请高手帮我分析HijackThis日志 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛请高手帮我分析HijackThis日志

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

请高手帮我分析HijackThis日志

tmyu 初生襁褓狮帖子:3 注册: 2005-10-14 来自:	发表于： 2005-10-14 19:59 \| 只看楼主短消息资料字号：小中大 1楼请高手帮我分析HijackThis日志我中了Backdoor.GPigeon.up病毒,无法清除.请高手帮忙怎样清除.现谢谢了. Logfile of HijackThis v1.99.1 Scan saved at 18:58:42, on 2005-10-14 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe D:\系统安全\瑞星2005\RAV\Ravmond.exe D:\系统安全\瑞星2005\RAV\RavStub.exe C:\WINDOWS\system32\spoolsv.exe D:\网络工具\cfosspeed-v211-build1032\spd.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\oodag.exe D:\系统安全\瑞星2005\RAV\CCENTER.EXE D:\System Safety Monitor V2.0.0.548β1 汉化版\System Safety Monitor\SSMService.exe C:\WINDOWS\system32\svchost.exe D:\System Safety Monitor V2.0.0.548β1 汉化版\System Safety Monitor\sysSafe.exe C:\WINDOWS\Explorer.EXE D:\系统安全\瑞星2005\RAV\RAVTIMER.EXE D:\系统安全\瑞星2005\RAV\RAVMON.EXE C:\WINDOWS\SOUNDMAN.EXE D:\网络工具\cfosspeed-v211-build1032\cFosSpeed.exe D:\系统安全\木马克星\Iparmor.exe D:\我的工具箱\MyToolBox.exe C:\WINDOWS\system32\ctfmon.exe D:\系统安全\卡巴防火墙1.8.180\Kaspersky Anti-Hacker\KAVPF.exe D:\压缩工具\临时解压缩文件夹\Rar$EX00.437\HijackThis1.99.1\HijackThis.exe O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: Shockwave Flash Objects - {1002C84D-A326-2D3C-13F3-2C2474392A91} - C:\WINDOWS\system32\msfzb.dll O2 - BHO: ACA Capture - {93C69D87-A11D-4FFC-BC56-BE7EE0D235BA} - D:\图形图像\超级屏捕专业版\SuperCapturePro\scap003p.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Program Files\TGTSoft\StyleXP\TGT_BHO.dll O3 - Toolbar: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - D:\字典翻译\金山快译2006\IEBand.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [RavTimer] D:\系统安全\瑞星2005\RAV\RAVTIMER.EXE O4 - HKLM\..\Run: [RavMon] D:\系统安全\瑞星2005\RAV\RAVMON.EXE -SYSTEM O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [cFosSpeed] D:\网络工具\cfosspeed-v211-build1032\cFosSpeed.exe O4 - HKLM\..\Run: [iparmor] D:\系统安全\木马克星\Iparmor.exe mini O4 - HKLM\..\Run: [MyToolBox] D:\我的工具箱\MyToolBox.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Kaspersky Anti-Hacker.lnk = ? O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &使用迅雷下载 - D:\网络工具\迅雷 5\Thunder\geturl.htm O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\网络工具\迅雷 5\Thunder\getAllurl.htm O8 - Extra context menu item: Google 搜索(&G) - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: 反向链接 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://D:\办公理财\OFFICE~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: 添加到QQ自定义面板 - D:\网络工具\QQ\AddPanel.htm O8 - Extra context menu item: 添加到QQ表情 - D:\网络工具\QQ\AddEmotion.htm O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\网络工具\QQ\SendMMS.htm O8 - Extra context menu item: 类似网页 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: 缓存的网页快照 - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: 翻译英文字词(&T) - res://C:\Program Files\Google\GoogleToolbar1.dll/cmwordtrans.html O9 - Extra button: 任远文件夹 - {0713E8D2-850A-101B-AFC0-4210102A8DA7} - H:\任远文件夹\RenYuannote.exe O9 - Extra button: 启动超级屏捕专业版 - {905A31AA-BDD1-44bd-9920-53D34E5953A4} - D:\图形图像\超级屏捕专业版\SuperCapturePro\SCapPro.exe O9 - Extra button: (no name) - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - D:\图形图像\超级屏捕专业版\SuperCapturePro\SCapPro.exe O9 - Extra 'Tools' menuitem: 启动超级屏捕专业版 - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - D:\图形图像\超级屏捕专业版\SuperCapturePro\SCapPro.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra button: 访问瑞星网站 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E444} - http://www.rising.com.cn (file missing) O9 - Extra button: 访问卡卡社区 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E445} - http://www.ikaka.com (file missing) O17 - HKLM\System\CCS\Services\Tcpip\..\{0CC380DA-676B-4236-9E7C-9668F1A7CE4E}: NameServer = 202.100.192.68,202.100.199.8 O17 - HKLM\System\CS1\Services\Tcpip\..\{0CC380DA-676B-4236-9E7C-9668F1A7CE4E}: NameServer = 202.100.192.68,202.100.199.8 O17 - HKLM\System\CS2\Services\Tcpip\..\{0CC380DA-676B-4236-9E7C-9668F1A7CE4E}: NameServer = 202.100.192.68,202.100.199.8 O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll O20 - AppInit_DLLs: apihookdll.dll O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll O20 - Winlogon Notify: System Safety Monitor - C:\WINDOWS\SYSTEM32\SSMWinlogonEx.dll O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\网络工具\cfosspeed-v211-build1032\spd.exe" -service (file missing) O23 - Service: Windows Internet/Server (Internet) - Unknown owner - C:\WINDOWS\system32\RavExt\winlogo.exe O23 - Service: Machine Debug Manager (MDM) - Unknown owner - (no file) O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: Rising Process Communication Center (RsCCenter) - rising - D:\系统安全\瑞星2005\RAV\CCENTER.EXE O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\系统安全\瑞星2005\RAV\Ravmond.exe O23 - Service: System Safety Monitor (SSM) - Unknown owner - D:\System Safety Monitor V2.0.0.548β1 汉化版\System Safety Monitor\SSMService.exe (file missing) O23 - Service: StyleXPService - Unknown owner - C:\Program Files\TGTSoft\StyleXP\StyleXPService.exe 2005-10-15 23:38:03
tmyu 初生襁褓狮帖子:3 注册: 2005-10-14 来自:	分享到：

飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:	发表于： 2005-10-14 20:20 \| 短消息资料字号：小中大 2楼重新启动到安全模式（进入安全模式的方法:重新启动电脑, 开机自动检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式(Safe Mode)进入Windows。）请关闭所有IE界面，重新使用HijackThis扫描一次，选中下面建议修复的项目，让HijackThis修复，修复前请允许HijackThis保留备份。（如果楼主知道是安全的可以不必勾选） O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file) O2 - BHO: Shockwave Flash Objects - {1002C84D-A326-2D3C-13F3-2C2474392A91} - C:\WINDOWS\system32\msfzb.dll O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O23 - Service: Machine Debug Manager (MDM) - Unknown owner - (no file) O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINDOWS\system32\mbprot.dll O23 - Service: Windows Internet/Server (Internet) - Unknown owner - C:\WINDOWS\system32\RavExt\winlogo.exe 然后打开我的电脑→再点工具→打开文件夹选项→查看→把隐藏受保护的系统文件（推荐）和隐藏已知文件类型的扩展名的勾去掉→再显示所有文件→找到以下文件并删除： C:\WINDOWS\system32\msfzb.dll C:\WINDOWS\system32\mbprot.dll 请楼主提供一下杀毒日志...
飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:

tmyu 初生襁褓狮帖子:3 注册: 2005-10-14 来自:	发表于： 2005-10-14 20:42 \| 只看楼主短消息资料字号：小中大 3楼谢谢1楼的. Backdoor.GPigeon.up病毒 2005-10-06 20:02:29 手动扫描 0 0\16046 2005-10-06 20:31:22 手动扫描 0 0\99923 2005-10-06 21:53:32 手动扫描 0 0\3630 2005-10-06 22:05:56 手动扫描 0 0\5426 2005-10-06 22:22:20 实时监控 1 1\ 2005-10-06 22:25:04 快捷扫描 0 0\69 2005-10-07 00:32:29 快捷扫描 0 0\111 2005-10-07 00:32:37 手动扫描 0 0\5820 2005-10-07 01:27:29 手动扫描 0 0\1324 2005-10-07 01:56:54 手动扫描 0 0\3935 2005-10-07 03:45:08 实时监控 1 1\ 2005-10-07 03:57:48 手动扫描 0 0\ 2005-10-07 10:33:48 手动扫描 0 0\814 2005-10-07 10:34:16 手动扫描 0 0\1128 2005-10-07 11:15:18 定时扫描 0 0\28769 2005-10-07 13:13:07 快捷扫描 0 0\5 2005-10-07 13:23:33 手动扫描 0 0\4273 2005-10-07 18:23:46 快捷扫描 0 0\10 2005-10-07 18:27:27 快捷扫描 0 0\218 2005-10-07 22:10:08 手动扫描 0 0\105682 2005-10-08 02:26:38 快捷扫描 0 0\27 2005-10-08 03:38:33 手动扫描 0 0\62573 2005-10-08 04:14:02 手动扫描 0 0\ 2005-10-08 10:19:36 快捷扫描 0 0\28 2005-10-08 10:27:54 手动扫描 0 0\28144 2005-10-08 10:35:33 手动扫描 0 0\1050 2005-10-08 10:41:38 实时监控 1 0\ 2005-10-08 10:49:08 实时监控 1 0\ 2005-10-08 10:49:34 快捷扫描 0 0\595 2005-10-08 11:15:13 定时扫描 0 0\4084944 2005-10-08 14:14:43 快捷扫描 0 0\4 2005-10-08 22:10:11 快捷扫描 0 0\1 2005-10-08 23:06:56 快捷扫描 0 0\29 2005-10-08 23:45:20 快捷扫描 0 0\46 2005-10-09 01:16:31 手动扫描 0 0\6717 2005-10-09 04:20:10 手动扫描 0 0\ 2005-10-09 11:15:14 定时扫描 0 0\19617 2005-10-09 17:13:12 快捷扫描 0 0\48 2005-10-09 17:21:04 手动扫描 0 0\113567 2005-10-09 18:19:24 快捷扫描 0 0\1 2005-10-10 10:34:04 实时监控 1 0\ 2005-10-10 11:15:10 定时扫描 0 0\365 2005-10-10 12:39:10 快捷扫描 0 0\ 2005-10-10 13:30:13 快捷扫描 0 0\ 2005-10-10 22:06:47 手动扫描 0 0\54675 2005-10-10 22:25:17 快捷扫描 0 0\45 2005-10-10 23:48:23 屏幕保护 0 0\421 2005-10-11 00:23:44 快捷扫描 0 0\ 2005-10-11 00:24:10 快捷扫描 0 0\3 2005-10-11 00:51:46 快捷扫描 0 0\4 2005-10-11 00:56:38 快捷扫描 0 0\ 2005-10-11 01:23:19 快捷扫描 0 0\140 2005-10-11 01:23:35 快捷扫描 0 0\140 2005-10-11 03:14:47 快捷扫描 0 0\27 2005-10-11 03:15:23 快捷扫描 0 0\5 2005-10-11 03:16:00 快捷扫描 0 0\6 2005-10-11 03:17:02 快捷扫描 0 0\2 2005-10-11 03:17:34 快捷扫描 0 0\210 2005-10-11 05:10:58 快捷扫描 0 0\1 2005-10-11 07:53:33 快捷扫描 0 0\2 2005-10-11 15:38:14 快捷扫描 0 0\5 2005-10-11 16:54:03 手动扫描 0 0\109215 2005-10-11 17:56:54 快捷扫描 0 0\ 2005-10-11 23:33:49 快捷扫描 0 0\ 2005-10-12 01:49:07 快捷扫描 1 0\292 2005-10-12 20:36:37 快捷扫描 0 0\1 2005-10-12 21:08:50 手动扫描 0 0\111925 2005-10-13 02:15:16 快捷扫描 0 0\3 2005-10-13 02:16:02 快捷扫描 0 0\6 2005-10-13 03:03:57 快捷扫描 0 0\2 2005-10-13 08:00:32 手动扫描 0 0\110051 2005-10-14 01:59:14 手动扫描 1 1\107819 2005-10-14 03:14:26 快捷扫描 0 0\3 2005-10-14 03:18:17 手动扫描 1 1\719 2005-10-14 03:26:26 手动扫描 0 0\31739 2005-10-14 03:55:27 手动扫描 1 1\686 2005-10-14 08:18:18 手动扫描 1 1\14485 2005-10-14 08:30:21 手动扫描 1 1\760 2005-10-14 08:35:52 手动扫描 1 1\4769 2005-10-14 09:04:59 手动扫描 1 1\1471 2005-10-14 09:10:56 手动扫描 1 1\742 2005-10-14 09:43:35 手动扫描 0 0\ 2005-10-14 10:05:30 手动扫描 1 1\803 2005-10-14 10:14:19 手动扫描 0 0\2883 2005-10-14 10:16:12 手动扫描 1 1\1085 2005-10-14 13:25:12 手动扫描 0 0\1328 2005-10-14 13:27:34 手动扫描 0 0\ 2005-10-14 13:39:48 手动扫描 1 1\5756 2005-10-14 14:04:10 手动扫描 1 1\827 2005-10-14 14:07:13 手动扫描 0 0\107768 2005-10-14 18:47:20 手动扫描 1 1\6036 2005-10-14 18:50:51 手动扫描 1 1\725 2005-10-14 19:03:04 手动扫描 1 1\9842 结果发现日期扫描方式路径文件病毒来源清除成功 05-10-14 01:59 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 03:18 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 03:55 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 08:18 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 08:30 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 08:35 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 09:05 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 09:11 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 10:05 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 10:16 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 13:39 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 14:04 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 18:47 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 18:50 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机清除成功 05-10-14 19:03 手动扫描 IEXPLORE.EXE>>C:\Program Files\Internet Explorer\IEXPLORE.EXE\本机
tmyu 初生襁褓狮帖子:3 注册: 2005-10-14 来自:

tmyu 初生襁褓狮帖子:3 注册: 2005-10-14 来自:	发表于： 2005-10-14 21:19 \| 只看楼主短消息资料字号：小中大 4楼我已按照你的办法做了.就C:\WINDOWS\system32\msfzb.dll一项没找到.但重新启动用瑞星扫描后,这个病毒还存在.怎么办?
tmyu 初生襁褓狮帖子:3 注册: 2005-10-14 来自:

飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:	发表于： 2005-10-14 22:26 \| 短消息资料字号：小中大 5楼重新启动到安全模式（进入安全模式的方法:重新启动电脑, 开机自动检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式(Safe Mode)进入Windows。）开始→控制面板→性能和维护→管理工具→服务→查找Windows Internet/Server→右击→属性→启动类型→禁止→应用→停止→确定。然后打开我的电脑→再点工具→打开文件夹选项→查看→把隐藏受保护的系统文件（推荐）和隐藏已知文件类型的扩展名的勾去掉→再显示所有文件→找到以下文件并删除：（如果有的话） C:\WINDOWS\system32\RavExt\winlogo.exe
飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:

tmyu 初生襁褓狮帖子:3 注册: 2005-10-14 来自:	发表于： 2005-10-15 18:52 \| 只看楼主短消息资料字号：小中大 6楼谢谢两位版主.我试了都不能解决问题,那家伙还存在.无耐只有格式了.
tmyu 初生襁褓狮帖子:3 注册: 2005-10-14 来自:

phost 初生襁褓狮帖子:65 注册: 2005-06-18 来自:	发表于： 2005-10-15 23:38 \| 短消息资料字号：小中大 7楼下载虚拟DOS，在DOS下删除。
phost 初生襁褓狮帖子:65 注册: 2005-06-18 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT