时间退缩..1980年..现在病毒够阴险.. bbs.ikaka.com

水树雨下 - 2007-1-24 16:00:00

引用:

【少无爱爱的贴子】Logfile of Kaka v2. 0. 2. 6 Scan Module v1. 0. 4. 5
Scan saved at 14:48:31, on 2007-01-24
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=%SystemRoot%\system32\blank.htm
O2 - BHO: WebThunder Browser Helper - {00000AAA-A363-466E-BEF5-9BB68697AA7F} - C:\Program Files\Thunder Network\WebThunder\WebThunderBHO_015.dll
O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:\PROGRA~1\chinanet\VNETTR~1.DLL
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ravtask] C:\Progra~1\Eset\rund1132.exe
O4 - HKCU\..\Run: [4y] C:\WINDOWS\iexpl0re.exe
O4 - HKCU\..\Run: [98fkekwd9g5m] C:\WINDOWS\winlog0n.exe
O4 - HKCU\..\Run: [svc] C:\DOCUME~1\welcome\LOCALS~1\Temp\logsony.exe
O4 - HKCU\..\Run: [xlq53mdf] C:\WINDOWS\system.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [runeip] C:\Program Files\Rising\AntiSpyware\runiep.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [HPWS myPrintMileage Agent] C:\Program Files\Hewlett-Packard\HP Deskjet 1280\Toolbox\mpm.exe
O4 - HKLM\..\Run: [WebThunder] C:\Program Files\Thunder Network\WebThunder\WebThunder.exe
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [upxse] C:\DOCUME~1\welcome\LOCALS~1\Temp\1.exe
O4 - HKLM\..\Run: [cmdbcs] C:\WINDOWS\cmdbcs.exe
O4 - HKLM\..\Run: [RavHelp] C:\DOCUME~1\welcome\LOCALS~1\Temp\7.exe
O4 - HKLM\..\Run: [sye] C:\WINDOWS\sye.exe
O4 - HKLM\..\Run: [Rav32Help] C:\DOCUME~1\welcome\LOCALS~1\Temp\7.exe
O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKLM\..\RunOnce: [KKDelay] C:\Program Files\Rising\AntiSpyware\RunOnce.exe
O4 - Startup: desktop.ini =
O4 - Global Startup: desktop.ini =
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用Web迅雷下载 - C:\Program Files\Thunder Network\WebThunder\GetUrl.htm
O8 - Extra context menu item: 使用Web迅雷下载全部链接 - C:\Program Files\Thunder Network\WebThunder\GetAllUrl.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\QQ\SendMMS.htm
O8 - Extra context menu item: 豪杰超级解霸V8实时播放 - d:\Herosoft\HeroV8\MPURLGET.HTM
O9 - Extra Button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra Button: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra ''Tools'' menuitem: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O14 - IERESET.INF: START_PAGE_URL=blank
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4099695-A91D-4F99-A050-CB431E686646}: NameServer = 202.103.44.150 202.103.24.68
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - Service: Human Interface Device Access (HidServ) - - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\CCenter.exe"
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\Ravmond.exe"
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

………………

建议重做系统

奇迹天下 - 2007-1-24 16:44:00

引用:

【zq77的贴子】这不是我干的
………………

也不是我干的

哥罗仿个 - 2007-1-24 19:38:00

呵呵，学习了

x-q - 2007-1-24 20:16:00

拒绝注册表修改，电脑重起（两次），系统时间成2080-1-1

和这个是一回事吗？

瑞星查无毒

kviva168 - 2007-1-24 20:32:00

晕``我的被改了2080年``这是怎么回事？？？

x-q - 2007-1-24 21:42:00

刚刚杀毒，查出2000多病毒

竹林ぁ风 - 2007-1-24 22:17:00

这年头怎么都用起AUTORUN啊~~

闲云22 - 2007-1-25 0:01:00

同感！！！

mopery - 2007-1-25 9:23:00

1980 是这个..至于2080 我也不知道

没拿到样本..

黄海客车 - 2007-1-25 10:16:00

这个病毒瑞星为什么不杀呢?

小新不在年轻 - 2007-1-25 10:24:00

我也有疑问，为什么瑞星不能杀呢？？？？？？？？？？？

黄海客车 - 2007-1-25 10:32:00

是新病毒的过？

mopery - 2007-1-25 11:54:00

=.= 我给瑞星了今天估计就能杀了..

乐遥遥笑 - 2007-1-25 14:22:00

是啊,我也染了.现在好像没有能查到这个病毒的,我用了N多来查

阿驴 - 2007-1-25 14:53:00

我也中了这病毒了......
昨天弄了半天杀掉了...
重起时间也没有改回1980...
但是今天刚上了会网又中招了...= =

狂想一生 - 2007-1-25 15:25:00

重做系统都不行，格式化就可以。。。
真他妈的丧心病狂！～～

乐遥遥笑 - 2007-1-25 15:40:00

我那个跟楼主说的有点不一样,还有一个VO... ZQ... GN...文件,都是EXE的

yithong - 2007-1-25 15:46:00

楼主详细解释一下啊，我只有002.TXT,没有其他你说的文件啊...安全模式下删除时说,系统正在使用改文件不能删除，疯掉了要!

心中的蓝色玫瑰 - 2007-1-25 16:06:00

这是不是同一个病毒啊?我一个同事的系统时间一直处在2006年,改不到2007年~~~

乐遥遥笑 - 2007-1-25 16:34:00

我中的这个比楼主说的还有点不一样,有GN...,ZQ...,VO...(文件名忘了,就记得前两个字母).都是exe的

狂想一生 - 2007-1-25 17:47:00

http://202.112.113.112/Html/200711012248-1.Html

专杀

天蝎座kevin - 2007-1-25 20:32:00

我中毒后的表现是自动修改系统时间为2008.12.12 20:12

还会在C盘下，生成一个vs.exe的可执行文件，自动访问网络，但瑞星查不出来，就别说杀了，何解？

用卡巴也不行，因为还没查毒，就显示时间错误什么的！

而且还不能查看系统隐藏文件，修改时间后，重启还是变成2008年

楼上提供的网址访问不了啊！

大庆讯捷 - 2007-1-25 21:30:00

我也遇到了。而且在U盘里也传播。非常可怕的病毒。我也没有办法了。我们都好几台机器都出现了这个问题。1980年，我们回到了没有电脑的时代。

友好人士 - 2007-1-25 22:05:00

格盘

midundao214 - 2007-1-26 5:43:00

我用了楼主的方法,有个很奇怪的地方,就是时间可以改回来,但是过两次重启后,时间又变为1980了,汗,而且蓝屏的问题还没得到解决,我用瑞星(我是正版用户,是最新版的,更新日期是25号.)查了半天没反应,用金山只差出恶意插件(卡卡查了半天没反应,也是最新版的)(金山用的是网络免费查毒),是怎么回事呢?我已经至信给了瑞星,也把诊断报告上传了,还无答复中,急啊

midundao214 - 2007-1-26 5:47:00

在金山上这个病毒叫:TrojDownloader.Agent 是17号预警的.汗,到瑞星病毒库查这个病毒~~~竟然没有资料可查(我是小白哈,是否是大家对病毒命名不一样?),给瑞星电话,他们说是主版电池问题~~~又汗~~~我真的不想花钱去金山杀啊~~~攒点银子不容易,瑞星不要老瞅着熊猫啊,麻烦也搞搞TrojDownloader.Agent 吧~~~拜一下了,我寝室的全遭殃了,都成了80年代~~~哎

emaillsp - 2007-1-26 11:32:00

我中的就是这个
但是没有发现这几个文件
怎么办啊?

emaillsp - 2007-1-26 11:46:00

引用:

【＠哦K√的贴子】它主要有什么危害啊不光是改时间吧。。。。。
………………

时间一改
n多软件就无法使用了啊

香儿0931 - 2007-1-26 11:51:00

楼主啊,小女子我看不懂啊,我为从昨晚到现在,为这个病毒郁闷死了
请问你的处理方法的操作步骤是从那里开始啊???好难啊!!看晕了都
还有,我的笔记本里出现了"dDzTA.EXE"和"tzUuy.exe"的文件,删了还有,怎么回事啊??

在线急等大家给帮个忙,胡说的就表浪费字了

香儿0931 - 2007-1-26 12:02:00

瑞星卡卡安全论坛