12   1  /  2  页   跳转

[求助] 帮忙看下日志,可恶的病毒

帮忙看下日志,可恶的病毒

前段时间因为中毒所以把系统重装了下,但有几个游戏因为比较大也就放在U盘,重装后有放回去了(全部格了下)重装后系统一直没什么问题,但今天想玩下游戏一打开杀毒软件不断报毒。改病毒好像是破坏EXE文件的,一点快捷就不断弹很多文件

日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 22:40:26,2009-4-18
操作系统: Windows XP SP3 (WinNT 5.01.2600)
IE版本: Internet Explorer v6.00 SP3 (6.00.2900.5512)
启动模式: 正常
正在运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Program Files\PPStream\ppsap.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\Program Files\AVG\AVG8\avgcsrvx.exe
C:\Program Files\AVG\AVG8\avgtray.exe
D:\Program Files\星空极速\bin\NetKeeper.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
E:\Thunder\Program\Thunder5.exe
E:\Thunder\Plugins\XLSafeHost\ThunderKAV\bin\ScanningProcess.exe
E:\Maxthon2\Maxthon.exe
C:\Documents and Settings\Administrator\桌面\HijackThis.exe
O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - E:\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - E:\Thunder\ComDlls\xunleiBHO_Now.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - D:\Program Files\360\safemon\safemon.dll
O3 - IE 工具栏: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [SoundMan] ; SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] ; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] ; nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] ; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PPS Accelerator] D:\Program Files\PPStream\ppsap.exe
O4 - HKCU\..\Run: [YodaoDict] "D:\Program Files\Youdao\RunDict.exe" -hide
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - 扩展右键菜单项: 使用迅雷下载 - E:\Thunder\Program\GetUrl.htm
O8 - 扩展右键菜单项: 使用迅雷下载全部链接 - E:\Thunder\Program\GetAllUrl.htm
O8 - 扩展右键菜单项: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - 扩展右键菜单项: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O9 - 额外的按钮: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - E:\Thunder\Thunder.exe
O9 - 额外的“工具”菜单项目: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - E:\Thunder\Thunder.exe
O9 - 额外的按钮: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - 额外的“工具”菜单项目: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.microsoft.com/
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/2121/aliedit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FD7F7CE-5708-4D7F-8859-2EA8F01B5731}: NameServer = 202.101.224.69 202.101.226.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{3FD7F7CE-5708-4D7F-8859-2EA8F01B5731}: NameServer = 202.101.224.69 202.101.226.68
O18 - Protocol: KuGoo - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - NT 服务:  ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe(文件不存在)
O23 - NT 服务:  AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - NT 服务:  AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - NT 服务:  Contrl Center of Storm Media (ccosm) - 北京暴风网际科技有限公司 - C:\Program Files\StormII\stormliv.exe
O23 - NT 服务:  nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe(文件不存在)
O23 - NT 服务:  NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; MAXTHON 2.0)
分享到:
gototop
 

回复:帮忙看下日志,可恶的病毒

请扫描SRENG日志上来,
详细请看我签名,按比较大的回复就可以发附件上来了
繁花落尽朝朝散,年少不知轻狂.岁月岂饶人? 心未归,人已醉,何时知我悔.碧海天,夜清心.少年梦里独摘花.
gototop
 

回复 1F 醉酒看夕阳 的帖子

Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
(点击我这贴右下角的“引用”或最右下角的那个较大的“回复”然后就应该知道怎么发了。)
gototop
 

回复:帮忙看下日志,可恶的病毒

希望你早日杀死它!
本帖被评分 1 次
免费设计艺术签名 网免费设计签名
gototop
 

回复: 帮忙看下日志,可恶的病毒



引用:
原帖由 aaccbbdd 于 2009-4-18 22:46:00 发表
Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS:如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为我爱小狮子.bat
或我爱小狮子.scr
日志放入附件
(点击我这贴右下角的

  请问怎么上传附件?我看见上传附件的选项,但点不了
gototop
 

回复:帮忙看下日志,可恶的病毒

啥叫点不了?

通过纳米盘上传吧

http://www.namipan.com/index.php
gototop
 

回复: 帮忙看下日志,可恶的病毒

http://www.namipan.com/d/SREmgLOG.log/56055e9b2dbb6abcded0fc1cbe35f492e361bd68bc810000  实在是不知道怎么搞,日志在上面那地址
gototop
 

回复:帮忙看下日志,可恶的病毒

日志显示未中毒

不排除是感染型病毒的可能性

星空极速
这个不是什么好东西
gototop
 

回复: 帮忙看下日志,可恶的病毒



引用:
原帖由 aaccbbdd 于 2009-4-18 23:36:00 发表
日志显示未中毒

不排除是感染型病毒的可能性

星空极速
这个不是什么好东西

星空极速是我们这电信的拨号软件,用其他软件拨不了号
gototop
 

回复 9F 醉酒看夕阳 的帖子

那认了吧

报毒的文件
可以去
http://www.virscan.org/
测下

AVG误报率应该是不低的
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT