12   1  /  2  页   跳转

Trojan.PSW.ZhengTu.xd

收藏
binsasa
头像
初生襁褓狮
  • 帖子:38
  • 注册: 2006-08-13
  • 来自:
发表于: 2006-12-12 19:50 | 只看楼主 短消息 资料
字号: 1楼

Trojan.PSW.ZhengTu.xd

就是这个病毒,杀死后还有,请问如何彻底删除?
日志如下:
Logfile of HijackThis v1.99.1
Scan saved at 19:34:37, on 2006-12-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\VnetClient1.6\VnetClient.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Rising\Rav\Rav.exe
C:\Program Files\Rising\Rav\RsLogVw.exe
D:\Downloads\程序\HijackThis\HijackThis.exe

R3 - URLSearchHook: (no name) - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - (no file)
R3 - URLSearchHook: SgUrlSearHook Class - {BAB1AC41-6FF7-4F2E-A04E-5C592CCFEA7D} - C:\WINDOWS\system32\socul.dll
F2 - REG:system.ini: UserInit=userinit.exe,
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O3 - Toolbar: Abobe Flash Play9 - {BD328E49-38AB-42CB-8EEA-73AA4CD2A6FD} - C:\Program Files\Abobe Flash Play9\Abobe Flash Player 9.dll (file missing)
O3 - Toolbar: 捜狗直通车 - {DBBB7978-AF21-4EF4-9AD1-B2F4BC75696C} - C:\Program Files\P4P\ToolBar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] ; C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [IgfxTray] ; C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [sys] C:\WINDOWS\Intel\rundll32.exe
O4 - HKLM\..\Run: [wdfmgr32.exe] C:\WINDOWS\system32\wdfmgr32.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe
O4 - HKCU\..\Run: [恢复BOOT菜单] c:\windows\BOOT-hf.exe
O4 - HKCU\..\Run: [Super Rabbit IEPro] C:\Program Files\Super Rabbit\MagicSet\SRIECLI.EXE /LOAD
O8 - Extra context menu item: 添加到“我的订阅” - C:\Program Files\P4P\rss.htm
O9 - Extra button: 我的订阅 - {8755CE6E-0BF7-4441-8751-FB728941B0B4} - C:\Program Files\P4P\rss.dll
O9 - Extra button: 中国建投证券交易客户端 - {902E3F13-F3C2-11D3-B8AD-00062950CE21} - C:\jcb_ztzq\NfTradeClient.exe
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cdnns.dll' missing
O16 - DPF: {1F831FA1-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Program Files\AutoCAD 2002\InstFred.ocx
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday 控件) - file://C:\Program Files\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {AE563722-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Program Files\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview 控件) - file://C:\Program Files\AutoCAD 2002\AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{621C080C-1FEB-4DF1-8B95-7DFA6B80310F}: NameServer = 202.96.128.166 202.96.128.86
O20 - AppInit_DLLs: C:\WINDOWS\system32\SoDAHK.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: P4P Service - Sohu.com Inc. - C:\Program Files\Common Files\Sogou PXP\p2psvr.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe


谢谢各位回复的大佬!~!
最后编辑2006-12-15 21:14:42
分享到:
gototop
 
高歌猛进
头像
初生襁褓狮
  • 帖子:2377
  • 注册: 2006-10-09
  • 来自:
发表于: 2006-12-12 20:02 | 短消息 资料
字号: 2楼


勾选修复:
O4 - HKLM\..\Run: [sys] C:\WINDOWS\Intel\rundll32.exe
O4 - HKLM\..\Run: [wdfmgr32.exe] C:\WINDOWS\system32\wdfmgr32.exe
删除相应文件
gototop
 
zd0396
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2006-10-20
  • 来自:
发表于: 2006-12-12 20:26 | 短消息 资料
字号: 3楼

回复一楼,那个方法并不能完全解决,我在一电脑上用过这个方法,这样并不能清除“根”!
我技术实在有限,还不能解决,希望有高人能解决
gototop
 
zd0396
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2006-10-20
  • 来自:
发表于: 2006-12-12 20:41 | 短消息 资料
字号: 4楼

问一下楼主,你在中毒前有没有出现过这种情况:在浏览大多数网页时会弹出一个安装插件Adobe Flash Player的提示?而实际上你电脑里早已安好了该最新插件。
gototop
 
spiritfire
头像
锋芒艾服狮
  • 帖子:1266
  • 注册: 2006-10-22
  • 来自:
发表于: 2006-12-12 21:16 | 短消息 资料
字号: 5楼

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
这个也不是良民吧?
瑞星没有给你你病毒路径么?
gototop
 
binsasa
头像
初生襁褓狮
  • 帖子:38
  • 注册: 2006-08-13
  • 来自:
发表于: 2006-12-13 21:52 | 只看楼主 短消息 资料
字号: 6楼

========Content========
多谢各位大佬的回复!!!~~!~

我的电脑这几天在开机时,实际上发现了几个病毒:
病毒名:Trojan.PSW.ZhengTu.xd  路径:c:\windows\system32
病毒名:Trojan.PSW.JHOnline.eyi 路径:c:\windows\system32
今天又发现一个病毒:Trojan.PSW.Lineage.mnw 路径:c:\windows\intel

正如zdo396所说,我在浏览有些(但不是大多数)网页时会弹出一个安装插件Adobe Flash Player的提示?但我从来是选择“不安装”的。

谢谢各位~~,我先把“高歌猛进”和spiritfire说到的3个文件删除了再说!!
gototop
 
红夜鬼1
头像
横据古稀狮
  • 帖子:8602
  • 注册: 2006-10-18
  • 来自:
发表于: 2006-12-13 21:56 | 短消息 资料
字号: 7楼

引用:
【spiritfire的贴子】C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
这个也不是良民吧?
瑞星没有给你你病毒路径么?
………………

cdantsrv - cdantsrv.exe - 进程信息
进程文件: cdantsrv 或者 cdantsrv.exe


进程名称: CDANTSRV
 
描述:
cdantsrv.exe是MacroVison C-Dilla许可管理软件的一部分。


出品者: MacroVision
属于: C-Dilla License Management

系统进程: 否
后台程序: 是
使用网络: 否
硬件相关: 否
常见错误: 未知N/A
内存使用: 未知N/A 
安全等级 (0-5): 0
间谍软件: 否
广告软件: 否
病毒: 否
木马: 否
gototop
 
binsasa
头像
初生襁褓狮
  • 帖子:38
  • 注册: 2006-08-13
  • 来自:
发表于: 2006-12-13 21:59 | 只看楼主 短消息 资料
字号: 8楼

那就说,C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE 这个程序是良民了!!~~,好彩我还没有动手,
谢谢红哥了~~
gototop
 
玲珑无比
头像
初生襁褓狮
  • 帖子:5
  • 注册: 2006-12-13
  • 来自:
发表于: 2006-12-14 12:16 | 短消息 资料
字号: 9楼

楼主,你的杀掉了吗?我跟的情形一模一样呢~~好惨啊~~``
gototop
 
zd0396
头像
初生襁褓狮
  • 帖子:11
  • 注册: 2006-10-20
  • 来自:
发表于: 2006-12-15 17:49 | 短消息 资料
字号: 10楼

回复楼主:试试这个方法,清除那几个毒后,到这几个地方:检查清除C:\WINDOWS\Temp;C:\WINDOWS\system32\drivers\etc里的可疑文件,清空C:\Documents and Settings\用户名\Local Settings\Temp;及IE临时文件。并检查host文件里有无可疑指向,如果有清除。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT