A//kj8.bxsz.net/soft/5/115/202/2006/200605232542.html
已检测到: 木马程序 Trojan-Downloader.VBS.Psyme.clURL: http://afied.com/d/ads.htm
已检测到: 木马程序 Trojan-Downloader.VBS.Small.boURL: http://www.17587.net/inc/1.htm
已检测到: 木马程序 Trojan-Downloader.Win32.QQHelper.mo文件: C:\WINDOWS\system32\tgoqst62.dll
已检测到: 木马程序 Trojan-Dropper.Win32.Delf.hlURL: http://www.qqqxz.com/down/qq2006Beta2.exe/UPX
已检测到: 木马程序 Trojan-PSW.Win32.Delf.qcURL: http://bbs.m369m.com/wwwmmm/112.exe/UPX
已删除: 病毒 Virus.Python.RJump.a文件: H:\Autorun.inf
已删除: 广告程序 not-a-virus:AdWare.Win32.Hmt文件: d:\program files\sdmz\40.exe
已删除: 广告程序 not-a-virus:AdWare.Win32.Hmt文件: D:\System Volume Information\_restore{8B9A8F7C-0920-4CC3-9DEC-FA3CCA620FE4}\RP14\A0003120.exe
已删除: 木马程序 Backdoor.Win32.Hupigon.bsw文件: c:\windows\yoaoo.com.ini/PE_Patch
已删除: 木马程序 Backdoor.Win32.Hupigon.bsw文件: C:\System Volume Information\_restore{8B9A8F7C-0920-4CC3-9DEC-FA3CCA620FE4}\RP11\A0003015.ini
鹿鹿926 - 2006-10-19 9:26:00
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 9:16:12, 日期 2006-10-19
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
D:\Program Files\木马清除专家 2006\mmqczj.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Tencent\TT\TTraveler.exe
C:\Program Files\Thunder Network\Thunder\Thunder.exe
D:\讯雷下载\hijackthis\HijackThis1991zww.exe
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\4144\SiteAdv.dll
O2 - BHO: 搜搜地址栏搜索 - {0C7C23EF-A848-485B-873C-0ED954731014}? - (no file)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162}? - (no file)
O2 - BHO: BHObject Class - {AA2F655A-7618-499D-B0A5-4F84B91D2C5F} - C:\WINDOWS\system32\PCEggs.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {AAC73F50-03DD-47E5-AD18-FDD65BF29E3D}? - (no file)
O2 - BHO: (no name) - {BBF3E65D-762A-41AC-BFDA-7C6D97E65A73}? - (no file)
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O3 - IE工具栏增项: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\4144\SiteAdv.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [Thunder] "C:\Program Files\Thunder Network\Thunder\ThunderShell.exe" /s
O4 - 启动项HKLM\\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [木马清除专家] d:\Program Files\木马清除专家 2006\mmqczj.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}? - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - 浏览器额外的按钮: PC蛋蛋 - {AA2F655A-7618-499D-B0A5-4F84B91D2C5F} - C:\WINDOWS\system32\PCEggs.dll
O9 - 浏览器额外的“工具”菜单项: PC蛋蛋 - {AA2F655A-7618-499D-B0A5-4F84B91D2C5F} - C:\WINDOWS\system32\PCEggs.dll
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - d:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - d:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O9 - 浏览器额外的按钮: 易趣购物 - {DE607143-AC19-423e-860A-0D70ABDF119A}? - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE607143-AC19-423e-860A-0D70ABDF119A}? - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF6F0C8D-1D4C-4A39-8E7F-2BC566BB95A9}: NameServer = 10.0.2.1,10.0.2.5
O18 - 列举现有的协议: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\4144\SiteAdv.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: 卡巴斯基互联网安全套装 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
mopery - 2006-10-19 9:32:00
修复
O2 - BHO: 搜搜地址栏搜索 - {0C7C23EF-A848-485B-873C-0ED954731014}? - (no file)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162}? - (no file)
O2 - BHO: BHObject Class - {AA2F655A-7618-499D-B0A5-4F84B91D2C5F} - C:\WINDOWS\system32\PCEggs.dll
O2 - BHO: (no name) - {AAC73F50-03DD-47E5-AD18-FDD65BF29E3D}? - (no file)
O2 - BHO: (no name) - {BBF3E65D-762A-41AC-BFDA-7C6D97E65A73}? - (no file)
删除
C:\WINDOWS\system32\PCEggs.dll
我的电脑-右键-属性-系统还原-在所有磁盘上关闭系统还原
勾上...重启..把勾取消..
其他没发现问题..
鹿鹿926 - 2006-10-19 10:08:00
照你的方法做了一遍,可是还是说同样的话有这个木马,只要我点KK确定,删除,立刻就重启
鹿鹿926 - 2006-10-19 10:09:00
是不是真的要重装斑竹?
