这是用卡卡扫描的日志





Logfile of Kaka v2. 0. 0. 9 Scan Module v2. 0. 0. 1
Scan saved at 15:24:46, on 2006-08-12
Platform: Microsoft Windows XP Professional Service Pack 2 (Build 2600)
MSIE: Internet Explorer v6.00 SP2; (6.00.2900.2180 (xpsp_sp2_rtm.040803-2158))


Running processes:
[smss.exe]
CommandLine =

[csrss.exe]
CommandLine = C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxRequestThreads=16

[winlogon.exe]
CommandLine = winlogon.exe

[services.exe]
CommandLine = C:\WINDOWS\system32\services.exe

[lsass.exe]
CommandLine = C:\WINDOWS\system32\lsass.exe

[svchost.exe]
CommandLine = C:\WINDOWS\system32\svchost -k DcomLaunch

[svchost.exe]
CommandLine = C:\WINDOWS\system32\svchost -k rpcss

[CCenter.exe]
CommandLine = "C:\Program Files\Rising\Rav\CCenter.exe"

[svchost.exe]
CommandLine = C:\WINDOWS\System32\svchost.exe -k netsvcs

[svchost.exe]
CommandLine = C:\WINDOWS\system32\svchost.exe -k NetworkService

[svchost.exe]
CommandLine = C:\WINDOWS\system32\svchost.exe -k LocalService

[RavMonD.exe]
CommandLine = "C:\Program Files\Rising\Rav\Ravmond.exe"

[rfwsrv.exe]
CommandLine = "c:\program files\rising\rfw\rfwsrv.exe"

[explorer.exe]
CommandLine = C:\WINDOWS\Explorer.EXE

[spoolsv.exe]
CommandLine = C:\WINDOWS\system32\spoolsv.exe

[RavStub.exe]
CommandLine = "C:\Program Files\Rising\Rav\RavStub.exe" /RAVMOND

[rfwmain.exe]
CommandLine =  -StartUp

[VTTrayp.exe]
CommandLine = "C:\WINDOWS\system32\VTtrayp.exe"

[VTTimer.exe]
CommandLine = "C:\WINDOWS\system32\VTTimer.exe"

[soundman.exe]
CommandLine = "C:\WINDOWS\SOUNDMAN.EXE"

[realsched.exe]
CommandLine = "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot

[RavTask.exe]
CommandLine = "C:\PROGRAM FILES\RISING\RAV\RAVTASK.EXE" -SYSTEM

[RavMon.exe]
CommandLine = "C:\Program Files\Rising\Rav\Ravmon.exe" -SYSTEM

[ctfmon.exe]
CommandLine = "C:\WINDOWS\system32\ctfmon.exe"

[msmsgs.exe]
CommandLine = "C:\Program Files\Messenger\msmsgs.exe" /background

[NMBgMonitor.exe]
CommandLine = "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"

[alg.exe]
CommandLine = C:\WINDOWS\System32\alg.exe

[IEXPLORE.EXE]
CommandLine = "C:\Program Files\Internet Explorer\iexplore.exe"

[svchost.exe]
CommandLine = "C:\Program Files\stell\svchost.exe"

[cmd.exe]
CommandLine = cmd /c _wpcap_.bat

[conime.exe]
CommandLine = C:\WINDOWS\system32\conime.exe

[rundll32.exe]
CommandLine = rundll32.exe setupapi,InstallHinfSection DefaultInstall 128 C:\Program Files\stell\_wpcap_.inf

[IEXPLORE.EXE]
CommandLine = "C:\Program Files\Internet Explorer\iexplore.exe"

[conime.exe]
CommandLine = C:\WINDOWS\system32\conime.exe

[KkScan.exe]
CommandLine = "D:\软件\瑞星助理\KkScan.exe"

