瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 (附扫描日志)求Tyojan.IMMSG.TBMSG.fp的解决方法

12   2  /  2  页   跳转

(附扫描日志)求Tyojan.IMMSG.TBMSG.fp的解决方法

收藏
大波哥哥
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2007-06-23
  • 来自:
发表于: 2007-06-24 13:36 | 只看楼主 短消息 资料
字号: 11楼

==================================
浏览器加载项
[BitComet Helper]
  {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} <d:\Program Files\BitComet\tools\BitCometBHO_1.1.5.19.dll, BitComet>
[Thunder Browser Helper]
  {889D2FEB-5411-4565-8998-1DD2C5261283} <D:\Program Files\Thunder Network\Thunder\ComDlls\XUNLEIBHO_002.dll, Thunder Networking Technologies,LTD>
[JUJU猫]
  {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <http://www.jujumao.net, N/A>
[Messenger]
  {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
[BitComet Helper]
  {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} <d:\Program Files\BitComet\tools\BitCometBHO_1.1.5.19.dll, BitComet>
[Thunder Browser Helper]
  {889D2FEB-5411-4565-8998-1DD2C5261283} <D:\Program Files\Thunder Network\Thunder\ComDlls\XUNLEIBHO_002.dll, Thunder Networking Technologies,LTD>
[&使用BitComet下载]
  <res://d:\Program Files\BitComet\BitComet.exe/AddLink.htm, N/A>
[&使用BitComet下载全部链接]
  <res://d:\Program Files\BitComet\BitComet.exe/AddAllLink.htm, N/A>
[&使用BitComet下载本页视频]
  <res://d:\Program Files\BitComet\BitComet.exe/AddVideo.htm, N/A>
[导出到 Microsoft Office Excel(&X)]
  <res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000, N/A>

==================================
正在运行的进程
[PID: 440][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 496][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 520][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
[PID: 564][C:\WINDOWS\system32\services.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 576][C:\WINDOWS\system32\savedump.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 584][C:\WINDOWS\system32\lsass.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 740][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 796][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 880][C:\WINDOWS\System32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1004][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1020][C:\WINDOWS\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1264][C:\PROGRAM FILES\RISING\RAV\RavStub.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 4]
    [C:\PROGRAM FILES\RISING\RAV\RsCommX.dll]  [rising, 18, 0, 0, 1]
    [C:\PROGRAM FILES\RISING\RAV\RSCOMMON.DLL]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 5]
[PID: 1508][C:\WINDOWS\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\RavExt.dll]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 9]
    [C:\WINDOWS\system32\msacm32.drv]  [Microsoft Corporation, 5.1.2600.0 (xpclient.010817-1148)]
    [D:\Program Files\Thunder Network\Thunder\ComDlls\XUNLEIBHO_002.dll]  [Thunder Networking Technologies,LTD, 5, 0, 0, 2]
    [C:\Program Files\Microsoft Office\OFFICE11\msohev.dll]  [Microsoft Corporation, 11.0.5510]
[PID: 1820][C:\WINDOWS\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1124][C:\Documents and Settings\杨文伟\桌面\sreng2\abc.EXE]  [Smallfrogs Studio, 2.4.12.806]
    [C:\Program Files\Rising\Rav\RavScrCh.dll]  [Beijing Rising Technology Co., Ltd., 18, 0, 0, 4]
gototop
 
大波哥哥
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2007-06-23
  • 来自:
发表于: 2007-06-24 13:36 | 只看楼主 短消息 资料
字号: 12楼

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1      localhost

==================================
API HOOK
N/A

==================================
隐藏进程
N/A

==================================


[/CODE]
gototop
 
大波哥哥
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2007-06-23
  • 来自:
发表于: 2007-06-24 13:38 | 只看楼主 短消息 资料
字号: 13楼

病毒又发作了...怎么杀都杀不死,...怎么办啊救命.
gototop
 
大波哥哥
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2007-06-23
  • 来自:
发表于: 2007-06-25 00:36 | 只看楼主 短消息 资料
字号: 14楼

谁帮我看一下日志啊谢谢了.
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-06-25 00:59 | 短消息 资料
字号: 15楼

用扫日志的SRENG工具删除下面注册表项。

动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> [N/A]
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
<AVPSrv><; C:\WINDOWS\AVPSrv.exe> []
<cmdbcs><; C:\WINDOWS\cmdbcs.exe> [N/A]
<Microsoft Autorun1><; C:\WINDOWS\system32\nwizdh.exe> []
<Microsoft Autorun11><; C:\WINDOWS\system32\nwizwlwzs.exe> [N/A]
<Microsoft Autorun14><; C:\WINDOWS\system32\ztinetzt.exe> []
<Microsoft Autorun5><; C:\WINDOWS\system32\mosou.exe> []
<Microsoft Autorun7><; C:\WINDOWS\system32\nwizqjsj.exe> []
<Microsoft Autorun9><; C:\WINDOWS\system32\winlogno.exe> []
<MsIMMs32><; C:\WINDOWS\MsIMMs32.exe> []
<TIMHost><; C:\WINDOWS\TIMHost.exe> [N/A]
<WinForm><; C:\WINDOWS\WinForm.exe> []
——————————————————————————————————
用扫日志的SRENG工具将下面的各项启动类型改为“Disabled”,

服务
[1A904C8 / 1A904C8][Stopped/Auto Start]
<C:\WINDOWS\system32\3C3239CC.EXE -k><Microsoft Corporation>

驱动程序
[Netgroup Packet Filter / NPF][Stopped/Manual Start]
<system32\drivers\npf.sys><CACE Technologies>
——————————————————————————————————————
重启电脑,显示隐藏文件和系统文件,搜索删除下面文件:
LYLoader.exe
LYLoadbr.exe
LYLeador.exe
LYLoador.exe
LYLoadar.exe
LYLoadhr.exe
LYLoadqr.exe
C:\WINDOWS\AVPSrv.exe
C:\WINDOWS\cmdbcs.exe
C:\WINDOWS\system32\nwizdh.exe
C:\WINDOWS\system32\nwizwlwzs.exe
C:\WINDOWS\system32\ztinetzt.exe
C:\WINDOWS\system32\mosou.exe
C:\WINDOWS\system32\nwizqjsj.exe
C:\WINDOWS\system32\winlogno.exe
C:\WINDOWS\MsIMMs32.exe
C:\WINDOWS\TIMHost.exe
C:\WINDOWS\WinForm.exe
C:\WINDOWS\system32\3C3239CC.EXE
————————————————————————————————————
重启电脑,不行,就再扫日志。
没异常,就安装并升级杀软至最新版本,全盘杀毒。
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-06-25 01:01 | 短消息 资料
字号: 16楼

注意这个:C:\WINDOWS\system32\winlogno.exe


千万别删除错了,切记切记!!!!!!
gototop
 
大波哥哥
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2007-06-23
  • 来自:
发表于: 2007-06-25 21:02 | 只看楼主 短消息 资料
字号: 17楼

感谢楼上各位大大们的支持.
特别鸣谢 天月来了 大大.系统已经完全正常,病毒清理完毕.
gototop
 
<<上一主题|下一主题>>
12   2  /  2  页   跳转
页面顶部
Powered by Discuz!NT