瑞星卡卡安全论坛

我昨天没事在网上溜达，路过1个有点带色的网站，好像是3886什么的记不清了。忽然我的瑞星报警，跳出Trojan.PSW.OnlineGames.aas警报，我点杀毒，病毒又跳出，然后监控自动自动退出。我心说不好，赶紧关闭IE，断网。手动启动监控。同时我的SPYBOT也询问有恶意程序是否永久阻止，我点“允许”。
事情还没完，我打开历史记录，发现病毒在c:\Documents and Settings和c;\windows\system32里，我立即清空临时文件夹、IE临时文件，在上述2个文件夹里再杀一次，果然病毒还在。原来病毒在被监控发现杀掉后，立即关掉监控，再次将自己安在了这2个文件夹里。我再次扫C盘的其他文件夹，从c:\windows下又杀到一个，另外还原文件里还藏着2个相同的病毒。
这病毒好无赖，在多个地方下毒，还安装恶意程序。另外还安装了1个插件，幸亏我用SPYBOT挡了恶意程序，用兔子卸载了插件。
做了以上动作后，我又在安全模式下杀了一次C盘，没病毒。
我不知道是不是杀干净了，请大侠和版主指点一下。^_^


附件: 356499200743155854.jpg

今天上来看看，Trojan.PSW.OnlineGames及其变种毒还蛮猖狂，好多人在问，怎么没看见解答的^_^

呃...此病毒很是强悍，楼主可能凶多吉少...

看帖的哥们，多顶一把，沉了就没人来解答了^_^

引用:

【竹即是空的贴子】呃...此病毒很是强悍，楼主可能凶多吉少... ………………

今天的瑞星也更新了这个病毒的病毒库^_^，不知道管不管用

HijackThis_815汉化版扫描日志 V1.99.1
保存于      16:13:07, 日期 2007-4-3
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
E:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
E:\Program Files\Rising\Rav\Ravmond.exe
e:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
e:\program files\rising\rfw\RfwMain.exe
E:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\AntiSpyware\runiep.exe
E:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MICROS~3\MSSQL$~1\binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\工具\杀毒软件&工具\hijackthis1.99.1\HijackThis1991zww.exe

O2 - BHO: (no name) - {0005A87D-D626-4B3A-84F9-1D9571695F55} - (no file)
O2 - BHO: (no name) - {0005A87D-D626-4B3A-84F9-1D9571695F57} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {54EBD53A-9BC1-480B-966A-843A333CA162} - (no file)
O2 - BHO: Thunder Browser Helper - {889D2FEB-5411-4565-8998-1DD2C5261283} - E:\工具\Thunder Network\Thunder\ComDlls\XunLeiBHO_002.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - 启动项HKLM\\Run: [THTF] ; C:\Program Files\THTF\THTF键盘驱动程序安装\skdaemon.exe
O4 - 启动项HKLM\\Run: [RavTask] "E:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [RfwMain] "E:\Program Files\Rising\rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [runeip] C:\Program Files\Rising\AntiSpyware\runiep.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - E:\工具\Thunder Network\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - E:\工具\Thunder Network\Thunder\Program\GetAllUrl.htm
O9 - 浏览器额外的按钮: (no name) - RsAutorunsDisabled - (no file)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - G:\QQ2004sp1\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - G:\QQ2004sp1\Tencent\QQ\QQ.EXE
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) -
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1096776579505
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C831093A-0087-4D4B-A61D-620E42CFAE20}: NameServer = 221.6.4.66 221.6.4.67
O20 - Winlogon Notify: System Safety Monitor - C:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - NT 服务: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - e:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - e:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - E:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - E:\Program Files\Spy Sweeper\WRSSSDK.exe

请大侠帮我看看又没有杀干净。谢谢

今天中了Trojan.PSW.OnlineGames.es。。。在日志里面漫漫找可疑的程序。。暂时没事拉。。

哎~没你幸运哦~~

引用:

【瓶子里没有水的贴子】哎~没你幸运哦~~ ………………

我也在担心没杀干净呢^_^

兄弟！色情网站勿去啊！

引用:

【竹即是空的贴子】兄弟！色情网站勿去啊！ ………………

是路过^_^

附件: 356499200743192113.gif

色站想去的话也是可以的，用火狐浏览器
推荐以后上网用火狐浏览器，用火狐保障你上网的安全，
可以放心浏览，可以屏蔽病毒和木马、以及恶意的广告弹出
火狐浏览器推荐下载：http://firefox.50n.cn/index.htm

引用:

【yyy9090的贴子】 色站想去的话也是可以的，用火狐浏览器 推荐以后上网用火狐浏览器，用火狐保障你上网的安全， 可以放心浏览，可以屏蔽病毒和木马、以及恶意的广告弹出 火狐浏览器推荐下载：http://firefox.50n.cn/index.htm ………………

狐狸有，不过还是IE用起来顺手。
说点解决办法，广告就免了^_^

楼主你真幸运，我昨天也中了这个``感染了120个“.exe”文件，现在很多文件都被破坏了`真郁闷`

没用啊，今天更新的瑞星还是杀不干净，而且手动删完后重启只要不上网，一切正常，一连上网立马蹦出来这个毒，唉

引用:

【第二只乌鸦的贴子】楼主你真幸运，我昨天也中了这个``感染了120个“.exe”文件，现在很多文件都被破坏了`真郁闷` ………………

^_^，我还在担心呢，当时有要改我注册表的提示，我一路点拒绝，惊了一身汗

嗯，还是养成良好的上网习惯比较好，哈哈，LZ别见怪

【回复“丁丁网上飞”的帖子】
我惨了`HijackThis和SREng都被破坏，现在扫描日志都没法扫`
我发的贴也没看到有高人来指点`我的贴是这个：
http://forum.ikaka.com/topic.asp?board=28&artid=8292128
有兴趣的话看看`是否跟你的一样`

引用:

【暴走一小时的贴子】嗯，还是养成良好的上网习惯比较好，哈哈，LZ别见怪 ………………

我是武装到牙齿，该带的都带了，才敢偶尔看看图片，没想到就被连接过去了。再好的防护开着鼠标也不能乱点，这世界很危险。^_^

网上找到的：
4月1日消息，瑞星宣布该公司反病毒监测网截获一个与“熊猫烧香”非常相似的高危病毒，命名为“ANI蠕虫(Worm.DlOnlineGames.a)”。

根据介绍，该病毒不光传播和危害方式与“熊猫烧香”病毒非常相似，还利用了上周末才刚出现的Vista、XP等操作系统的ANI高危漏洞。

据瑞星客户服务中心的统计，24小时内已接到大量用户的求助。鉴于该病毒可能会广泛传播并且危害较为严重，瑞星发出今年第一个“橙色安全警报”(二级)。

反病毒专家分析，被“ANI蠕虫”感染的电脑会从网上下载多种木马、后门病毒，使得用户游戏等账号被盗，或者电脑变成被黑客控制的“肉鸡”。同时，染毒电脑还会发出大量带毒邮件，邮件的题目是：“你和谁视频的时候被拍下的？给你笑死了！”邮件内容为“看你那小样！我看你是出名了！你看这个地址！你的脸拍的那么清楚！你变明星了！****.microfsot.com/***/134952.htm”，收到邮件的用户点击这个网址就会被感染。

据悉，病毒作者使用国内某网站的邮箱散发病毒，并且邮件内容也为中文，因此基本可以确定该病毒为国人编写。此外，该病毒跟“熊猫烧香”病毒一样，也会感染网页文件并加入病毒代码。

瑞星工程师表示，更为严重的是，“熊猫烧香”利用的是老的系统漏洞，用户安装好系统补丁就可防范；而“ANI蠕虫”病毒则采用了上周才被发现的ANI漏洞进行传播，该漏洞存在于Windows Vista、XP等主流操作系统中，目前微软还没有提供补丁程序。

我也中了这个Trojan.PSW.OnlineGames.aas

HJ日志未见异常！

额，最近Trojan.PSW.OnlineGames...1类的病毒够猖狂的了。。很多人都反映。。。瑞星今天才升级几个这类病毒的信息，额。。不知道杀不杀得干净的！！

偶也中了,N久就发了帖子,但是没有人帮俺,用卡巴杀地,也不知是否还有隐患!!楼主有好的方法给我发个消息

引用:

【6385555555的贴子】额，最近Trojan.PSW.OnlineGames...1类的病毒够猖狂的了。。很多人都反映。。。瑞星今天才升级几个这类病毒的信息，额。。不知道杀不杀得干净的！！ ………………

今天瑞星已经连着升级2次了，防火墙也升过了

引用:

【spiritfire的贴子】HJ日志未见异常！ ………………

太好了，我终于放心了

我没用瑞星!
这个毒可闹心了!
玩玩跑跑就卡屏!
机器很慢!卡巴杀了  还行!
我也感染了100多个文件

顶!!顶!!!

晕．我也好象中这个病毒！！！

今天索性重新装系统!！但还是感觉有点问题！！！