极下流的一个病毒,近两天我单位也爆发了,症状是无法打开网页
,无奈,用360安全助手扫描了一台机器,结果如下:
----------------------------------------------------------
该诊断报告由360安全卫士提供 http://www.360safe.com
诊断时间: 2006-12-26 16:01:17
诊断平台: Microsoft Windows XP Service Pack 2
IE版本: Internet Explorer V6.0.2900.2180 Build:62900.2180
计算机物理内存:127MB - 当前可用内存: 4MB
100 - 未知 - Process: mssym.exe [] - C:\WINDOWS\system32\mssym.exe100 - 未知 - Process: RavUnZip.exe [RavUnZip] - C:\DOCUME~1\nh\LOCALS~1\Temp\RavTmp\RavUnZip.exe100 - 未知 - Process: RavSetup.exe [Setup 应用程序] - C:\DOCUME~1\nh\LOCALS~1\Temp\RavTmp\Update\RavSetup.exe100 - 未知 - Process: SetupRav.exe [Rising Setup Application] - C:\DOCUME~1\nh\LOCALS~1\Temp\RavTmp\Update\SetupRav.exeR0 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.sohu.com/O4 - 未知 - HKLM\..\RunServices: [Microsoft] [] mssym.exeO4 - 未知 - HKCU\..\Run: [Microsoft] [] mssym.exeO23 - 未知 - Service: CICSClient [IBM CICS Universal Client] - C:\Program Files\IBM\CICS Universal Client\BIN\CCLSERV.EXE - (not running)=======================================
100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统,用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe
ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k DcomLaunch
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 安全 - Process: spoolsv.exe [windows打印任务控制程序,用以打印机就绪。] - C:\WINDOWS\system32\spoolsv.exe
100 - 安全 - Process: inetinfo.exe [microsoft internet infomation services (iis)的一部分,用于debug调试除错。] - C:\WINDOWS\system32\inetsrv\inetinfo.exe
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面和文件管理。] - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: mdm.exe [debug除错管理用于调试应用程序和microsoft office中的microsoft script editor脚本编辑器。] - C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
100 - 安全 - Process: 360tray.exe [360安全卫士实时保护模块] - C:\Program Files\360safe\safemon\360Tray.exe
100 - 安全 - Process: ctfmon.exe [office xp输入法图标。] - C:\WINDOWS\system32\ctfmon.exe
100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe
100 - 安全 - Process: wscntfy.exe [是microsoft windows安全系统和输出当前安全身份的一部分,用于其电脑的稳定性以及安全运行的。] - C:\WINDOWS\system32\wscntfy.exe
100 - 安全 - Process: taskmgr.exe [windows自带的任务管理器程序,用于察看系统中的进程信息。] - C:\WINDOWS\system32\taskmgr.exe
100 - 安全 - Process: 360Safe.exe [360安全卫士相关程序。] - C:\Program Files\360safe\360Safe.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=
about:blank
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=
about:blank
O2 - 安全 - BHO: (NavigatMon Class) - [360safe实时保护功能模块,用于恶意网站拦截。] - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - C:\Program Files\360safe\safemon\safemon.dll
O4 - 安全 - HKLM\..\Run: [IMJPMIG8.1] [微软Microsoft输入法编辑器程序。] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 安全 - HKLM\..\Run: [PHIME2002ASync] [输入法软件相关程序。] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 安全 - HKLM\..\Run: [PHIME2002A] [输入法软件相关程序。] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 安全 - HKLM\..\Run: [360Safetray] [360safe实时保护功能模块。] C:\Program Files\360safe\safemon\360Tray.exe /start
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] C:\WINDOWS\system32\ctfmon.exe
O4 - 安全 - Startup folder: [EPSON Status Monitor 3 Environment Check(3).lnk] [epson状态检测软件。] C:\Documents and Settings\All Users.WINDOWS\「开始」菜单\程序\启动\EPSON Status Monitor 3 Environment Check(3).lnk
O4 - 安全 - Startup folder: [Microsoft Office.lnk] [是offfice的一个快捷方式。 ] C:\Documents and Settings\All Users.WINDOWS\「开始」菜单\程序\启动\Microsoft Office.lnk
O8 - 安全 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - 安全 - Extra button: Windows Messenger(HKLM) - C:\Program Files\Messenger\msmsgs.exe
O16 - 安全 - DPF: {8819C261-5B61-4628-908C-9BE795EABEC3} (农业银行) - http://www.95599.cn/download/ABC.cab
O16 - 安全 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Flash播放器) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
=======================================
O40 - Explorer.EXE - - C:\Program Files\360safe\safemon\safemon.dll - 360安全卫士实时保护模块 - 72cb00a125c2ce57aa782c2e9cc70fdf=======================================
O41 - npkcrypt - nProtect KeyCrypt Driver - C:\WINDOWS\system32\npkcrypt.sys - (not running) - nProtect KeyCrypt Driver - INCA Internet Co., Ltd. - 8bcb281a2540e7aff0cd00f9878fe21fO41 - Basetdi - basetdi - C:\WINDOWS\system32\drivers\basetdi.sys - (running) - basetdi - Beijing Rising Technology Co., Ltd. - e737715afdcc999b806ac3c1120ec04eO41 - ExpScaner - ExpScan.sys - C:\Program Files\Rising\Rav\ExpScan.sys - (running) - ExpScan.sys - - 5a690926c7181d5c0b2721016442c9c3O41 - HookCont - TDI HOOK Driver - C:\Program Files\Rising\Rav\HookCont.sys - (running) - TDI HOOK Driver - Rising tech Co. ltd - 286401156f3e2a68e692cac56f21876aO41 - HookSys - Hooksys - C:\Program Files\Rising\Rav\HookSys.sys - (running) - Hooksys - Rising - 807acb46bf6da3525be6d8e0241e5cdfO41 - HookReg - HookReg - C:\Program Files\Rising\Rav\HOOKREG.sys - (running) - - - 997c395147f8e5b3f714bdd112fe8945O41 - MEMSCAN - MemScan Driver - C:\Program Files\Rising\Rav\MemScan.sys - (running) - MemScan Driver - 瑞星软件有限公司 - 9811b256023dd985cbc5bad790e5bb84=======================================
360Safe.exe=3.0.0.1001
AntiAdwa.dll=2.2.1.1000
AntiEng.dll=3.0.0.1001
AntiActi.dll=2.0.0.3000
CleanHis.dll=3.0.0.1001
safelive.exe=1.0.0.2007
live.dll=1.0.0.1011
=======================================
操作历史报告:
----------查杀恶意软件历史----------
2006-09-29 17:12
查杀恶意软件 - sisoo.com - 危险 - C:\WINDOWS\system32\krnln.fnr
2006-09-29 17:15
查杀恶意软件 - sisoo.com - 危险 - C:\WINDOWS\system32\krnln.fnr
2006-9-29 17:20
查杀恶意软件 - sisoo.com - 危险 -
----------插件卸载操作历史----------
2006-12-26 14:37
插件管理 - 搜狗工具条 -
----------全面诊断修复历史----------
2006-09-29 17:12
O4 - 未知 - guige - rundll32.exe C:\WINDOWS\system32\\guige.dll guige
R0 - 未知 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
O8 - 未知 - 导出到 Microsoft Excel(&x) - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O16 - 未知 - 下载的ActiveX插件 - C:\WINDOWS\system32\BANKCE~1.DLL
O16 - 未知 - 下载的ActiveX插件 - C:\WINDOWS\Downloaded Program Files\photo_uploader.inf
2006-12-26 14:38
100 - 未知 - mssym.exe - C:\WINDOWS\system32\mssym.exe
O4 - 未知 - Microsoft - mssym.exe
O4 - 未知 - Microsoft - mssym.exe
O4 - 未知 - Microsoft - mssym.exe
2006-12-26 15:29
100 - 未知 - mssym.exe - C:\WINDOWS\system32\mssym.exe
2006-12-26 15:29
O4 - 未知 - Microsoft - mssym.exe
2006-12-26 15:29
O4 - 未知 - Microsoft - mssym.exe
----------修复IE浏览器操作历史----------
2006-12-26 14:38
R0 - 危险 - IE首页 - HKCU\Software\Microsoft\Internet Explorer\Main