鹿鹿926 - 2006-10-19 10:12:00
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 10:01:50, 日期 2006-10-19
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Thunder Network\Thunder\ThunderShell.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
D:\Program Files\木马清除专家 2006\mmqczj.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
D:\Program Files\Tencent\TT\TTraveler.exe
C:\WINDOWS\system32\wuauclt.exe
D:\讯雷下载\hijackthis\HijackThis1991zww.exe
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\4144\SiteAdv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O3 - IE工具栏增项: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\4144\SiteAdv.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [Thunder] "C:\Program Files\Thunder Network\Thunder\ThunderShell.exe" /s
O4 - 启动项HKLM\\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [木马清除专家] d:\Program Files\木马清除专家 2006\mmqczj.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}? - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - 浏览器额外的按钮: PC蛋蛋 - {AA2F655A-7618-499D-B0A5-4F84B91D2C5F} - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: PC蛋蛋 - {AA2F655A-7618-499D-B0A5-4F84B91D2C5F} - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - d:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}? - d:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O9 - 浏览器额外的按钮: 易趣购物 - {DE607143-AC19-423e-860A-0D70ABDF119A}? - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE607143-AC19-423e-860A-0D70ABDF119A}? - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - C:\WINDOWS\system32\shdocvw.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF6F0C8D-1D4C-4A39-8E7F-2BC566BB95A9}: NameServer = 10.0.2.1,10.0.2.5
O18 - 列举现有的协议: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program Files\SiteAdvisor\4144\SiteAdv.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: 卡巴斯基互联网安全套装 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
M凡禅C - 2006-10-19 10:49:00
我也是一样的问题,下了专杀也没用啊,问题和楼主的一样.谁能帮忙啊?
M凡禅C - 2006-10-19 10:55:00
显示的文件名和楼主不一样,安全模式下杀不了,也不能直接删除,显示有程序在使用.
快来个高手帮忙啊.
ojiejie28 - 2006-10-19 12:01:00
高手在哪里,这个问题怎么还没有解决
我也是和上面两位一样的同样问题
咔吧6.0在安全模式在说有些服务被禁用,不能正常使用
在正常状态下这个东西一删就会出现,重启以后就会删除
也用了木马杀客,但是没有发现木马
这个会不会是系统的东西,会不会是咔吧的问题(咔吧有时会与一些系统程序冲突)
高手请现身吧
鹿鹿926 - 2006-10-19 12:09:00
我已经好了,谢谢
ojiejie28 - 2006-10-19 12:15:00
呵呵,我还有问题
你是怎么好的,这是病毒还是其他问题
佳酿青红 - 2006-10-19 13:35:00
我也中了同样的毒啊!哪位高手指点下怎么删除啊!谢谢啦!
john2008 - 2006-10-20 10:31:00
此病毒好像是注入explorer.exe进程,并写注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中。病毒根据电脑随机生成6位字母+2位数字的dll文件,不知道它的母文件是哪个?怎么感染的?
放羊娃娃 - 2006-10-20 10:34:00
汗,那人不厚道,怎么好的,教教大家
john2008 - 2006-10-20 10:36:00
此病毒好像是注入explorer.exe进程,并写注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中。病毒根据电脑随机生成6位字母+2位数字的dll文件,不知道它的母文件是哪个?怎么感染的?
cwinc - 2006-10-20 11:35:00
顶上去...up
hinew - 2006-10-20 11:41:00
我也中了,求解
红鱼游过 - 2006-10-20 12:02:00
救命!救命!我也中了相同的木马,怎么杀呀
红鱼游过 - 2006-10-20 12:08:00
哪位大虾快救救俺吧,我快疯了,它是新的变种吗
哈基姆同学 - 2006-10-20 14:09:00
同样的!!!救命~~~
hjiang06 - 2006-10-22 0:02:00
我也中毒了。请高手帮我诊断一下。急啊。
HijackThis_815汉化版扫描日志 V1.99.1
保存于 23:37:48, 日期 2006-10-21
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP1 (6.00.2800.1106)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\FlashGet\flashget.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Downloads\HijackThis1991zww.exe
R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Program Files\Save Flash\SaveFlash.dll
O3 - IE工具栏增项: (no name) - {39852EFE-325B-45ef-9A60-3DBECD2DDDD5} - C:\WINDOWS\System32\thsbar.dll (file missing)
O4 - 启动项HKLM\\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] ; "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - E:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - E:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - E:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - E:\Program Files\Tencent\QQ\SendMMS.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{7929AF33-792D-47A0-B924-4E096EB30777}: NameServer = 202.102.134.68 202.102.128.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE00FD9D-8889-4038-9C4F-2DBEF95712FC}: NameServer = 192.168.0.1
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - NT 服务: 卡巴斯基互联网安全套装 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - NT 服务: Sound Sservice Driver (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)
hjiang06 - 2006-10-22 21:54:00
经过一个周末的艰苦奋战,终于搞掉万恶的木马。Trojan-Downloader.win32.QQHelper.mo"
主要感谢“我是CC”朋友。他提供的方法具有决定性的作用。以下是他的方案:
楼上说的两种方法都杀不了的。在安全模式里用卡巴也删除不掉。下面是我手动删除的方法:
下载一个叫unlocker的软件,很小的,然后安装。 C:\WINDOWS\system32 下找到病毒文件(文件应该是一个DLL文件,由字母和数字组成的,卡巴应该是能查到这个病毒但是删不了,可以在卡巴里找到这个病毒文件名),右击选择unlocker进行解锁(安装完那个软件后会在右键菜单上生成一个unlocker的菜单项)。然后就可以把病毒文件删除了。再进入C:\WINDOWS\system32\drivers 里找到×.sys文件(×跟之前那个文件同名,只是扩展名不一样)用同样的方法先解锁后删除。然后在运行里输入REGEDIT打开注册表编辑器,分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项)
+++++++++++++++++++++++++++++++++++++++++++++++++++++++
另外我补充一下,我的机器中还有
HKEY_LOCAL_MACHINE\SYSTEM\Controlset003\Services
可能不同的朋友机器注册表有些不同。
另外,还有尾巴。
在HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_ORHXBN17
好象搞不掉,这样的结果是导致系统再进入安全模式,长时间停顿,估计是在找这个驱动。
看看哪位能进一步彻底割掉这个尾巴。
1
© 2000 - 2026 Rising Corp. Ltd.