请高手帮忙,在先急等!!! - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛请高手帮忙,在先急等!!!

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

请高手帮忙,在先急等!!!

优雅的炮初生襁褓狮帖子:112 注册: 2005-05-19 来自:	发表于： 2005-07-15 21:31 \| 只看楼主短消息资料字号：小中大 1楼请高手帮忙,在先急等!!! 我的电脑老是提示"你的电脑被漏洞攻击"用绿鹰PC万能精灵发现木马.发现可疑木马病毒！提示只有注册用户才能彻底清除。绿鹰守卫系统开始监控.【如无法清除木马请进WINDOWS安全模式查杀，建议清除木马后重启PC】但用瑞星查找没发现病毒.以下是我的日志.请斑竹指教.先谢了. Logfile of HijackThis v1.99.1 Scan saved at 21:25:07, on 2005-7-15 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\PROGRAM FILES\RISING\RAV\Ravmond.exe C:\WINDOWS\Explorer.EXE D:\PROGRAM FILES\RISING\RAV\RavStub.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\System32\mapi32.exe D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\System32\svchost.exe D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE D:\PROGRA~1\RISING\RAV\RAVMON.EXE C:\WINDOWS\VM_STI.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\绿鹰PC万能精灵\adam.exe C:\Program Files\Tencent\QQ\QQ.exe C:\Program Files\Tencent\QQ\TIMPlatform.exe C:\WINDOWS\system32\cmd.exe C:\Program Files\Tencent\QQGame\QQGame.exe C:\Documents and Settings\Administrator\桌面\HijackThis.exe R3 - URLSearchHook: Tencent Url Search Hook - {DB8B2393-7A6C-4C76-88CE-6B1F6FF6FFE9} - C:\WINDOWS\Downloaded Program Files\TBHMain.dll O2 - BHO: Tencent Browser Helper - {0C7C23EF-A848-485B-873C-0ED954731014} - C:\WINDOWS\Downloaded Program Files\TBHMain.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - C:\Program Files\Tencent\QQ\QQIEHelper.dll O2 - BHO: YiSou - {EF1D17A9-089F-40cc-8D64-7324CDEBA0DB} - C:\PROGRA~1\YiSou\yisoub.dll O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: 一搜工具条 - {115F6E46-FCBC-41ed-B3B5-3BDDD4AAB5E5} - C:\Program Files\YiSou\yisou.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - HKLM\..\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - HKLM\..\Run: [Network Access] winssh.exe O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32 O4 - HKLM\..\RunServices: [Network Access] winssh.exe O4 - HKLM\..\RunOnce: [RavStub] "D:\PROGRAM FILES\RISING\RAV\ravstub.exe" /RUNONCE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: 绿鹰PC万能精灵.lnk = ? O8 - Extra context menu item: !搜一搜(&S) - res://C:\Program Files\YiSou\yisou.dll/232 O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll O11 - Options group: [TBH] QQ地址栏搜索 O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\TempEI4\EI40_\msxml4.cab O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{DF0D1DFA-BF37-476C-9C55-0ED81D712F6D}: NameServer = 60.191.134.205 60.191.134.206 O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe O23 - Service: Rising Process Communication Center (RsCCenter) - rising - D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe 2005-07-16 00:15:09
优雅的炮初生襁褓狮帖子:112 注册: 2005-05-19 来自:	分享到：

建能横据古稀狮帖子:5755 注册: 2005-04-01 来自:	发表于： 2005-07-15 21:41 \| 短消息资料字号：小中大 2楼 R3 - URLSearchHook: Tencent Url Search Hook - {DB8B2393-7A6C-4C76-88CE-6B1F6FF6FFE9} - C:\WINDOWS\Downloaded Program Files\TBHMain.dll O4 - HKLM\..\Run: [Network Access] winssh.exe O4 - HKLM\..\RunServices: [Network Access] winssh.exe O23 - Service: MAPI Mail Client (MAPI) - Unknown owner - C:\WINDOWS\System32\mapi32.exe 如果使用了系统还原，请先关闭。请关闭所有浏览器窗口和文件夹窗口, 在安全摸试下修复上面几项)（如果你清楚某项是安全的，可以不处理），将隐藏的文件不隐藏。找到下面几项C:\WINDOWS\System32\mapi32.exe 把它删除。
建能横据古稀狮帖子:5755 注册: 2005-04-01 来自:

hellokiddy 锋芒艾服狮帖子:1762 注册: 2005-04-15 来自:	发表于： 2005-07-15 21:51 \| 短消息资料字号：小中大 3楼 C:\WINDOWS\System32\mapi32.exe(这个是病毒）楼主可以按楼上的方法修复，请运行update打上系统最新安全补丁.附该病毒资料病毒名称 Win32/IRCBot.worm.35840.K 危险程度可治疗日期 2005-02-16 种类 Worm 类型 Windows文件症状 Win32/IRCBot.worm.35840.K 蠕虫是 Win32/IRCBot.worm 的变种之一. 运行该蠕虫会在 Windows 系统目录下生成 Mapi32.exe (35,840 bits)文件. 打开任意的 TCP 端口后试图从特定的 IRC 服务器 TCP 19899 端口来连接，还会打开 TCP 1025 端口试图从外部非法连接. 连接成功特定 IRC 服务器后，以管理者(Operator)的身份执行恶意控制.
hellokiddy 锋芒艾服狮帖子:1762 注册: 2005-04-15 来自:

优雅的炮初生襁褓狮帖子:112 注册: 2005-05-19 来自:	发表于： 2005-07-15 23:37 \| 只看楼主短消息资料字号：小中大 4楼我按照以上高手说的做了,但重新启动后又出现老问题.请高手帮我啊.
优雅的炮初生襁褓狮帖子:112 注册: 2005-05-19 来自:

优雅的炮初生襁褓狮帖子:112 注册: 2005-05-19 来自:	发表于： 2005-07-15 23:47 \| 只看楼主短消息资料字号：小中大 5楼救我啊
优雅的炮初生襁褓狮帖子:112 注册: 2005-05-19 来自:

优雅的炮初生襁褓狮帖子:112 注册: 2005-05-19 来自:	发表于： 2005-07-15 23:52 \| 只看楼主短消息资料字号：小中大 6楼【回复“优雅的炮”的帖子】在C盘目录下就是找不到C:\WINDOWS\System32\mapi32.exe,但用HijackThis.exe扫还是会发现.
优雅的炮初生襁褓狮帖子:112 注册: 2005-05-19 来自:

天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆	发表于： 2005-07-15 23:54 \| 短消息资料字号：小中大 7楼 winssh.exe这个文件有没有搜索删除？
天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆

卡卡技术团队

帖子:17486
注册: 2004-01-21
来自:安徽安庆

论坛8周年活动礼物

卡卡名人堂

发表于： 2005-07-15 23:55 | 短消息资料

字号：小中大 8楼

引用:

【优雅的炮的贴子】【回复“优雅的炮”的帖子】
在C盘目录下就是找不到C:\WINDOWS\System32\mapi32.exe,但用HijackThis.exe扫还是会发现.

...........................

你有没有显示所有隐藏文件？

gototop

优雅的炮初生襁褓狮帖子:112 注册: 2005-05-19 来自:	发表于： 2005-07-16 00:02 \| 只看楼主短消息资料字号：小中大 9楼【回复“天天泡泡”的帖子】都做了啊,这点我还是会的.但不行啊
优雅的炮初生襁褓狮帖子:112 注册: 2005-05-19 来自:

天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆	发表于： 2005-07-16 00:08 \| 短消息资料字号：小中大 10楼用IceSword找，并删除
天天泡泡卡卡技术团队帖子:17486 注册: 2004-01-21 来自:安徽安庆

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT