【求助】不知名病毒,强制关闭窗口和程序 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛【求助】不知名病毒,强制关闭窗口和程序

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

【求助】不知名病毒,强制关闭窗口和程序

Oo尛輝oO 快乐黄口狮帖子:204 注册: 2006-07-19 来自:	发表于： 2008-04-10 13:40 \| 只看楼主短消息资料字号：小中大 1楼【求助】不知名病毒,强制关闭窗口和程序系统中了不知道什么病毒,直接强制关闭窗口和程序,导致不能使用杀毒软件(瑞星打不开.卡卡打不开.冰刃,SREngPS都打不开...)唯一能打开的就只有hijackthis.. 还不时弹出其他的网页,进程增多,不能查看隐藏文件,急求帮助.! 以下为日志: HijackThis_zww汉化版扫描日志 V1.99.1 保存于ＡＭＡＭ10:40:32, 日期 2002-1-1 操作系统： Windows XP SP2 (WinNT 5.01.2600) 浏览器： Unable to get Internet Explorer version! 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\msnshel.exe D:\Porgram Files\StormII\stormliv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\94961.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\host.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\UAService7.exe C:\WINDOWS\system32\rundll32.exe D:\Porgram Files\VStart\VStart.exe C:\WINDOWS\moni.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\winhelp.exe E:\·游戏\QQGAME\Accel.exe C:\WINDOWS\system32\conime.exe D:\辉的下载\sysem系统扫描\HijackThis\HijackThis1[1].99.1\HijackThis1991zww.exe C:\WINDOWS\System32\alg.exe c:\e.exe C:\WINDOWS\system32\ChiNiu(2).exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\wuauc1t.exe F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,,C:\WINDOWS\system32 \host.exe O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - D:\Porgram Files\Thunder.v5.7.3.389.NoAD-Ayu\ComDlls\TDAtOnce_Now.dll O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush.dll O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll O2 - BHO: 网站排名工具条BHO - {489873CE-F3E1-44A3-8E89-04BE26BE4446} - C:\Program Files\zzToolBar\Toolbar_bho.dll O2 - BHO: Thunder5下载 - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\WINDOWS\ThunderBHONew3.dll O2 - BHO: (no name) - {6167F471-EF2B-41DD-A5E5-C26ACDB5C096} - C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\Porgram Files\Thunder.v5.7.3.389.NoAD-Ayu\ComDlls\xunleiBHO_Now.dll O2 - BHO: Adobe Common Objects - {986488AF-13D5-9DDF-4FEF-9FB88698CFC1} - C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_2085.dll O2 - BHO: brush Class - {E157D62A-D8A4-45DF-8E9B-C33D93821BDF} - C:\WINDOWS\system32\ffdfvq82.dll (file missing) O2 - BHO: Thunder5下载辅助 - {EA2FCCA9-F44F-43DD-9724-9339950D103C} - C:\WINDOWS\ThunderHelper32.dll O2 - BHO: Invoke Class - {FFB3D068-F8DA-4370-A71E-83B1C959CDD6} - C:\WINDOWS\system32\3941.dll O3 - IE工具栏增项: 网站排名工具条 - {0A1230F1-EB52-4CA3-9D34-DE2ABC2EED35} - C:\Program Files\zzToolBar\ToolBand.dll O4 - 启动项HKLM\\Run: [VStart5.0] D:\Porgram Files\VStart\VStart.exe O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32 \NvCpl.dll,NvStartup O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32 \NvMcTray.dll,NvTaskbarInit O4 - 启动项HKLM\\Run: [runeip] "D:\Porgram Files\瑞星卡卡\runiep.exe" /startup O4 - 启动项HKLM\\Run: [BsChiNiu] C:\WINDOWS\system32\ChiNiu.exe O4 - 启动项HKLM\\Run: [upxdnd] C:\WINDOWS\upxdnd.exe O4 - 启动项HKLM\\Run: [RavMonI] C:\WINDOWS\moni.exe O4 - 启动项HKLM\\Run: [ArpInsert] C:\WINDOWS\system32\Cache\ArpHack.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: QQ游戏启动加速程序.lnk = ? O4 - Global Startup: chiniu(2).exe O8 - IE右键菜单中的新增项目: 使用迅雷下载 - D:\Porgram Files\Thunder.v5.7.3.389.NoAD -Ayu\Program\geturl.htm O8 - IE右键菜单中的新增项目: 使用迅雷下载全部链接 - D:\Porgram Files\Thunder.v5.7.3.389.NoAD-Ayu\Program\getallurl.htm O8 - IE右键菜单中的新增项目: 易趣购物 - C:\Program Files\AD4All\link1\ebaylink.htm O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Porgram Files\Tencent\AddEmotion.htm O8 - IE右键菜单中的新增项目: 添加到网络硬盘 - D:\Porgram Files\Tencent\AddToNetDisk.htm O9 - 浏览器额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing) O9 - 浏览器额外的“工具”菜单项: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing) O9 - 浏览器额外的按钮: 一起来音乐社区 - {7DBC6ADB-5788-4FB9-AEC3-B40A58AC11DF} - http://www.yiqilai.com (file missing) O9 - 浏览器额外的按钮: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - D:\Porgram Files\PPLive\PPLive.exe O9 - 浏览器额外的“工具”菜单项: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - D:\Porgram Files\PPLive\PPLive.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {9FAFB576-6933-4CCC-AB3D-B988EC43D04E} (RavOnline Class) - http://download.rising.com.cn/rs2008/online/notvista/ravolctl.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/flashplayer/current/swflash.cab O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} - https://password.qq.com/download/qqedit2.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{E7E82254-035B-41DF-8571-F4F5EC444114}: NameServer = 202.96.128.86,202.96.128.166 O18 - 列举现有的协议: KuGoo - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx O18 - 列举现有的协议: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\WINDOWS\system32\KuGoo3DownXControl.ocx O18 - 列举现有的协议: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: mrjhtjd.dll,qrhhb.dll,xdfntt.dll,hgfhk.dll,hjaiq.dll,kduy.dll,frntrn.dll,dnteh.dll,chmfcmh.dll,j wlah.dll,crugd.dll,lariytrz.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,ydgn [用户系统信息]Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 2.0.50727; Chinarank Toolbar) 附件: 文件名:7139652008410132829.txt 下载次数:205 文件类型:application/octet-stream 文件大小: 上传时间:2008-4-10 13:40:41 描述: 2008-04-12 23:51:28
Oo尛輝oO 快乐黄口狮帖子:204 注册: 2006-07-19 来自:	分享到：

