瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】请大家帮帮忙,谢谢!! 打开IE弹出help窗口(HijackThis扫描日志 )

1   1  /  1  页   跳转

【求助】请大家帮帮忙,谢谢!! 打开IE弹出help窗口(HijackThis扫描日志 )

收藏
5dtime
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2006-05-08
  • 来自:
发表于: 2006-05-08 14:36 | 只看楼主 短消息 资料
字号: 1楼

【求助】请大家帮帮忙,谢谢!! 打开IE弹出help窗口(HijackThis扫描日志 )

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\alg.exe
C:\Herosoft\HeroV8\SYSEXPLR.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\3G-FAX数码传真机\Monclt.exe
D:\Program Files\foxmail\Foxmail.exe
C:\WINDOWS\system32\SafeSignCertReg.exe
D:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
D:\Program Files\Skype\Phone\Skype.exe
C:\WINDOWS\smss.exe
D:\Program Files\Skype\Phone\ContentFilter.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
D:\hijack\HijackThis1991汉化版\HijackThis1991zww.exe

F2 - REG:system.ini: Shell=explorer.exe 1
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [TgfMonclt] d:\3G-FAX数码传真机\Monclt.exe
O4 - 启动项HKLM\\Run: [SysExplr] C:\Herosoft\HeroV8\SYSEXPLR.EXE
O4 - 启动项HKLM\\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - 启动项HKLM\\Run: [RavTask] "D:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [TProgram] C:\WINDOWS\smss.exe
O4 - 启动项HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Foxmail] "D:\Program Files\foxmail\Foxmail.exe" -min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: KB494002.LOG
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O21 - SSODL: SysTrays - {590498A3-4131-4D8F-BA4B-36791A9803B1} - C:\WINDOWS\system32\DLMain.dll
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Unknown owner - C:\Program Files\Rising\Rav\CCenter.exe (file missing)
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\Ravmond.exe
最后编辑2006-05-08 19:03:41
分享到:
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-05-08 14:41 | 短消息 资料
字号: 2楼

【回复“5dtime”的帖子】
修复
O20 - AppInit_DLLs: KB494002.LOG
O21 - SSODL: SysTrays - {590498A3-4131-4D8F-BA4B-36791A9803B1} - C:\WINDOWS\system32\DLMain.dll

删除
C:\WINDOWS\system32\KB494002.LOG
C:\WINDOWS\system32\DLMain.dll

=========

另:
C:\WINDOWS\smss.exe是一个恶意木马
日志中的下面两项与之相关
F2 - REG:system.ini: Shell=explorer.exe 1
O4 - 启动项HKLM\\Run: [TProgram] C:\WINDOWS\smss.exe

相关操作参考:
http://forum.ikaka.com/topic.asp?board=28&artid=7828861
gototop
 
5dtime
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2006-05-08
  • 来自:
发表于: 2006-05-08 15:22 | 只看楼主 短消息 资料
字号: 3楼

谢谢,但按你的方法做了,打开IE还是出现相同情况
比如打开126,IE会打开126后再弹出help窗口
gototop
 
不言放弃
头像
社区嘉宾
  • 帖子:30678
  • 注册: 2004-09-17
  • 来自:蓝色星球
发表于: 2006-05-08 15:30 | 短消息 资料
字号: 4楼

【回复“5dtime”的帖子】
C:\WINDOWS\smss.exe是一个恶意木马
像楼主在如此短的时间内就能解决
个人认为是不可能的
呵呵
gototop
 
5dtime
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2006-05-08
  • 来自:
发表于: 2006-05-08 17:12 | 只看楼主 短消息 资料
字号: 5楼

还是不行!
打IE会自动转向"res://C:\WINDOWS\system32\shdoclc.dll/navcancl.htm"弹出窗口
gototop
 
天使之剑
头像
社区嘉宾
  • 帖子:2961
  • 注册: 2005-09-15
  • 来自:
发表于: 2006-05-08 17:50 | 短消息 资料
字号: 6楼

引用:
【5dtime的贴子】还是不行!
打IE会自动转向"res://C:\WINDOWS\system32\shdoclc.dll/navcancl.htm"弹出窗口
...........................

附上新的日志,谢谢。
gototop
 
5dtime
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2006-05-08
  • 来自:
发表于: 2006-05-08 18:27 | 只看楼主 短消息 资料
字号: 7楼

谢谢!!!
F2 - REG:system.ini: Shell=explorer.exe 1
O4 - 启动项HKLM\\Run: [TProgram] C:\WINDOWS\smss.exe
又复活了!

新的日志:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\Program Files\foxmail\Foxmail.exe
D:\hijack\HijackThis1991汉化版\HijackThis1991zww.exe

F2 - REG:system.ini: Shell=explorer.exe 1
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [TgfMonclt] d:\3G-FAX数码传真机\Monclt.exe
O4 - 启动项HKLM\\Run: [SysExplr] C:\Herosoft\HeroV8\SYSEXPLR.EXE
O4 - 启动项HKLM\\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - 启动项HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - 启动项HKLM\\Run: [TProgram] C:\WINDOWS\smss.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Foxmail] "D:\Program Files\foxmail\Foxmail.exe" -min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
gototop
 
天使之剑
头像
社区嘉宾
  • 帖子:2961
  • 注册: 2005-09-15
  • 来自:
发表于: 2006-05-08 19:03 | 短消息 资料
字号: 8楼

【回复“5dtime”的帖子】



请楼主使用下面的两个多引擎扫描器扫描下列文件:
C:\WINDOWS\smss.exe
多引擎扫描之Virustotal

http://www.virustotal.com/
多引擎扫描之Jotti

http://virusscan.jotti.org/


请务必将报告贴全。
使用方法请参考:
【推荐】多引擎扫描器的使用方法

http://forum.ikaka.com/topic.asp?board=67&artid=7957175
如果还有问题,请跟帖说明。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT