瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 【求助】updateservice.exe是病毒吗?

12   2  /  2  页   跳转

【求助】updateservice.exe是病毒吗?

收藏
rxzy
头像
初生襁褓狮
  • 帖子:25
  • 注册: 2006-07-20
  • 来自:
发表于: 2006-08-12 23:20 | 只看楼主 短消息 资料
字号: 11楼

改了,修复了,广告好像没了,但是有一项非常顽固,删不掉!!!就是那个02项,已经不是一天两天了,我用超级兔子的IE插件那里删除了n百十次都还在有!看它的文件名是swflash.ocx,但是我想应该不会是浏览器的flash 8播放插件吧?另外我用超级兔子的进程查看暂时没发现其他可疑进程,但是觉得系统进程好像多了一点,有20个!这正常吗?

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      23:00:38, 日期 2006-8-12
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\conime.exe
D:\Program Files\MemEmpty\MemEmpty.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\inetsrv\inetinfo.exe
D:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\wuauclt.exe
D:\Program Files\Maxthon\Maxthon.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Program Files\HijackThis1991zww\HijackThis1991zww.exe

O2 - BHO: Shockwave Flash Object - {14A21378-5BB1-4BC4-95D5-5D3F51527F6F} - D:\WINDOWS\system32\swflash.ocx
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [DAEMON Tools-2052] ; "D:\Program Files\D-Tools\daemon.exe"  -lang 2052
O4 - 启动项HKLM\\Run: [SunJavaUpdateSched] ; D:\Program Files\Java\jre1.5.0_04\bin\jusched.exe
O4 - 启动项HKLM\\Run: [IMSCMig] D:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [SoundMan] ; soundman.exe
O4 - 启动项HKLM\\Run: [StormCodec_Helper] ; "D:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [MemEmpty] D:\Program Files\MemEmpty\MemEmpty.exe /h
O4 - 启动项HKLM\\Run: [TkBellExe] ; "D:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [QuickTime Task] ; "D:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - 启动项HKLM\\Run: [KAVPersonal50] "D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - Global Startup: Microtek 扫描仪探测器.lnk = D:\Program Files\Microtek\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: 服务管理器.lnk = D:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - IE右键菜单中的新增项目:  ←设置内容 - D:\Program Files\BBS帖子精灵\html\SetContent.htm
O8 - IE右键菜单中的新增项目:  ←设置标题 - D:\Program Files\BBS帖子精灵\html\SetTitle.htm
O8 - IE右键菜单中的新增项目:  →提取图片 - D:\Program Files\BBS帖子精灵\html\GetPic.htm
O8 - IE右键菜单中的新增项目:  →提取链接 - D:\Program Files\BBS帖子精灵\html\GetHref.htm
O8 - IE右键菜单中的新增项目:  →获取内容 - D:\Program Files\BBS帖子精灵\html\GetContent.htm
gototop
 
rxzy
头像
初生襁褓狮
  • 帖子:25
  • 注册: 2006-07-20
  • 来自:
发表于: 2006-08-12 23:20 | 只看楼主 短消息 资料
字号: 12楼

O8 - IE右键菜单中的新增项目:  →获取标题 - D:\Program Files\BBS帖子精灵\html\GetTitle.htm
O8 - IE右键菜单中的新增项目:  ∈提取全部图片 - D:\Program Files\BBS帖子精灵\html\GetAllPic.htm
O8 - IE右键菜单中的新增项目:  ∈获取Flash列表 - D:\Program Files\BBS帖子精灵\html\ListFlash.htm
O8 - IE右键菜单中的新增项目:  ⊙快速回复 - D:\Program Files\BBS帖子精灵\html\QuickNote.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 使用迅雷下载 - D:\Program Files\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: 使用迅雷下载全部链接 - D:\Program Files\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: LoadSQL - {0713E8D2-850A-101B-AFC0-4210102A8DA7} - http://loadsql.126.com (file missing)
O9 - 浏览器额外的按钮: Sun Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - 浏览器额外的“工具”菜单项: Sun Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program Files\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\Program Files\HFGameOPT\GameClient.exe
O9 - 浏览器额外的“工具”菜单项: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\Program Files\HFGameOPT\GameClient.exe
O9 - 浏览器额外的按钮: Flash 抓捕器 - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - D:\Program Files\Common Files\justDo\IECatcher.DLL
O9 - 浏览器额外的“工具”菜单项: Flash 抓捕器 - {90BAE0EF-F4BF-4FAC-B2EC-2C725C34AF12} - D:\Program Files\Common Files\justDo\IECatcher.DLL
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的“工具”菜单项: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O12 - IE插件,支持文件类型.mid: D:\Program Files\Internet Explorer\PLUGINS\npqtplugin2.dll
O16 - DPF: {56A7DC70-E102-4408-A34A-AE06FEF01586} - http://iebar.t2t2.com/iebar.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120978385231
O17 - HKLM\System\CCS\Services\Tcpip\..\{48A49697-E3AC-433A-B345-CFF253243C6F}: NameServer = 10.140.53.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{48A49697-E3AC-433A-B345-CFF253243C6F}: NameServer = 10.140.53.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{48A49697-E3AC-433A-B345-CFF253243C6F}: NameServer = 10.140.53.254
O17 - HKLM\System\CS3\Services\Tcpip\..\{48A49697-E3AC-433A-B345-CFF253243C6F}: NameServer = 10.140.53.254
O23 - NT 服务: kavsvc - Kaspersky Lab - D:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - D:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - NT 服务: VNN Client Service (VNNC) - Unknown owner - D:\Program Files\VNN\VNN Client 3.0\VNNClientC.exe" -service (file missing)
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2006-08-12 23:45 | 短消息 资料
字号: 13楼

02项确实是Flash自带的


其实08.09都可以修复,

这一项修复
O16 - DPF: {56A7DC70-E102-4408-A34A-AE06FEF01586} - http://iebar.t2t2.com/iebar.cab
gototop
 
rxzy
头像
初生襁褓狮
  • 帖子:25
  • 注册: 2006-07-20
  • 来自:
发表于: 2006-08-13 00:04 | 只看楼主 短消息 资料
字号: 14楼

08.09倒是我安的。16修复了。
还有就是一个很久的问题了,可能是被病毒感染多的缘故吧,好多次关机(就是在windows正在关机)的时候就弹出“svchost.exe应用程序发生异常OxOeedfade位置为Ox7c812a5b”的提示,然后有确定,取消两个按钮,然后再过一阵机器就关了,但是我实在是找不出要怎么修复,刚才把那个C:\WINDOWS\SYSTEM32\USERINIT.EXE改过来以后关机那两次暂时不会弹对话框了,但是刚才又会了,又变成了老样子,而我点开System Repair Engineer已经没有红色的项目了!
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2006-08-13 00:11 | 短消息 资料
字号: 15楼

按刚才的方法C:\WINDOWS\SYSTEM32\USERLNIT.EXE

更改成C:\WINDOWS\SYSTEM32\USERINIT.EXE

08.09项修复对系统没有影响

把弹出的SVHOST.EXE贴上一张图片上来
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2006-08-13 00:25 | 短消息 资料
字号: 16楼

引用:
【秋日里的蓝天的贴子】按刚才的方法C:\WINDOWS\SYSTEM32\USERLNIT.EXE

更改成C:\WINDOWS\SYSTEM32\USERINIT.EXE

08.09项修复对系统没有影响

把弹出的SVHOST.EXE贴上一张图片上来
………………


别把两个红颜色字母搞错了
gototop
 
rxzy
头像
初生襁褓狮
  • 帖子:25
  • 注册: 2006-07-20
  • 来自:
发表于: 2006-08-13 00:51 | 只看楼主 短消息 资料
字号: 17楼

已经是USERINIT.EXE了,刚才改过了没有跳回来,只不过现在是%SystemRoot%\System32\userinit.exe而已,而且有四处都有,但是刚才只改了一处。弹出的SVHOST.EXE是在计算机快关闭时才弹出的,连杀毒软件也运行不到那一阵,更别说截图软件了,怎么办?
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-08-13 01:33 | 短消息 资料
字号: 18楼

08 09 还是不要全修复..

有的则需要用到的...
gototop
 
rxzy
头像
初生襁褓狮
  • 帖子:25
  • 注册: 2006-07-20
  • 来自:
发表于: 2006-08-13 12:54 | 只看楼主 短消息 资料
字号: 19楼

嗯,但是那个错误,关机的时候老弹出来,怎么办?
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2006-08-13 13:15 | 短消息 资料
字号: 20楼

【回复“rxzy”的帖子】

详细参考http://www.51nb.com/forum/thread-405360-1-1.html
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT