系统显示spyware，用Hijackthis扫描，请大家帮忙分析！ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛系统显示spyware，用Hijackthis扫描，请大家帮忙分析！

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

系统显示spyware，用Hijackthis扫描，请大家帮忙分析！

傻菇初生襁褓狮帖子:41 注册: 2001-09-01 来自:	发表于： 2005-10-19 13:04 \| 只看楼主短消息资料字号：小中大 1楼系统显示spyware，用Hijackthis扫描，请大家帮忙分析！用realone player下了几个面板，然后系统就显示中spyware奖了，瑞星扫不到，只好请大家帮忙看看了，谢谢！ HijackThis_815汉化版扫描日志 V1.99.1 保存于 12:51:31, 日期 2005-10-19 操作系统： Windows XP SP2, v.2096 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 (6.00.2900.2096) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\drivers\WDelMgr20.exe C:\Program Files\Rising\Rfw\rfwmain.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Rising\Rfw\rfwsrv.exe C:\WINDOWS\system32\conime.exe C:\PROGRAM FILES\RISING\RAV\Ravmond.exe c:\program files\rising\rav\RAVMON.EXE C:\Program Files\Common Files\Real\Update_OB\rnathchk.exe g:\Ringz Studio\Storm Downloader\StormDownloader.exe G:\Tencent\tt\TTraveler.exe C:\WINDOWS\explorer.exe G:\Real\RealOne Player\realplay.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe F:\b\瑞星\KillBox V2.0.0.17 汉化版HijackThis 1.99.1\HijackThis1991zww.exe R3 - 默认的URLSearchHook丢失。用HijackThis修复 O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v4.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - G:\Tencent\qq\QQIEHelper.dll O2 - BHO: MEobjectSDT - {D4D5C535-BA95-4327-870D-A33826FDD17A} - C:\WINDOWS\system32\obwbkya.dll O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - G:\FlashGet\fgiebar.dll O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - G:\Kingsoft\FastAIT 2005\IEBand.dll O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - g:\BitComet\BitCometBar\BitCometBar0.1.dll O3 - IE工具栏增项: (no name) - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - (no file) O3 - IE工具栏增项: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - 启动项HKLM\\Run: [MINI_BFYY] g:\Ringz Studio\Storm Downloader\StormDownloader.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - IE右键菜单中的新增项目: &使用暴风下载器下载 - g:\Ringz Studio\Storm Downloader\geturl.htm O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - G:\Tencent\qq\AddToNetDisk.htm O8 - IE右键菜单中的新增项目: 使用网际快车下载 - G:\FlashGet\jc_link.htm O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - G:\FlashGet\jc_all.htm O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://G:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - G:\Tencent\qq\AddPanel.htm O8 - IE右键菜单中的新增项目: 添加到QQ表情 - G:\Tencent\qq\AddEmotion.htm O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - G:\Tencent\qq\SendMMS.htm O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - G:\Tencent\qq\QQ.EXE O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - G:\Tencent\qq\QQ.EXE O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - G:\Tencent\qq\QQIEHelper.dll O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - G:\Tencent\qq\QQIEHelper.dll O11 - Options group: [TBH] QQ地址栏搜索插件 O16 - DPF: {1F831FA1-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://G:\AutoCAD 2002\InstFred.ocx O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday 控件) - file://G:\AutoCAD 2002\AcDcToday.ocx O16 - DPF: {AC3A36A8-9BFF-410A-A33D-2279FFEB69D2} (QQPlayer Control) - http://219.133.62.248/QQPlayer.cab O16 - DPF: {AE563722-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://G:\AutoCAD 2002\InstBanr.ocx O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview 控件) - file://G:\AutoCAD 2002\AcPreview.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{2A7E5540-B919-423D-8CB1-5A655AC01A5F}: NameServer = 85.255.113.147,85.255.112.23 O17 - HKLM\System\CCS\Services\Tcpip\..\{A01DD2AF-B4E2-4869-ADE2-CB394630CE90}: NameServer = 85.255.113.147,85.255.112.23 O17 - HKLM\System\CCS\Services\Tcpip\..\{E962BB15-EEC8-4754-801C-3DDE9F5980FF}: NameServer = 85.255.113.147 85.255.112.23 O23 - NT 服务: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - NT 服务: NVIDIA Display Driver Service (Omega 1.6693) (Q) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - C:\Program Files\Rising\Rfw\rfwsrv.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe O23 - NT 服务: SDAgent Service (SDAgentService) - Unknown owner - C:\Program Files\Common Files\smartde\sde.exe (file missing) O23 - NT 服务: WDelMgr20 - Unknown owner - C:\WINDOWS\system32\drivers\WDelMgr20.exe 2005-10-19 14:25:34
傻菇初生襁褓狮帖子:41 注册: 2001-09-01 来自:	分享到：

傻菇初生襁褓狮帖子:41 注册: 2001-09-01 来自:	发表于： 2005-10-19 13:07 \| 只看楼主短消息资料字号：小中大 2楼 R3 - 默认的URLSearchHook丢失。用HijackThis修复这项可以先自己修复吗？
傻菇初生襁褓狮帖子:41 注册: 2001-09-01 来自:

飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:	发表于： 2005-10-19 13:19 \| 短消息资料字号：小中大 3楼请关闭所有IE界面，重新使用HijackThis扫描一次，选中下面建议修复的项目，让HijackThis修复，修复前请允许HijackThis保留备份。（如果楼主知道是安全的可以不必勾选） R3 - 默认的URLSearchHook丢失。用HijackThis修复 O2 - BHO: MEobjectSDT - {D4D5C535-BA95-4327-870D-A33826FDD17A} - C:\WINDOWS\system32\obwbkya.dll O3 - IE工具栏增项: (no name) - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - (no file) O3 - IE工具栏增项: (no name) - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file) 然后打开我的电脑→再点工具→打开文件夹选项→查看→把隐藏受保护的系统文件（推荐）和隐藏已知文件类型的扩展名的勾去掉→再显示所有文件→找到以下文件并删除： C:\WINDOWS\system32\obwbkya.dll
飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:

傻菇初生襁褓狮帖子:41 注册: 2001-09-01 来自:	发表于： 2005-10-19 13:39 \| 只看楼主短消息资料字号：小中大 4楼已用Hijackthis修复所教四项，但在显示隐藏状态下，找不到obwbkya.dll文件，整个C盘中都找不到，请问这样是否已经修复呢？
傻菇初生襁褓狮帖子:41 注册: 2001-09-01 来自:

傻菇初生襁褓狮帖子:41 注册: 2001-09-01 来自:	发表于： 2005-10-19 13:40 \| 只看楼主短消息资料字号：小中大 5楼机器重启后，扫描结果如下： HijackThis_815汉化版扫描日志 V1.99.1 保存于 13:27:26, 日期 2005-10-19 操作系统： Windows XP SP2, v.2096 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 (6.00.2900.2096) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\PROGRAM FILES\RISING\RAV\Ravmond.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE C:\PROGRA~1\RISING\RAV\RAVMON.EXE G:\Ringz Studio\Storm Downloader\StormDownloader.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\drivers\WDelMgr20.exe G:\Ringz Studio\Storm Downloader\TDUpdate.exe C:\Program Files\Rising\Rfw\rfwmain.exe C:\Program Files\Rising\Rfw\rfwsrv.exe C:\WINDOWS\system32\wuauclt.exe F:\b\瑞星\KillBox V2.0.0.17 汉化版HijackThis 1.99.1\HijackThis1991zww.exe O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v4.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - G:\Tencent\qq\QQIEHelper.dll O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - G:\FlashGet\fgiebar.dll O3 - IE工具栏增项: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - G:\Kingsoft\FastAIT 2005\IEBand.dll O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - g:\BitComet\BitCometBar\BitCometBar0.1.dll O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - 启动项HKLM\\Run: [MINI_BFYY] G:\Ringz Studio\Storm Downloader\StormDownloader.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - IE右键菜单中的新增项目: &使用暴风下载器下载 - G:\Ringz Studio\Storm Downloader\geturl.htm O8 - IE右键菜单中的新增项目: 使用网际快车下载 - G:\FlashGet\jc_link.htm O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - G:\FlashGet\jc_all.htm O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://G:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - IE右键菜单中的新增项目: 添加到QQ表情 - G:\Tencent\qq\AddEmotion.htm O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - G:\Tencent\qq\QQ.EXE O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - G:\Tencent\qq\QQ.EXE O11 - Options group: [TBH] QQ地址栏搜索插件 O16 - DPF: {1F831FA1-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://G:\AutoCAD 2002\InstFred.ocx O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday 控件) - file://G:\AutoCAD 2002\AcDcToday.ocx O16 - DPF: {AC3A36A8-9BFF-410A-A33D-2279FFEB69D2} (QQPlayer Control) - http://219.133.62.248/QQPlayer.cab O16 - DPF: {AE563722-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://G:\AutoCAD 2002\InstBanr.ocx O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview 控件) - file://G:\AutoCAD 2002\AcPreview.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{2A7E5540-B919-423D-8CB1-5A655AC01A5F}: NameServer = 85.255.113.147,85.255.112.23 O17 - HKLM\System\CCS\Services\Tcpip\..\{A01DD2AF-B4E2-4869-ADE2-CB394630CE90}: NameServer = 85.255.113.147,85.255.112.23 O17 - HKLM\System\CCS\Services\Tcpip\..\{E962BB15-EEC8-4754-801C-3DDE9F5980FF}: NameServer = 85.255.113.147 85.255.112.23 O23 - NT 服务: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE O23 - NT 服务: NVIDIA Display Driver Service (Omega 1.6693) (Q) (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - C:\Program Files\Rising\Rfw\rfwsrv.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe O23 - NT 服务: SDAgent Service (SDAgentService) - Unknown owner - C:\Program Files\Common Files\smartde\sde.exe (file missing) O23 - NT 服务: WDelMgr20 - Unknown owner - C:\WINDOWS\system32\drivers\WDelMgr20.exe
傻菇初生襁褓狮帖子:41 注册: 2001-09-01 来自:

飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:	发表于： 2005-10-19 13:46 \| 短消息资料字号：小中大 6楼开始→控制面板→管理工具→服务→查找SDAgent Service→右击→属性→启动类型→禁止→应用→停止→确定。删除文件夹C:\Program Files\Common Files\smartde（如果有的话） Hijackthis在修复的同时会尝试删除相关的文件，日志似乎并无问题！
飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:

傻菇初生襁褓狮帖子:41 注册: 2001-09-01 来自:	发表于： 2005-10-19 13:51 \| 只看楼主短消息资料字号：小中大 7楼已禁用。对了，文件夹C:\Program Files\Common Files\smartde，这个以前有里面有个，垃圾软件叫什么忘了，也是来这里看了相关文章，通过HijackTis 修复的。接下去，还需要继续什么布骤吗？
傻菇初生襁褓狮帖子:41 注册: 2001-09-01 来自:

飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:	发表于： 2005-10-19 13:55 \| 短消息资料字号：小中大 8楼【回复“傻菇”的帖子】您的问题解决了吗？日志现在正常...
飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:

傻菇初生襁褓狮帖子:41 注册: 2001-09-01 来自:	发表于： 2005-10-19 14:10 \| 只看楼主短消息资料字号：小中大 9楼还有个问题也请教下，烦解答一下：在任务栏或桌面上点击IE图标，打开IE时，整个机器会卡住，很久后IE窗口跳动出，同时跳出以下错误窗口，选择确定或取消都会自动关闭IE，无新反应。使用多种软件修复IE（瑞星、超级兔子），或在控制面板添加减少windows选项中重装IE都无效，后来重装IE也是一样。而腾讯TT则不会这样，按理TT也是挂下IE下的程序吗，为什么会这样，我现在都是在用腾讯的TT进行网页浏览。怎么都找不到原因，单位有台机器也类似，但点击取消不会关闭页面，而且错误类型号也不太一样。谢谢！附件: 文件名:3775620051019141007.jpg 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-10-19 14:10:07 描述:
傻菇初生襁褓狮帖子:41 注册: 2001-09-01 来自:

飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:	发表于： 2005-10-19 14:19 \| 短消息资料字号：小中大 10楼请参考： ★★内存不能读写问题解决方案★★ http://forum.ikaka.com/topic.asp?board=3&artid=6401677
飞跃迷离社区嘉宾帖子:7351 注册: 2004-10-15 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT