瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 急,公司电脑IE被劫持了,瑞星杀不了,怎么办?(附日志)【求助】

1   1  /  1  页   跳转

急,公司电脑IE被劫持了,瑞星杀不了,怎么办?(附日志)【求助】

收藏
兰兰乐乐
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2006-08-28
  • 来自:
发表于: 2006-08-28 18:26 | 只看楼主 短消息 资料
字号: 1楼

急,公司电脑IE被劫持了,瑞星杀不了,怎么办?(附日志)【求助】

请各位高手帮帮忙,公司电脑最近老弹出www.53900.cn、www.8gu.com香港佛家六合彩网页,我是新手,照着网上讲的安装了HijackThis v1.99.1导出了日志,我看不懂,请大家分析一下,我该怎么清除病毒?

谢谢啦!


Logfile of HijackThis v1.99.1
Scan saved at 17:52:52, on 2006-8-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Program Files\Microsoft SQL Server\MSSQL\Binn\sqlagent.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rising\Rav\Rav.exe
H:\AUTOCHS.EXE
C:\Program Files\Rising\KakaToolBar\Rsaupd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\macromed\flash\GetFlash.exe
C:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
F:\hijackthis_16091\HijackThis.exe

O1 - Hosts: 58.215.76.61 hao123.com
O1 - Hosts: 58.215.76.61 www.hao123.com
O1 - Hosts: 58.215.76.61 google.com
O1 - Hosts: 58.215.76.61 www.google.com
O1 - Hosts: 58.215.76.61 baidu.com
O1 - Hosts: 58.215.76.61 www.baidu.com
O1 - Hosts: 58.215.76.61 31235.com
O1 - Hosts: 58.215.76.61 www.31235.com
O1 - Hosts: 58.215.76.61 31236.com
O1 - Hosts: 58.215.76.61 www.31236.com
O1 - Hosts: 58.215.76.61 655522.net
O1 - Hosts: 58.215.76.61 www.655522.net
O1 - Hosts: 58.215.76.61 65522.cc
O1 - Hosts: 58.215.76.61 www.65522.cc
O1 - Hosts: 58.215.76.61 t8898.com
O1 - Hosts: 58.215.76.61 www.t8898.com
O1 - Hosts: 58.215.76.61 80268.com
O1 - Hosts: 58.215.76.61 www.80268.com
O1 - Hosts: 58.215.76.61 007lhc.com
O1 - Hosts: 58.215.76.61 www.007lhc.com
O1 - Hosts: 58.215.76.61 345u.com
O1 - Hosts: 58.215.76.61 www.345u.com
O1 - Hosts: 58.215.76.61 345u.com
O1 - Hosts: 58.215.76.61 www.345u.com
O1 - Hosts: 58.215.76.61 hk123456.com
O1 - Hosts: 58.215.76.61 www.hk123456.com
O1 - Hosts: 58.215.76.61 29100.com
O1 - Hosts: 58.215.76.61 www.29100.com
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: (no name) - {726B5D86-D8BA-4E58-87DE-88BCB627C941} - C:\WINDOWS\DOWNLO~1\fffkkkcm.dll
O2 - BHO: IEHlprObj Class - {EE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\INTERN~1\HMAPI.dll (file missing)
O2 - BHO: Microsoft Internet Explorer - {EE7C3CF0-4B15-11D1-ABED-709549C10001} - C:\PROGRA~1\INTERN~1\CONNEC~1\iccon.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [helper32.exe] ; helper32.exe
O4 - HKLM\..\Run: [3721] ; C:\WINDOWS\MSMNSGER.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://cge.hn.chinavnet.com/plugin/PowerPlr.ocx
O16 - DPF: {87CCFDB0-C4BE-4BC2-A78C-9EAA7CF96667} (pcastup Class) - http://ps.itv.mop.com/dn/files/vodupdate_1.0.0.9_20060425.cab
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://cache10.itv.mop.com/pCastCtl-1.0.0.88_signed.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD8D365F-19DC-47BF-BBFA-6427B7E2B629}: NameServer = 218.76.248.6
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Kingsoft Personal Firewall Service (KPfwSvc) - Unknown owner - C:\KAV2005\KPfwSvc.EXE (file missing)

最后编辑2006-08-29 09:46:31
分享到:
gototop
 
westbeck
头像
初生襁褓狮
  • 帖子:3572
  • 注册: 2006-07-27
  • 来自:
发表于: 2006-08-28 18:38 | 短消息 资料
字号: 2楼

重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows
请修复:
O1 - Hosts: 58.215.76.61 hao123.com
O1 - Hosts: 58.215.76.61 www.hao123.com
O1 - Hosts: 58.215.76.61 google.com
O1 - Hosts: 58.215.76.61 www.google.com
O1 - Hosts: 58.215.76.61 baidu.com
O1 - Hosts: 58.215.76.61 www.baidu.com
O1 - Hosts: 58.215.76.61 31235.com
O1 - Hosts: 58.215.76.61 www.31235.com
O1 - Hosts: 58.215.76.61 31236.com
O1 - Hosts: 58.215.76.61 www.31236.com
O1 - Hosts: 58.215.76.61 655522.net
O1 - Hosts: 58.215.76.61 www.655522.net
O1 - Hosts: 58.215.76.61 65522.cc
O1 - Hosts: 58.215.76.61 www.65522.cc
O1 - Hosts: 58.215.76.61 t8898.com
O1 - Hosts: 58.215.76.61 www.t8898.com
O1 - Hosts: 58.215.76.61 80268.com
O1 - Hosts: 58.215.76.61 www.80268.com
O1 - Hosts: 58.215.76.61 007lhc.com
O1 - Hosts: 58.215.76.61 www.007lhc.com
O1 - Hosts: 58.215.76.61 345u.com
O1 - Hosts: 58.215.76.61 www.345u.com
O1 - Hosts: 58.215.76.61 345u.com
O1 - Hosts: 58.215.76.61 www.345u.com
O1 - Hosts: 58.215.76.61 hk123456.com
O1 - Hosts: 58.215.76.61 www.hk123456.com
O1 - Hosts: 58.215.76.61 29100.com
O1 - Hosts: 58.215.76.61 www.29100.com
O2 - BHO: (no name) - {726B5D86-D8BA-4E58-87DE-88BCB627C941} - C:\WINDOWS\DOWNLO~1\fffkkkcm.dll
O2 - BHO: IEHlprObj Class - {EE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\PROGRA~1\INTERN~1\HMAPI.dll (file missing)
O2 - BHO: Microsoft Internet Explorer - {EE7C3CF0-4B15-11D1-ABED-709549C10001} - C:\PROGRA~1\INTERN~1\CONNEC~1\iccon.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [helper32.exe] ; helper32.exe
O4 - HKLM\..\Run: [3721] ; C:\WINDOWS\MSMNSGER.EXE
删除:
C:\WINDOWS\DOWNLO~1\fffkkkcm.dll
C:\PROGRA~1\INTERN~1\CONNEC~1\iccon.dll
helper32.exe
C:\WINDOWS\MSMNSGER.EXE
gototop
 
westbeck
头像
初生襁褓狮
  • 帖子:3572
  • 注册: 2006-07-27
  • 来自:
发表于: 2006-08-28 18:39 | 短消息 资料
字号: 3楼

如果问题没解决,请下载 System Repair Engineer,使用“智能扫描”,按下“扫描”按钮进行扫描,扫描完成后按下“保存报告”按钮保存报告日志文件(SREng.LOG),把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
日志一次粘不完,分次粘完,请不要修改。谢谢...
gototop
 
兰兰乐乐
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2006-08-28
  • 来自:
发表于: 2006-08-28 19:03 | 只看楼主 短消息 资料
字号: 4楼

谢谢westbeck大侠,小女子感激不尽。明早一上班我就照你说的做。

可是要怎么修复?要用什么软件不?直接用HijackThis v1.99.1
(我下载的是英文版)修复吗?
删除是直接找着目录下的文件就删除吗?
gototop
 
westbeck
头像
初生襁褓狮
  • 帖子:3572
  • 注册: 2006-07-27
  • 来自:
发表于: 2006-08-28 19:20 | 短消息 资料
字号: 5楼

引用:
【兰兰乐乐的贴子】谢谢westbeck大侠,小女子感激不尽。明早一上班我就照你说的做。

可是要怎么修复?要用什么软件不?直接用HijackThis v1.99.1
(我下载的是英文版)修复吗?
删除是直接找着目录下的文件就删除吗?


………………

对,直接用HJ修复
删除是直接找着目录下的文件就删除吗?对
gototop
 
兰兰乐乐
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2006-08-28
  • 来自:
发表于: 2006-08-28 19:34 | 只看楼主 短消息 资料
字号: 6楼

好像找不到修复这个选项呀,这里怎么不能插图片的呀,你的QQ多少?我发张图片给你,你教我按哪个键修复?可以吗?
gototop
 
兰兰乐乐
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2006-08-28
  • 来自:
发表于: 2006-08-28 19:35 | 只看楼主 短消息 资料
字号: 7楼

我QQ250175484
gototop
 
兰兰乐乐
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2006-08-28
  • 来自:
发表于: 2006-08-29 09:54 | 只看楼主 短消息 资料
字号: 8楼

【回复“westbeck”的帖子】

谢谢你,我照你讲的把日志里的内容修复之后就OK了。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT