高手帮我! - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛高手帮我!

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

高手帮我!

土木公初生襁褓狮帖子:4 注册: 2005-07-25 来自:	发表于： 2005-07-26 12:51 \| 只看楼主短消息资料字号：小中大 1楼高手帮我! 我的计算机平时工作正常,一旦接上移动硬盘或U盘,双击移动硬盘或U盘的盘符则打不开,系统提示:windows 无法找到 iexplores.exe.其他分区正常. 杀毒未有结果,另我用HijackThis_zww汉化版扫描结果如下:(请各位大虾帮我分析下) HijackThis_zww汉化版扫描日志 V1.99.1 保存于 12:49:25, 日期 2005-7-26 操作系统： Windows 2000 SP4 (WinNT 5.00.2195) 浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106) 当前运行的进程： C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\PROGRAM FILES\RISING\RAV\Ravmond.exe C:\PROGRAM FILES\RISING\RAV\RavStub.exe c:\program files\rising\rfw\rfwsrv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\Rundll32.exe c:\program files\rising\rfw\RfwMain.exe C:\WINNT\system32\RunDll32.exe C:\WINNT\system32\RUNDLL32.EXE C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE C:\PROGRA~1\RISING\RAV\RAVMON.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\WINNT\system32\rundll32.exe D:\Ringz Studio\Storm Downloader\StormDownloader.exe C:\WINNT\system32\ctfmon.exe D:\Maxthon\Maxthon.exe D:\HijackThis1991汉化版\HijackThis1991zww.exe R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINNT\DOWNLO~1\BDSrHook.dll O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINNT\system32\xunleibho_v4.dll O2 - BHO: Router Layer - {5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} - C:\WINNT\System32\aclayer.dll O2 - BHO: BDHlprObj Class - {CA92B524-BC8A-4610-BD2C-6BD3E28155D0} - C:\WINNT\DOWNLO~1\BDHelper.dll O2 - BHO: YiSou - {EF1D17A9-089F-40cc-8D64-7324CDEBA0DB} - C:\PROGRA~1\YiSou\yisoub.dll O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - IE工具栏增项: 一搜工具条 - {115F6E46-FCBC-41ed-B3B5-3BDDD4AAB5E5} - C:\Program Files\YiSou\yisou.dll O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - d:\Kingsoft\FastAIT\IEBand.dll O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon O4 - 启动项HKLM\\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - 启动项HKLM\\Run: [BIE] Rundll32 C:\WINNT\DOWNLO~1\BDPlugin.dll,Rundll32 O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - 启动项HKLM\\Run: [helper.dll] C:\WINNT\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32 O4 - 启动项HKLM\\Run: [StormCodec_Helper] "d:\Ringz Studio\Storm Codec\StormSet.exe" /S /opti O4 - 启动项HKLM\\Run: [MINI_BFYY] D:\Ringz Studio\Storm Downloader\StormDownloader.exe O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE O8 - IE右键菜单中的新增项目: !搜一搜(&S) - res://C:\Program Files\YiSou\yisou.dll/232 O8 - IE右键菜单中的新增项目: &使用暴风下载器下载 - D:\Ringz Studio\Storm Downloader\geturl.htm O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://D:\MICROS~1\Office10\EXCEL.EXE/3000 O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - D:\BitSpirit\bsurl.htm O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - 浏览器额外的按钮: 易趣购物 - {EE60714F-AC19-427e-861A-FD60ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing) O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {EE60714F-AC19-427e-861A-FD60ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=1 (file missing) O17 - HKLM\System\CCS\Services\Tcpip\..\{3A5FE23B-67B5-454E-AE66-689E456CFCD2}: NameServer = 210.42.160.59 O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe 2005-07-27 00:01:02
土木公初生襁褓狮帖子:4 注册: 2005-07-25 来自:	分享到：

命运里の金色社区嘉宾帖子:11442 注册: 2005-01-01 来自:	发表于： 2005-07-26 13:02 \| 短消息资料字号：小中大 2楼 1.打开CMD,输入 attrib -r D:\autorun.inf attrib -r E:\autorun.inf attrib -r F:\autorun.inf del D:\autorun.inf del E:\autorun.inf del F:\autorun.inf 2.运行输入regedit HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints \D 在左边窗口找到Shell并删除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints \E 在左边窗口找到Shell并删除 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints \F 在左边窗口找到Shell并删除
命运里の金色社区嘉宾帖子:11442 注册: 2005-01-01 来自:

命运里の金色社区嘉宾帖子:11442 注册: 2005-01-01 来自:	发表于： 2005-07-26 13:03 \| 短消息资料字号：小中大 3楼先，打开任务管理器，停止非法进程，可能的非法进程包括ntdllf.exe、netcompt.exe、comptnt.exe和ptsnopt.exe。其次，更改注册表设置，具体为：开始－》运行－》regedit进入注册表，在HKEL_LOCAL_MACHINE\software\microsoft\windows\currentVersion\Run项目中，删除系统启动时加载的非法项目，可能的项为：Cmpnt（名称）/REG_SZ（类型）/c:\windows\driver.com（键值），或者其他名称的非法项目。同时查找RunOnce、RunService等currentVersion目录下名字含Run的目录，检查是否有非法键值，如shell（名称）、mainsv.exe（键值）。接着，检查HKEL_LOCAL_MACHINE\SYSTEM\controlSetool\control\Session Manager项目，删除非法项，如PendingFileRenameOperations（名称）/REG_MULTI_SZ（类型）/"\??\c:\windows\system\loadms.exe"（键值）。再次，删除c:\windows\system\目录下的病毒执行文件，所遇到的文件名称有：ntdllf.exe、mainsv.exe、netcompt.exe、netcomptnt.exe、ptsnopt.exe、loadms.exe和loadmsnt.exe，一般为.exe文件，能够比较明显的分辩出来。（因为此目录文件多为.dll形式）最后，在dos环境下删除各盘符下的autorun.inf和Iexplores.exe文件，具体命令为： D:\>attrib autorun.inf -s -h -r (去掉该文件的系统、隐藏、只读属性) D:\>del autorun.inf D:\>attrib Iexplores.exe -s -h -r D:\>del Iexplores.exe D:\>dir /a （查看目录下所有文件，此时将看不到以上两个文件了！^_^）
命运里の金色社区嘉宾帖子:11442 注册: 2005-01-01 来自:

bobo无极限初生襁褓狮帖子:12325 注册: 2005-07-08 来自:	发表于： 2005-07-26 13:09 \| 短消息资料字号：小中大 4楼顶
bobo无极限初生襁褓狮帖子:12325 注册: 2005-07-08 来自:

土木公初生襁褓狮帖子:4 注册: 2005-07-25 来自:	发表于： 2005-07-26 22:36 \| 只看楼主短消息资料字号：小中大 5楼【回复“命运里の金色”的帖子】按照你的方法作后，当时问题解决了，但重启后问题依旧，请大虾指点。
土木公初生襁褓狮帖子:4 注册: 2005-07-25 来自:

土木公初生襁褓狮帖子:4 注册: 2005-07-25 来自:	发表于： 2005-07-26 22:42 \| 只看楼主短消息资料字号：小中大 6楼【回复“命运里の金色”的帖子】在进程和注册表里均未发现你所说的非法进程及非法项目。何故？大虾。
土木公初生襁褓狮帖子:4 注册: 2005-07-25 来自:

现在进行时锋芒艾服狮帖子:1837 注册: 2005-06-24 来自:	发表于： 2005-07-26 22:47 \| 短消息资料字号：小中大 7楼不会是在系统还原里或者回收站里有备份吧.
现在进行时锋芒艾服狮帖子:1837 注册: 2005-06-24 来自:

bobo无极限初生襁褓狮帖子:12325 注册: 2005-07-08 来自:	发表于： 2005-07-27 00:01 \| 短消息资料字号：小中大 8楼关注
bobo无极限初生襁褓狮帖子:12325 注册: 2005-07-08 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT