瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 各位高手:Trojan.PSW.QQRob.16 病毒怎么杀掉!?请进来看日志!

1   1  /  1  页   跳转

各位高手:Trojan.PSW.QQRob.16 病毒怎么杀掉!?请进来看日志!

各位高手:Trojan.PSW.QQRob.16 病毒怎么杀掉!?请进来看日志!

请问各位高手:Trojan.PSW.QQRob.16 病毒怎么杀掉!?
我上午在电脑发现了灰鸽子病毒。已经在高手们的指导下在系统和注册编辑表中删除了。但现在Trojan.PSW.QQRob.16 病毒发作了,它使我的鼠标根本无法控制,请问这病毒是这症状吗?!先谢谢各位高手了!
日志:
Logfile of HijackThis v1.99.1
Scan saved at 14:49:54, on 2005-9-15
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\conime.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
c:\program files\rising\rav\RAVMON.EXE
C:\Program Files\rising\Rfw\rfwmain.exe
c:\program files\rising\rfw\rfwsrv.exe
c:\program files\rising\rav\Rav.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\aa\LOCALS~1\Temp\Rar$EX00.562\HijackThis.exe

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: update wnwb - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: Google 搜索(&G) - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 反向链接 - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: 导出当前页到超星阅览器(&A) - d:\Program Files\SSREADER36\ss_all.htm
O8 - Extra context menu item: 导出选中部分到超星阅览器(&S) - d:\Program Files\SSREADER36\ss_select.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\QQ\SendMMS.htm
O8 - Extra context menu item: 类似网页 - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: 缓存的网页快照 - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: 翻译英文字词(&T) - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O16 - DPF: {3359C0B1-2363-40B3-AFCA-1ABC799AC486} (SSReaderPlug Control) - http://210.35.35.85:8000/ssreaderplug.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AE7FF5F-F64C-4925-B7E0-0783DF01D1A4}: NameServer = 202.101.224.68,210.35.32.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{38BBFE20-5BFC-4621-97BE-23D4DC072289}: NameServer = 202.101.224.68,210.35.32.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{1AE7FF5F-F64C-4925-B7E0-0783DF01D1A4}: NameServer = 202.101.224.68,210.35.32.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{1AE7FF5F-F64C-4925-B7E0-0783DF01D1A4}: NameServer = 202.101.224.68,210.35.32.10
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

最后编辑2005-09-15 15:56:29
分享到:
gototop
 

各位高手,久久小弟呀!!!!!拜托了!
gototop
 

【回复“沁心生”的帖子】
请问能提供更多的信息吗?比如哪个文件被感染、路径等等。
请您先点击这里http://www.spywareinfo.com/~merijn/files/hijackthis.zip下载HijackThis1.99.1(它是免费的),将它解压到一个非临时性的文件夹(比如C:\Program Files\HijackThis\HijackThis.exe)。然后双击HijackThis.exe图标,选择Do a system scan and save a logfile,将产生的文本文件中的日志帖上来。如果一个帖子贴不下,可以将剩余的部分另开一帖。
gototop
 

好的:
病毒信息:
文件名:Nicholas[1].chm>>/Nicholas.exe
文件路径:C:\documents and settings\aa\local srtting\temporary internet files\content.ie5\ke8x4usx 
病毒名:Trojan.PSW.QQRob.16
gototop
 

【回复“沁心生”的帖子】
清空IE临时文件即可。
gototop
 

谢谢,我试试看!
gototop
 

天使之剑,好像没这么简单,我清空了再查,这两个病毒还是存在。选杀毒有杀不了,说是需要解压!~
怎么办?在安全模式下我试试看能找得到没有。我的文件夹选项已经取消隐藏。
谢谢你,如果不行请再帮帮忙!!!
gototop
 

【回复“沁心生”的帖子】
根据您提供的路径,病毒是在IE临时文件夹中,先试试吧。我看下日志,发现您的主帖修改过了。
gototop
 

【回复“沁心生”的帖子】
清空IE临时文件,暂时关闭系统还原。重新启动至安全模式,使用HijackThis扫描后修复(在需要修复的项目前面打对勾,然后按“Fix checked”):
O2 - BHO: update wnwb - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll
O16 - DPF: {3359C0B1-2363-40B3-AFCA-1ABC799AC486} (SSReaderPlug Control) - http://210.35.35.85:8000/ssreaderplug.cab
删除:
C:\PROGRA~1\COMMON~1\Wnwb文件夹。
以上建议仅供参考,如果您认识其中的一些设置抑或是您的手动设置,就不必执行。
gototop
 

谢谢你!问题已经得到解决,果然是高手!太感谢了!
解决途径就是在安全模式下清空IE临时文件。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT