瑞星卡卡安全论坛

农夫的专杀没找到
超级巡警之熊猫烧香病毒专杀1.4也没找到
程序都打不开
在安全模式下有些能打开有些打不开

置顶农夫专杀

扫日志上来.

Logfile of HijackThis v1.99.1
Scan saved at 13:01:22, on 2006-12-31
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Colorful SmartVGA\Colordesk.exe
C:\WINDOWS\system32\drivers\spoclsv.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\maoxiandao.exe
C:\WINDOWS\system32\cimemli.exe
I:\Downloads\ha_hijackthis_1991\HijackThis.exe

O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [fzg] C:\Program Files\Config\svhost32.exe
O4 - HKLM\..\Run: [cimemli] C:\WINDOWS\system32\cimemli.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [colorful] C:\Program Files\Colorful SmartVGA\Colordesk.exe
O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\spoclsv.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: 使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: 使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.tomatolei.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E26FAF0-C919-4CC5-BA59-8430FF10CCA1}: NameServer = 202.96.69.38
O17 - HKLM\System\CS1\Services\Tcpip\..\{4E26FAF0-C919-4CC5-BA59-8430FF10CCA1}: NameServer = 202.96.69.38
O17 - HKLM\System\CS2\Services\Tcpip\..\{4E26FAF0-C919-4CC5-BA59-8430FF10CCA1}: NameServer = 202.96.69.38

在线等^^^

还生成desktop_.ini文件
图表变模糊
能找的专杀我都找了一个都不好用!!!!

先删进程：
C:\WINDOWS\system32\drivers\spoclsv.exe
然后清理：
O4 - HKLM\..\Run: [fzg] C:\Program Files\Config\svhost32.exe
O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\spoclsv.exe
再用专杀工具杀。
置顶有农夫的专杀，超级巡警的专杀地址http://killer.9i3g.cn/download/Pandakiller.rar

级别低就是没人理……

C:\WINDOWS\maoxiandao.exe
冒险岛？
扫个http://www.kztechs.com/sreng/sreng2.zip
System Repair Engineer的日志
不是吓唬你病毒很难搞
发个样本给版主好更新专杀


下边是别人分析的
进程：
路径： E:\setup.exe
PID: 1972
用户名: 6A73C775C1434B6@iyciff
注册表群组： User AutoRun
对象：
注册表键： HKCU\Software\Microsoft\Windows\CurrentVersion\Run
注册表值： svcshare
类型: REG_SZ
值： C:\WINDOWS\system32




进程：

路径： C:\WINDOWS\system32\services.exe
PID: 792
用户名: NT AUTHORITY@SYSTEM
信息： Services and Controller app (Microsoft Corporation)
注册表群组： Services
对象：
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters



进程：
路径： C:\WINDOWS\system32\services.exe
PID: 792
用户名: NT AUTHORITY@SYSTEM
信息： Services and Controller app (Microsoft Corporation)
注册表群组： Services
对象：
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Security



进程：
路径： C:\WINDOWS\system32\services.exe
PID: 792
用户名: NT AUTHORITY@SYSTEM
信息： Services and Controller app (Microsoft Corporation)
注册表群组： Services
对象：
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Enum



进程：
路径： C:\WINDOWS\system32\services.exe
PID: 792
用户名: NT AUTHORITY@SYSTEM
信息： Services and Controller app (Microsoft Corporation)
注册表群组： Services
对象：
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\wscsvc




服务:\\? ? rity Center 移除 ? ? rity Center 已停止 (禁用) 2006-12-20 15:44:32



父级进程：
路径： E:\setup.exe
PID: 1972
用户名: 6A73C775C1434B6@iyciff
子级进程：
路径： C:\WINDOWS\system32\cmd.exe
信息： Windows Command Processor (Microsoft Corporation)
命令行：cmd.exe /c net share A$ /del /y




父级进程：
路径： E:\setup.exe
PID: 1972
用户名: 6A73C775C1434B6@iyciff
子级进程：
路径： C:\WINDOWS\system32\cmd.exe
信息： Windows Command Processor (Microsoft Corporation)
命令行：cmd.exe /c net share admin$ /del /y



父级进程：

路径： E:\setup.exe
PID: 1972
用户名: 6A73C775C1434B6@iyciff
子级进程：
路径： C:\WINDOWS\system32\cmd.exe
信息： Windows Command Processor (Microsoft Corporation)
命令行：cmd.exe /c net share admin$ /del /y



wl.exe

进程：
路径： C:\WINDOWS\wl.exe
PID: 1772
用户名: 6A73C775C1434B6@iyciff
注册表群组： Services
对象：
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv



进程：
路径： C:\WINDOWS\wl.exe
PID: 1772
用户名: 6A73C775C1434B6@iyciff
注册表群组： Services
对象：
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv
注册表值： Type
类型: REG_DWORD
值： 00000001


父级进程：
路径： E:\setup.exe
PID: 1972
用户名: 6A73C775C1434B6@iyciff
子级进程：
路径： C:\WINDOWS\wow.exe
命令行：C:\WINDOWS\wow.exe


进程：
路径： C:\WINDOWS\wl.exe
PID: 1772
用户名: 6A73C775C1434B6@iyciff
注册表群组： Services
对象：
注册表键： HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv
注册表值： ImagePath
类型: REG_SZ
值： \??\C:\WINDOWS\system32\Drivers\CelInDriver.sys


进程：
路径： C:\WINDOWS\wl.exe
PID: 1772
驱动：
路径： C:\WINDOWS\system32\drivers\CelInDriver.sys




父级进程：
路径： E:\setup.exe
PID: 1972
用户名: 6A73C775C1434B6@iyciff
子级进程：
路径： C:\WINDOWS\mh.exe
命令行：C:\WINDOWS\mh.exe


进程：
路径： C:\WINDOWS\mh.exe
PID: 2348
驱动：
路径： C:\WINDOWS\system32\norton.sys


进程：
路径： C:\WINDOWS\wow.exe
PID: 2104
驱动：
路径： C:\WINDOWS\system32\drivers\CelInDriver.sys



进程：
路径： C:\Documents and Settings\Administrator\Local Settings\Temp\mh2\iexpl0re.EXE
PID: 2528
库文件：
路径： C:\Documents and Settings\Administrator\Local Settings\Temp\Mhgx.dll
挂钩类型：WH_MOUSE（监控鼠标）.



进程：
路径： C:\WINDOWS\zt.exe
PID: 2600
用户名: 6A73C775C1434B6@iyciff
对象：
路径： C:\WINDOWS\explorer.exe
信息： Windows Explorer (Microsoft Corporation)
此项允许修改其它程序的虚拟内存，且可用以调整其它程序的性能。


进程：
路径： C:\WINDOWS\zt.exe
PID: 2600
驱动：
路径： C:\WINDOWS\system32\drivers\CelInDriver.sys



服务:\\WinXP DHCP Service 添加 WinXP DHCP Service 已停止 (自动) (系统) 2006-12-20 15:47:28
服务:\\Windows DHCP Service 添加 Windows DHCP Service 已停止 (自动) (系统) 2006-12-20 15:49:14
服务:\\Win32 DHCP Service 添加 Win32 DHCP Service 已停止 (自动) (系统) 2006-12-20 15:50:24


启动项会多出这两项：
iexpl0re.EXE
C:\WINDOWS\system32\drivers\spoclsv.exe

这是病毒加载的三个服务文件：
windhcp.dll
windhcp.ocx
xpdhcp.dll

========Content========
C:\WINDOWS\maoxiandao.exe用winrar压缩发到mizukiuka@163.com

换了马甲邮箱也要换

【回复“afkp4e7”的帖子】
明天就能看到熊猫了

sreng2打不开，文件正在发！！

看看你有这几个文件没
有的话就真是中了
C:\WINDOWS\wl.exe
C:\WINDOWS\zt.exe
C:\WINDOWS\system32\drivers\CelInDriver.sys
C:\WINDOWS\system32\norton.sys

应该要个setup.exe
要冒险岛干啥

引用:

【afkp4e7的贴子】应该要个setup.exe 要冒险岛干啥 ………………

熊猫有人玩，我玩没人玩的

http://www.sysinternals.com/
也上不去了
本想让他下个ProcessExplorer先把进程里的杀了
扫日志
看来没招了
IceSword肯定是被屏蔽了

真是~~~~

给我发样本...

引用:

【最爱烤鸽子的贴子】【回复“afkp4e7”的帖子】 明天就能看到熊猫了 ………………

你想要吗?我送你几只吧,呵呵

在安全模式下这些都能用！

把样本发给版主
任意盘符下的setup.exe

霏凡熊猫烧香专杀工具 V1.01 
感谢chenhui530

上传在网盘
virusdied.ys168.com

你试下看看，有没有效果

任意盘符下没有setup.exe
在c:\windows\下有个maoxiandao.exe的文件，已经发过去了
冒险岛！！！我真晕

怎么会没有隐藏系统属性
这个也一样C:\WINDOWS\system32\drivers\spoclsv.exe

病毒会保护这些病毒文件的属性不被修改的，必须先在进程里杀掉病毒，才能拷贝这些病毒文件出来。因为资源管理器的查看隐藏文件不能设置，所以须在DOS命令窗口里操作或修复注册表在资源管理器里操作。

引用:

【绝对自由的贴子】任意盘符下没有setup.exe 在c:\windows\下有个maoxiandao.exe的文件，已经发过去了 冒险岛！！！我真晕 ………………

那个熊猫能查了..邮件我回复了..

maoxiandao.exe 不是熊猫.. 是一个病毒罢了..