R3 - Default URLSearchHook is missing
O1 - Hosts: 127.0.0.1      localhost
O2 - BHO: Thunder Browser Helper - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\软件\讯雷\Thunder\ComDlls\XunLeiBHO_001.dll
O2 - BHO: YOK广告拦截插件 - {972566B2-93BF-41AA-B06D-5F81DB7E38E1} - C:\PROGRA~1\YOK.com\BlockAdr\yokhad.dll
O2 - BHO: 卡卡上网安全助手 - {AFF6E516-CBE5-4F8A-9C2F-38A68013E766} - C:\WINDOWS\system32\kakatool.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - Startup: desktop.ini =
O4 - Startup: 修复YOK拦截助手.lnk = C:\WINDOWS\system32\regsvr32.exe
O4 - Startup: 腾讯QQ珊瑚虫版.lnk = D:\软件\QQ\CoralQQ.exe
O4 - Global Startup: desktop.ini =
O8 - Extra context menu item: 使用迅雷下载 - D:\软件\讯雷\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: 使用迅雷下载全部链接 - D:\软件\讯雷\Thunder\Program\GetAllUrl.htm
O9 - Extra Button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
O18 - Filter : text/html - {1BC02872-BC5E-46BE-BA76-6B0170FE6BFE} - C:\WINDOWS\system32\Navsmall.dll
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - Service: Human Interface Device Access (HidServ) -  - C:\WINDOWS\system32\svchost.exe -k netsvcs
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\CCenter.exe"
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\Ravmond.exe"

删除后，好象还有些猫腻~

我后来又在安全模式下执行了你刚才说的操作方法


回到正常模式我马上扫描了日志，并没发现“修复
O20 - AppInit_DLLs: KB919331M.LOG”

用冰箭查找
C:\WINDOWS\KB919331M.LOG
也没出现


可是没多久防火墙又提示删除病毒成功后，再当我扫描日志和用冰箭查看时又出现了

是不是漏洞哦？

我真是爽呀~~~

再来防火墙的扫描

# Rising Vulnerability Search Results
# Last Search: 2006-08-12 15:53:16
#
# Uninstalled Microsoft Critical Updates: 28
# Risk Level: Medium  Count: 4
  MS06-018Microsoft 分布式事务处理协调器中的漏洞可能允许拒绝服务
  MS05-045网络连接管理器中的漏洞可能允许拒绝服务 (905414)
  MS05-042Kerberos 中的漏洞可能允许拒绝服务、信息泄露和欺骗 (899587) 
  MS05-041远程桌面协议中的漏洞可能允许拒绝服务 (899591) 
# Risk Level: High  Count: 13
  MS06-032TCP/IP 中的漏洞可能允许远程执行代码
  MS06-030服务器消息块中的漏洞可能允许特权提升
  MS06-016Outlook Express 的累积性安全更新
  MS06-015Windows 资源管理器中的漏洞可能允许远程执行代码
  MS06-008Web 客户端服务中的漏洞可能允许远程执行代码
  MS06-007TCP/IP 中的漏洞可能允许拒绝服务
  MS05-049Windows Shell 中的漏洞可能允许远程执行代码 (900725)
  MS05-048Microsoft 协作数据对象中的漏洞可能允许远程执行代码 (907245)
  MS05-047即插即用中的漏洞可能允许远程执行代码和特权提升 (905749)
  MS05-046NetWare 客户端服务中的漏洞可能允许远程执行代码 (899589)
  MS05-040Telephony 服务中的漏洞可能允许远程执行代码 (893756)
  MS05-018Windows 内核的漏洞可能允许特权提升和拒绝服务
  MS05-016Windows Shell 中的漏洞可能允许远程执行代码
# Risk Level: Extreme  Count: 11
  MS06-002嵌入式 Web 字体中的漏洞可能允许远程执行代码
  MS06-001图形呈现引擎中的漏洞可能允许远程执行代码
  MS05-053图形呈现引擎中的漏洞可能允许执行代码
  MS05-051Microsoft 安全公告 MS05-051  MSDTC 和 COM+ 中的漏洞可能允许远程执行代码 (902400) 
  MS05-043Print Spooler 服务中的漏洞可能允许远程执行代码 (896423) 
  MS05-039即插即用中的漏洞可能允许远程执行代码和特权提升 (899588) 
  MS05-036Microsoft 颜色管理模块中的漏洞可能允许远程执行代码
  MS05-027服务器消息块中的漏洞可能允许远程执行代码
  MS05-026HTML 帮助中的漏洞可能允许远程执行代码
  MS05-019TCP/IP 中的漏洞可能允许远程执行代码和拒绝服务攻击
  MS05-015超级链接对象库中的漏洞可能允许远程执行代码 (888113)
#
# Potentical Security Risks: 7
# Risk Level: Low  Count: 4
  隐藏文件扩展名。
  其他的计算机可以通过网络，以匿名方式获取到本机的信息
  系统管理员权限的用户过多
  您的计算机中有被共享的目录和磁盘
# Risk Level: Medium  Count: 3
  密码过于简单
  登陆时显示上一次登陆的用户名
  密码的最小长度限制过短

顶呀，快来人呀

继续顶

顶