单位一台机的出现以下现象
1.ie有一些选项被锁定改不了
2.主页也被改成了vod.70jh.com这个网页,也不能改
3.同时注册表也被禁用了.
4.而且在浏览的时候每隔一段时间都会自己打开这个网站.

通过工具修复了ie,前三个现象消失.但第4种现象依然如故.
用hijackthis扫了下,但日志我当时忘了保存下来了.要下星期上班才能发上来.

因为这部机上装了一些服务器端的程序,所以我也不好判断到底哪个是病毒,怕删错了影响了服务器的正常运作.

我抄下了些可疑的文件名,各位如有遇过相同现象教下我解决方法.
如没有人碰过或不知怎么解决,下星期我再发hijackthis日志跟可疑程序上来,希望高手分析下,谢谢.

PS.本来我想在自己的机上以身试毒看看vod.70jh.com这个恶意网站到底是怎么感染的,再研究下的,没想到访问了几次都没有中招的现象,真是郁闷.

建议您用System Repair Engineer扫描一个日志到上班后贴上来

下载地址见置顶贴
[必读]本版说明及常用小软件下载
http://forum.ikaka.com/topic.asp?board=67&artid=5188931

谢谢版主大人.星期一我就发上来.
另如果有其它朋友遇过这种问题并成功解决的话,盼共享经验.
谢谢.

引用:

【newoxm的贴子】谢谢版主大人.星期一我就发上来. 另如果有其它朋友遇过这种问题并成功解决的话,盼共享经验. 谢谢. ...........................

由于木马会变种，所以还是希望楼主尽快贴上日志……期待与您的下次交流。

连用了n个工具,终于搞掂了.机上除了木马外,还有恶意程序.

首先发一发经过上周初步诊断得出的日志

HijackThis_815汉化版扫描日志 V1.99.1
保存于      15:53:29, 日期 2006-02-28
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2600.0000)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe 
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\PROGRA~1\INTERB~1\Bin\IBGuard.EXE
C:\Program Files\Microsoft SQL Server\MSSQL$CXDY3\Binn\sqlservr.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~2\VPTray.exe
C:\Program Files\UNION Technology\优益桌面安全套件 V2.5.04（Siemens版本）\eKeyDaemon.exe
C:\WINDOWS\System32\service.exe  //可疑
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\southtalent\sasweb\量化考核管理服务器.exe
C:\PROGRA~1\INTERB~1\Bin\ibserver.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\SecuritySuite.exe
C:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe

O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O4 - 启动项HKLM\\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - 启动项HKLM\\Run: [vptray] C:\PROGRA~1\SYMANT~2\VPTray.exe
O4 - 启动项HKLM\\Run: [eKeyDaemon] "C:\Program Files\UNION Technology\优益桌面安全套件 V2.5.04（Siemens版本）\eKeyDaemon.exe"
O4 - 启动项HKLM\\Run: [SwService] service.exe  //可疑
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: 服务管理器.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: 2005新交规驾驶员理论考试系统(全国通用版).lnk = ?
O4 - Global Startup: 启动服务器.lnk = ?
O4 - Global Startup: HP Image Zone 快速启动 .lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - 添加的受信任的 IP 地址范围: http://egat.laho.gov.cn
O15 - 添加的受信任的 IP 地址范围: 172.30.242.62
O15 - 添加的受信任的 IP 地址范围: http://172.30.242.62
O16 - DPF: {00134F72-5284-44F7-95A8-52A619F70751} (ObjWinNTCheck Class) - http://172.30.242.53/officescan/ClientInstall/WinNTChk.cab
O16 - DPF: {08D75BB0-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupIniCtrl Class) - http://172.30.242.53/officescan/clientinstall/setupini.cab
O16 - DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment SetupCtrl Class) - http://172.30.242.53/officescan/clientinstall/setup.cab
O16 - DPF: {25069B4A-2C99-45DB-BB0E-967C02466656} (SdoFile.FrmControl) - http://172.30.242.62/kwoa/flow/SdoFile.CAB
O16 - DPF: {5EFE8CB1-D095-11D1-88FC-0080C859833B} (OfficeScan Corp Edition Web-Deployment ObjRemoveCtrl Class) - http://172.30.242.53/officescan/clientinstall/RemoveCtrl.cab
O16 - DPF: {AB10EB91-C2F1-48E9-BD06-8B4987A32A62} (ScanOcrX Object) - http://172.30.242.62/kwoa/flow/hotocr.cab
O16 - DPF: {B50298C0-84B2-487F-906B-F11714F15AE2} (FSControlX Control) - http://172.30.242.62/kwoa/flow/HttpFS.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6BD1E24-16A9-447D-93D6-A8FFBD3E6625}: NameServer = 172.16.22.3,172.16.1.1
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - NT 服务: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - NT 服务: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - NT 服务: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - NT 服务: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\INTERB~1\Bin\IBGuard.EXE
O23 - NT 服务: InterBaseServer - Inprise Corporation - C:\PROGRA~1\INTERB~1\Bin\ibserver.exe
O23 - NT 服务: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - NT 服务: System Internet Service (msinetsvr) - Unknown owner - C:\WINDOWS\System32\inetesvr.exe  //可疑
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - NT 服务: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - NT 服务: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

一开始还有个G_server 1.2.exe的启动项,是灰鸽子,被我用专杀工具干掉了.

初步怀疑
1.名为service.exe的启动项,因为正常的系统进程是services.exe 
2.名为inetesvr.exe的服务 ,一般上我对注明为Unknown owner 的服务都特别留意,连名字都不敢留,估计不是什么好货色

【回复“newoxm”的帖子】



请楼主使用下面的两个多引擎扫描器扫描下列文件：
service.exe
C:\WINDOWS\System32\inetesvr.exe
多引擎扫描之Virustotal：

http://www.virustotal.com/
多引擎扫描之Jotti：

http://virusscan.jotti.org/


请务必将报告贴全。

1.用upiea恢复被锁定主页及一些选项的ie及被禁用的注册表
2.用其它一些杀马程序又杀掉了其它一些不关事的木马.
3.用regedit指令打开注册表编辑器,搜索70jh,删掉所有跟vod.70jh.com有关的键值

用hijack this修复那两个可疑程序(因为知道了hijack this有自动备份的功能,放心了)

在以为就快搞掂的时候,发现又自动打开了那个该死的网站!

然后再打开hijackthis,发现修得的那两项又回来了!同时又运行了次upiea,发现ie选项跟注册表又同时被锁定了.主页跟搜索什么的全指向了vod.70jh.com

晕,刚才白干了这么多事.

发狠,根据hijackthis提示的路径删掉那两个程序,然后再重复了刚才的动作.也是无效.删了又回来了.

突然想起这些事应该在安全模式下做.
重启至安全模式,重复了下刚才的动作.
重启,搞掂.

所以下次杀毒还是在安全模式吧.

谢谢天使之剑,飞跃迷离.

呵呵,我去下载你们所说的工具备用.
省得手工删这么麻烦.