瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 日志 帮我看看谢谢~~~
0o懒喵o0 - 2008-5-3 17:59:00
HijackThis_815汉化版扫描日志 V1.99.1
保存于      17:35:28, 日期 2008-5-3
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msnlive.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\StarSec\ssMgr_ccb.exe
C:\WINDOWS\system32\Rundll32.exe
C:\jcb_lh_yf\易发\bin\yfdown.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\CMBCHINA\WebProtect\WPService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\StarSec\PlugServer.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\QQ2006\QQ.exe
C:\Program Files\QQ2006\QQUpdateCenter.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\BitComet\tools\CometBrowser.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX05.375\HijackThis1991.exe
R3 - URLSearchHook: SrchHook Class - {F08555B0-9CC3-11D2-AA8E-000000000000} - C:\WINDOWS\system32\IEBHO.dll (file missing)
R3 - URLSearchHook: Tencent SearchHook - {DB8B2393-7A6C-4C76-88CE-6B1F6FF6FFE9} - C:\Program Files\TENCENT\SSPlus\SAddr.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\Program Files\TENCENT\SSPlus\SAddr.dll
O2 - BHO: mpwdbapi.dll - {25694105-5108-9405-3695-954187462152} - C:\WINDOWS\system32\mpwdbapi.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Program Files\FlashGet\jccatch.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O2 - BHO: ypcqchlp.dll - {40AF1289-F140-A140-D012-C1458759FC04} - C:\WINDOWS\system32\ypcqchlp.dll
O2 - BHO: WebProtect.IEHlpObj - {53763D1D-9CA8-4C7C-9756-A8E6B8FC063B} - C:\Program Files\CMBCHINA\WebProtect\WebProtect.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - (no file)
O2 - BHO: Windows Live 登录帮助程序 - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SrchHook Class - {F08555B0-9CC3-11D2-AA8E-000000000000} - C:\WINDOWS\system32\IEBHO.dll (file missing)
O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
O3 - IE工具栏增项: Thunder - {BE830FD4-E393-417F-9F4B-CC70ABB3384C} - C:\WINDOWS\system32\IETool.dll (file missing)
O4 - 启动项HKLM\\Run: [switch] c:\windows\system32\壁纸自动换.exe
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [RTHDCPL] RTHDCPL.EXE
O4 - 启动项HKLM\\Run: [SkyTel] SkyTel.EXE
O4 - 启动项HKLM\\Run: [Alcmtr] ALCMTR.EXE
O4 - 启动项HKLM\\Run: [ssMgr_ccb] C:\Program Files\StarSec\ssMgr_ccb.exe -r
O4 - 启动项HKLM\\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - 启动项HKLM\\Run: [stup.exe] Rundll32.exe C:\PROGRA~1\TENCENT\SSPlus\SPlus.dll,Rundll32 R
O4 - 启动项HKLM\\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - 启动项HKLM\\Run: [KuGoo3] C:\PROGRA~1\KUGOO2~1\KUGOO.EXE
O4 - 启动项HKLM\\Run: [yfdown] C:\jcb_lh_yf\易发\bin\yfdown.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\QQ2006\QQ.exe
O4 - Startup: QQ游戏启动加速程序.lnk = C:\Program Files\QQGame\Accel.exe
O8 - IE右键菜单中的新增项目: &使用BitComet下载 - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - IE右键菜单中的新增项目: &使用BitComet下载全部链接 - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - IE右键菜单中的新增项目: &使用BitComet下载本页视频 - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - IE右键菜单中的新增项目: &使用快车(FlashGet)下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: &使用快车(FlashGet)下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 使用迅雷下载 - C:\Program Files\Thunder\Program\geturl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\QQ2006\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 添加到反广告条 - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - 浏览器额外的按钮: Web 反病毒统计 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - 浏览器额外的按钮: BitComet 资源搜索 - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
O11 - Options group: [TBH] 中文搜搜
O17 - HKLM\System\CCS\Services\Tcpip\..\{874608CF-98E8-4364-B49D-9E2DCAAEE04B}: NameServer = 202.106.0.20 202.106.46.151
O17 - HKLM\System\CS1\Services\Tcpip\..\{874608CF-98E8-4364-B49D-9E2DCAAEE04B}: NameServer = 202.106.0.20 202.106.46.151
O18 - 列举现有的协议: KuGoo - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O18 - 列举现有的协议: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O18 - 列举现有的协议: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: ghjdtry.dll,kghk.dll,lfsjgf.dll,stehs.dll,fghshj.dll,frntrn.dll,qrhhb.dll,drghszd.dll,fngn.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,xdndn.dll,xdfntt.dll,hgfhk.dll,dnteh.dll,xfng.dll,njritc.dll,chmfcmh.dll,jwlah.dll,gmnait.dll,hfjg.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,fehom.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,xdhdg.dll,rhs.dll,mrjhtjd.dll,zdbfbd.dll,fjyjy.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,rdthr.dll,rgfjj.dll,dscef.dll,crugd.dll,lariytrz.dll,hjaiq.dll,kduy.dll,hkfgh.dll,awef.dll,dfhsh.dll,ethsh.dll,stehs.dll,sthth.dll,wfhyt.dll,sperls.dll,
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - NT 服务: 卡巴斯基互联网安全套装 7.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - NT 服务: Cmb WebProtect Support (CMBWPS) - China Merchants Bank - C:\Program Files\CMBCHINA\WebProtect\WPService.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: PlugServerD (PlugServer) - GDChina - C:\Program Files\StarSec\PlugServer.exe

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SV1;  Embedded Web Browser from: http://bsalsa.com/; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506)
火影忍者 - 2008-5-3 18:03:00
发现可疑项目

扫SRE日志上来
梦恋羽翼 - 2008-5-3 18:08:00
扫SRENG日志xxx坛来
http://www.kztechs.com/sreng/download.html
下载System Repair Engineer
1 解压缩sreng2.zip(建议解压到系统Windows文件夹里)
2 运行SREng.exe ((将SREng.exe改名为123.com运行))
3 智能扫描=》扫描=》保存报告
4 把报告保存后,直接将日志内容彻底复制到一个空记事本里,然后再保存,就可以以附件的形式xxx坛来了。
一定以附件形式发这论坛来。
0o懒喵o0 - 2008-5-3 18:09:00
附件可以吗??实在太多了~~~

附件: SREngLOG.log
0o懒喵o0 - 2008-5-3 18:10:00
谢谢 我可是老手了哦~~~
梦恋羽翼 - 2008-5-3 18:13:00
呵呵....那还不用sreng?
火影忍者 - 2008-5-3 18:18:00
下载XDelBox1.7)删除以下文件
http://www.dodudou.com/down/index.php

C:\WINDOWS\system32\msnlive.exe
C:\WINDOWS\system32\ghjdtry.dll
C:\WINDOWS\system32\kghk.dll
C:\WINDOWS\system32\lfsjgf.dll
C:\WINDOWS\system32\stehs.dll
C:\WINDOWS\system32\fghshj.dll
C:\WINDOWS\system32\frntrn.dll
C:\WINDOWS\system32\qrhhb.dll
C:\WINDOWS\system32\drghszd.dll
C:\WINDOWS\system32\fngn.dll
C:\WINDOWS\system32\gjjte.dll
C:\WINDOWS\system32\xgnfn.dll
C:\WINDOWS\system32\xfgnhcgfm.dll
C:\WINDOWS\system32\serger.dll
C:\WINDOWS\system32\bnxnb.dll
C:\WINDOWS\system32\fxgnfx.dll
C:\WINDOWS\system32\jzijj.dll
C:\WINDOWS\system32\xfgnfx.dll
C:\WINDOWS\system32\serghjm.dll
C:\WINDOWS\system32\thsddh.dll
C:\WINDOWS\system32\xbcvxb.dll
C:\WINDOWS\system32\zfdzb.dll
C:\WINDOWS\system32\xdndn.dll
C:\WINDOWS\system32\xdfntt.dll
C:\WINDOWS\system32\hgfhk.dll
C:\WINDOWS\system32\dnteh.dll
C:\WINDOWS\system32\xfng.dll
C:\WINDOWS\system32\njritc.dll
C:\WINDOWS\system32\chmfcmh.dll
C:\WINDOWS\system32\jwlah.dll
C:\WINDOWS\system32\gmnait.dll
C:\WINDOWS\system32\hfjg.dll
C:\WINDOWS\system32\thurh.dll
C:\WINDOWS\system32\mgmgmm.dll
C:\WINDOWS\system32\oqrthc.dll
C:\WINDOWS\system32\fehom.dll
C:\WINDOWS\system32\jyjlt.dll
C:\WINDOWS\system32\ijatnaw.dll
C:\WINDOWS\system32\sehhter.dll
C:\WINDOWS\system32\fhjfg.dll
C:\WINDOWS\system32\zdbdb.dll
C:\WINDOWS\system32\ydgn.dll
C:\WINDOWS\system32\dbfb.dll
C:\WINDOWS\system32\fjnbv.dll
C:\WINDOWS\system32\wmsat.dll
C:\WINDOWS\system32\setrhes.dll
C:\WINDOWS\system32\cdxbfxdb.dll
C:\WINDOWS\system32\xfgnxfn.dll
C:\WINDOWS\system32\gjkhj.dll
C:\WINDOWS\system32\xdhdg.dll
C:\WINDOWS\system32\rhs.dll
C:\WINDOWS\system32\mrjhtjd.dll
C:\WINDOWS\system32\zdbfbd.dll
C:\WINDOWS\system32\fjyjy.dll
C:\WINDOWS\system32\fxnfnh.dll
C:\WINDOWS\system32\bjrvm.dll
C:\WINDOWS\system32\ektvm.dll
C:\WINDOWS\system32\rdthr.dll
C:\WINDOWS\system32\rgfjj.dll
C:\WINDOWS\system32\dscef.dll
C:\WINDOWS\system32\crugd.dll
C:\WINDOWS\system32\lariytrz.dll
C:\WINDOWS\system32\hjaiq.dll
C:\WINDOWS\system32\kduy.dll
C:\WINDOWS\system32\hkfgh.dll
C:\WINDOWS\system32\awef.dll
C:\WINDOWS\system32\dfhsh.dll
C:\WINDOWS\system32\ethsh.dll
C:\WINDOWS\system32\stehs.dll
C:\WINDOWS\system32\sthth.dll
C:\WINDOWS\system32\wfhyt.dll
C:\WINDOWS\system32\sperls.dll
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Pandrv.sys
C:\WINDOWS\system32\drivers\ReloadAnti.sys
C:\WINDOWS\system32\IEBHO.dll
C:\WINDOWS\system32\jwlah.dll
C:\WINDOWS\system32\sperls.dll
c:\windows\system32\vmvreg32.dll
C:\WINDOWS\system32\zjydcx.dll
C:\WINDOWS\system32\ypcqchlp.dll
C:\WINDOWS\system32\mpwdbapi.dll
C:\WINDOWS\system32\ttBAIBAI1069.dll
C:\WINDOWS\system32\ttKAFKAF1074.dll

打开SRE
启动项目
注册表--删除
    <wscripte><C:\WINDOWS\system32\msnlive.exe>  []    <{25694105-5108-9405-3695-954187462152}><C:\WINDOWS\system32\mpwdbapi.dll>  []
    <{40AF1289-F140-A140-D012-C1458759FC04}><C:\WINDOWS\system32\ypcqchlp.dll>  []
    <{9ed93b14-8d71-45cb-970b-0b8a22449f48}><C:\WINDOWS\system32\ttBAIBAI1069.dll>  []
    <{df14157d-3ce2-4d9b-b0cc-7f47e3e31fdb}><C:\WINDOWS\system32\ttKAFKAF1074.dll>  []
    <{45AADFAA-DD36-42AB-83AD-0521BBF58C24}><C:\WINDOWS\system32\zjydcx.dll> 

编辑<AppInit_DLLs>的值为空

==================================
删除服务
[Security Control / secctrl][Stopped/Auto Start]
  <c:\windows\system32\rundll32.exe vmvreg32.dll,scan><Microsoft Corporation>

==================================
删除驱动程序
[Pandrv / Pandrv][Running/Disabled]
  <\??\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Pandrv.sys><N/A>
[XNGAnti / XNGAnti][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ReloadAnti.sys><N/A>

==================================
删除浏览器加载项
[]
  {25694105-5108-9405-3695-954187462152} <C:\WINDOWS\system32\mpwdbapi.dll, N/A>
[]
  {40AF1289-F140-A140-D012-C1458759FC04} <C:\WINDOWS\system32\ypcqchlp.dll, N/A>
[SrchHook Class]
  {F08555B0-9CC3-11D2-AA8E-000000000000} <C:\WINDOWS\system32\IEBHO.dll, N/A>
[]
  {25694105-5108-9405-3695-954187462152} <C:\WINDOWS\system32\mpwdbapi.dll, N/A>
[]
  {40AF1289-F140-A140-D012-C1458759FC04} <C:\WINDOWS\system32\ypcqchlp.dll, N/A>
[SrchHook Class]
  {F08555B0-9CC3-11D2-AA8E-000000000000} <C:\WINDOWS\system32\IEBHO.dll, N/A>
==================================

 
下载windows清理助手清理下
http://www.arswp.com/download.html
还有问题,再扫个日志上来
0o懒喵o0 - 2008-5-3 18:48:00
十分感谢~~~
0o懒喵o0 - 2008-5-3 19:13:00
<{9ed93b14-8d71-45cb-970b-0b8a22449f48}><C:\WINDOWS\system32\ttBAIBAI1069.dll>  []
0o懒喵o0 - 2008-5-3 19:13:00
<{9ed93b14-8d71-45cb-970b-0b8a22449f48}><C:\WINDOWS\system32\ttBAIBAI1069.dll>  []
删除还有 如何解决?
火影忍者 - 2008-5-3 19:15:00
重扫个日志上来
0o懒喵o0 - 2008-5-3 19:24:00
哦了

附件: SREngLOG.log
sako - 2008-5-4 2:08:00
官网下载费尔木马强力清除助手,勾选“抑制文件再生”删除。
http://dl.filseclab.com/down/powerrmv.zip
清理时,先断开网络,到任务管理器结束
C:\WINDOWS\system32\ttBAIBAI1069.dll
的进程再删除
C:\WINDOWS\system32\ttBAIBAI1069.dll

清楚后,再清理启动项目
<{9ed93b14-8d71-45cb-970b-0b8a22449f48}><C:\WINDOWS\system32\ttBAIBAI1069.dll>  []

比较重要的一步
用sreng编辑下列启动项目,将其键值为空
<AppInit_DLLs>
搞定后,应该是
<AppInit_DLLs>[ ]
或者
<AppInit_DLLs>[N\A]
老手应该会操作吧,如果里面看不到值了,下载冰刃
冰刃1.22地址:http://www.onlinedown.net/soft/53325.htm
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]下找到
<AppInit_DLLs>
然后右键它,找到编辑,把里面的值清空即可

注意是清空值,不是删除启动项目!!!!!!

用下载的“清理临时文件工具ATF-Cleaner-cn”,全选所有项目,点击“立即清理”
下载:http://www.qispace.com.cn/attachment.php?fid=34
下载arswp(Windows清理助手)清理下..
http://www.arswp.com/download/arswp/arswp.rar

比较可疑的文件
[XNGAnti / XNGAnti][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ReloadAnti.sys><N/A>
建议将其禁用
1
查看完整版本: 日志 帮我看看谢谢~~~
© 2000 - 2026 Rising Corp. Ltd.