千寻旅社区嘉宾帖子:2910 注册: 2007-08-17 来自:	发表于： 2008-04-10 14:14 \| 短消息资料字号：小中大 2楼下载运行此软件 http://zhidao.ikaka.com/fujian/200803310506309814.rar 运行后安全类工具应该可以运行杀毒软件升级杀毒先杀毒后还有问题扫日志上来
千寻旅社区嘉宾帖子:2910 注册: 2007-08-17 来自:

Oo尛輝oO 快乐黄口狮帖子:204 注册: 2006-07-19 来自:	发表于： 2008-04-11 00:39 \| 只看楼主短消息资料字号：小中大 3楼回楼上的,还是不行..打不开..现在SRE打得开了,冰刃也打得开了,先附上TXT给各位过目. 被这病毒弄得头晕... 附件: 文件名:713965200841102712.txt 下载次数:167 文件类型:application/octet-stream 文件大小: 上传时间:2008-4-11 0:39:24 描述:
Oo尛輝oO 快乐黄口狮帖子:204 注册: 2006-07-19 来自:

千寻旅社区嘉宾帖子:2910 注册: 2007-08-17 来自:	发表于： 2008-04-11 12:23 \| 短消息资料字号：小中大 4楼你这是日志有问题我怎么打不开能不能重新发一次啊
千寻旅社区嘉宾帖子:2910 注册: 2007-08-17 来自:

Oo尛輝oO 快乐黄口狮帖子:204 注册: 2006-07-19 来自:	发表于： 2008-04-11 13:02 \| 只看楼主短消息资料字号：小中大 5楼不是吧..日志也有问题..? 现在我每个盘都有一个叫"chiniu.exe"的隐藏文件.. 昨天那个删了..再附上一个好了.! 附件: 文件名:7139652008411125030.txt 下载次数:153 文件类型:application/octet-stream 文件大小: 上传时间:2008-4-11 13:02:42 描述:
Oo尛輝oO 快乐黄口狮帖子:204 注册: 2006-07-19 来自:

千寻旅社区嘉宾帖子:2910 注册: 2007-08-17 来自:	发表于： 2008-04-11 13:27 \| 短消息资料字号：小中大 6楼 1.建议使用XDelBox删除以下文件：(XDelBox1.6下载) 使用说明：删除时复制所有要删除文件的路径，在待删除文件列表里点击右键选择从剪贴板导入，导入后在要删除文件上点击右键，选择立刻重启删除，电脑会重启进入DOS界面进行删除操作。运行xdelbox前最好卸载所有可移动存储介质（包括U盘，MP3，手机存储卡等）。 c:\docume~1\＃輝囝＃\locals~1\temp\v42.exe c:\e.exe c:\windows\system32\winhelp.exe c:\windows\system32\fehom.dll c:\windows\system32\fxgnfx.dll c:\windows\system32\gjjte.dll c:\windows\system32\jwlah.dll c:\windows\system32\msepbe.dll c:\windows\system32\njritc.dll c:\windows\system32\rgfjj.dll c:\windows\system32\rhs.dll c:\windows\system32\winlib .dll c:\windows\system32\xbcvxb.dll c:\windows\system32\xdfntt.dll c:\windows\system32\zdbdb.dll c:\windows\system32\zfdzb.dll c:\windows\system32\uaservice7.exe c:\windows\system32\host.exe c:\windows\msnshel.exe c:\program files\internet explorer\plugins\winsys8v.sys c:\progra~1\anhi\sfza.dll c:\windows\system32\aybaibai1054.dll c:\windows\system32\aydabdab1056.dll c:\windows\system32\ayfkkfkk1055.dll c:\windows\system32\ayjhvjhv1015.dll c:\windows\system32\aykafkaf1057.dll c:\windows\system32\aysadsad1032.dll c:\windows\system32\3941.dll c:\windows\system32\cqzs.dll c:\windows\system32\kiluw.dll c:\windows\system32\portablemsi.dll c:\windows\system32\runlog.dll c:\windows\system32\sysloader.dll c:\windows\inf\pcidev128.inf c:\windows\system32\ttezzezz1046.dll c:\windows\system32\tthadhad1061.dll c:\windows\system32\ttnnbnnb1047.dll c:\windows\system32\ttvufvuf1011.dll c:\windows\system32\txrjhrjh1020.dll c:\windows\system32\txtqltql1039.dll c:\windows\system32\txwwqwwq1006.dll c:\windows\system32\uiooxd38.dll c:\windows\system32\upxdnd.dll c:\windows\system32\wyrsdj.dll c:\windows\system32\yskssk78.dll c:\progra~1\anhi\nauv.dll c:\windows\system32\94961.exe mrjhtjd.dll,qrhhb.dll,xdfntt.dll,hgfhk.dll,hjaiq.dll,kduy.dll,frntrn.dll,dnteh.dll,chmfcmh.dll,jwlah.dll,crugd.dll,lariytrz.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,gmnait.dll,hfjg.dll,xdndn.dll,rgfjj.dll,dscef.dll,xfng.dll,njritc.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,fehom.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll,zdbdb.dll,rhs.dll,atehhz.dll,gjjte.dll,xgnfn.dll,xfgnhcgfm.dll,serger.dll,bnxnb.dll,fxgnfx.dll,jzijj.dll,xfgnfx.dll,serghjm.dll,thsddh.dll,xbcvxb.dll,zfdzb.dll,hkfgh.dll,drghszd.dll,fngn.dll,xdhdg.dll,zdbfbd.dll,fjyjy.dll,awef.dll,msepbe.dll, c:\windows\system32\userinit.exe,,c:\windows\system32\host.exe c:\windows\upxdnd.exe c:\windows\system32\cache\arphack.exe c:\windows\system32\chiniu.exe c:\windows\moni.exe rundll32 c:\windows\system32\c31.dll,always c:\windows\system32\svchost.exe -k netsvcs-->c:\windows\6to4.dll c:\windows\system32\31663.exe c:\windows\system32\ksavp.exe c:\windows\system32\kavp.exe c:\windows\system32\tcpip.exe c:\windows\system32\serv.exe c:\windows\system32\svchost.exe -k netsvcs-->c:\windows\inf\pcidev128.inf c:\windows\system32\svchost.exe -k netsvcs-->c:\progra~1\anhi\kxrs.dll c:\windows\system32\drivers\acpidisk.sys c:\program files\microsoft office\system\apcdli.sys c:\windows\system32\drivers\acpidisk.sys c:\program files\microsoft office\system\apcdli.sys c:\windows\system32\drivers\bootdrv.sys c:\windows\system32\drivers\d347bus.sys c:\windows\system32\drivers\d347prt.sys c:\docume~1\＃輝囝＃\locals~1\temp\tmpf.tmp c:\windows\system32\drivers\msosfpids32.sys c:\windows\system32\ttyufzplus.sys c:\windows\system32\drivers\gren.ahc c:\windows\system32\drivers\hjzj.ahc c:\windows\system32\drivers\incdfs.sys c:\windows\system32\drivers\incdpass.sys c:\windows\system32\drivers\incdrm.sys c:\windows\system32\ttyufzplushelper.sys c:\windows\system32\drivers\msosmsfpfis64.sys c:\windows\system32\drivers\nocashio.sys c:\windows\system32\drivers\uiooxd38.sys c:\docume~1\＃輝囝＃\locals~1\temp\~75.tmp c:\windows\system32\drivers\yskssk78.sys c:\windows\system32\drivers\secdrv.sys c:\docume~1\＃輝囝＃\locals~1\temp\tmp1e.tmp c:\windows\system32\drivers\oreans32.sys c:\windows\system32\nqmptt41.dll c:\program files\common files\cpush\cpush.dll 2.删除重启后使用SREng修复下面各项：启动项目－－注册表之如下项删除： [{1E51C0FD-EE36-434B-AD2A-FD1FF3731C38}] <C:\WINDOWS\system32\wyrsdj.dll> [{629290de-dc73-453c-a62d-4ad6f19d81ae}] <C:\WINDOWS\system32\txRJHRJH1020.dll> [{fff1c771-4dc7-4c01-8be1-8495780f3f1d}] <C:\WINDOWS\system32\txTQLTQL1039.dll> [{6167F471-EF2B-41DD-A5E5-C26ACDB5C096}] <C:\Program Files\Internet Explorer\PLUGINS\WinSys8v.Sys> [{c4bf46a2-1c05-427d-992f-4e24f7d57f68}] <C:\WINDOWS\system32\ttNNBNNB1047.dll> [{734bfbb9-34f7-441c-b064-b3590bbe34ea}] <C:\WINDOWS\system32\txWWQWWQ1006.dll> [{b4d47a00-9d9c-4272-96e1-620385045b02}] <C:\WINDOWS\system32\aySADSAD1032.dll> [{fadf8275-3f93-45c5-91af-541ef17c72eb}] <C:\WINDOWS\system32\ayDABDAB1056.dll> [{05922c2d-da84-48e8-a3e4-e797c58c39cf}] <C:\WINDOWS\system32\ttEZZEZZ1046.dll> [{3a7099b6-eb76-4198-a559-eea56538a59c}] <C:\WINDOWS\system32\ayKAFKAF1057.dll> [{3711ff72-e89f-4bdb-ad59-140f5da60968}] <C:\WINDOWS\system32\ayBAIBAI1054.dll> [{6ce08af1-5f70-4c1a-8d1a-8aba11619e87}] <C:\WINDOWS\system32\ayFKKFKK1055.dll> [{29fab913-d0cd-477b-a3f0-3d7c3a90379b}] <C:\WINDOWS\system32\ttVUFVUF1011.dll> [{fe0ebc25-107f-4fda-ada3-7238573f90ad}] <C:\WINDOWS\system32\ayJHVJHV1015.dll> [{080b34df-5e9a-4771-99c1-f7269b42f44f}] <C:\WINDOWS\system32\ttHADHAD1061.dll> [{D157330A-9EF3-49F8-9A67-4141AC41ADD4}] <> [{D7B21266-AA85-44b8-B516-3B1A6982747E}] <> 注意该项[AppInit_DLLs]修改：把<mrjhtjd.dll,qrhhb.dll,xdfntt.dll,hgfhk.dll,hjaiq.dll,kduy.dll,frntrn.dll,dnteh.dll,chmfcmh.dll,jwlah.dll,crugd.dll,lariytrz.dll,thurh.dll,mgmgmm.dll,oqrthc.dll,ydgn.dll,dbfb.dll,fjnbv.dll,wmsat.dll,gmnait.dll,hfjg.dll,xdndn.dll,rgfjj.dll,dscef.dll,xfng.dll,njritc.dll,setrhes.dll,cdxbfxdb.dll,xfgnxfn.dll,gjkhj.dll,fxnfnh.dll,bjrvm.dll,ektvm.dll,fehom.dll,jyjlt.dll,ijatnaw.dll,sehhter.dll,fhjfg.dll
千寻旅社区嘉宾帖子:2910 注册: 2007-08-17 来自:

千寻旅社区嘉宾帖子:2910 注册: 2007-08-17 来自:	发表于： 2008-04-11 13:28 \| 短消息资料字号：小中大 7楼你使用XDELBOX删除文件后会在同文件夹下生成一个BACKUP文件夹希望你能吧这个文件夹上传给我。或加密压缩后发到邮箱里也成谢谢加密密码123 邮箱：bdsb_bdsb@sina.com
千寻旅社区嘉宾帖子:2910 注册: 2007-08-17 来自:

豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:	发表于： 2008-04-11 13:48 \| 短消息资料字号：小中大 8楼 C:\WINDOWS\system32\host.exe c:\e.exe C:\WINDOWS\system32\ChiNiu(2).exe 如果楼主还未进行文件删除劳烦楼主将以上文件加密123打包发送agggg5566@hotmail.com 谢谢!!
豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:

豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:	发表于： 2008-04-11 13:53 \| 短消息资料字号：小中大 9楼另: 楼上似乎用助手时忘了启动文件夹了…… 启动文件夹 [1] <C:\Documents and Settings\All Users\「开始」菜单\程序\启动\1.exe --> [N/A]><N>
豪斯登堡新郎社区嘉宾帖子:4234 注册: 2007-11-09 来自:

千寻旅社区嘉宾帖子:2910 注册: 2007-08-17 来自:	发表于： 2008-04-11 14:54 \| 短消息资料字号：小中大 10楼呵呵是忘了谢谢
千寻旅社区嘉宾帖子:2910 注册: 2007-08-17 来自:

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT