瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 请斑竹看看我的电脑!为何病毒总是层出不穷的反复出现!!该如何解决???

12   1  /  2  页   跳转

请斑竹看看我的电脑!为何病毒总是层出不穷的反复出现!!该如何解决???

收藏
65072805
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2005-09-15
  • 来自:
发表于: 2005-09-21 12:48 | 只看楼主 短消息 资料
字号: 1楼

请斑竹看看我的电脑!为何病毒总是层出不穷的反复出现!!该如何解决???

日志如下:
HijackThis_815汉化版扫描日志 V1.99.1
保存于      12:29:20, 日期 2005-9-21
操作系统:  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程:         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\瑞星2005\RISING\RAV\Ravmond.exe
D:\瑞星2005\RISING\RAV\RavStub.exe
d:\瑞星2005\rising\rfw\rfwsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\netddesrv.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
D:\瑞星2005\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
d:\瑞星2005\rising\rfw\RfwMain.exe
C:\WINNT\system32\capp.exe
D:\瑞星2005\RISING\RAV\RAVTIMER.EXE
D:\瑞星2005\RISING\RAV\RAVMON.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\msmgmctl.exe
C:\WINNT\system32\conime.exe
D:\HijackThis\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINNT\system32\xunleibho_v6.dll
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINNT\system32\CdnIEHlp.dll (file missing)
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - IE工具栏增项: 好看123上网精灵 - {FEDF637B-F631-4583-A210-33CC828D42DB} - D:\tools\超级兔子\MagicSet\HaokanBar.dll (file missing)
O4 - 启动项HKLM\\Run: [CApp] C:\WINNT\system32\capp.exe
O4 - 启动项HKLM\\Run: [RavTimer] D:\瑞星2005\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\瑞星2005\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] "D:\瑞星2005\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [Microsoft Messenger Management Controls] msmgmctl.exe
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\RunServices: [Microsoft Messenger Management Controls] msmgmctl.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [Microsoft Messenger Management Controls] msmgmctl.exe
O4 - HKCU\..\RuunServices:[Microsoft Messenger Management Controls] msmgmctl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - 浏览器额外的按钮: 中文域名 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINNT\system32\CdnIEHlp.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: 中文域名 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINNT\system32\CdnIEHlp.dll (file missing)
O10 - Broken Internet access because of LSP provider 'c:\winnt\system32\nsp.dll' missing
O11 - Options group: [!CNS]  网络实名
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{704A8AFD-CBD5-4B6D-A68E-D41537E111B8}: NameServer = 202.96.69.38,202.96.64.68
O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINNT\system32\mbprot.dll
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: hpdj - Unknown owner - (no file)
O23 - NT 服务: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINNT\system32\netddesrv.exe
O23 - NT 服务: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
O23 - NT 服务: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINNT\system32\spooler.exe (file missing)
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - d:\瑞星2005\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\瑞星2005\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\瑞星2005\RISING\RAV\Ravmond.exe

瑞星病毒日志如下:
病毒名称    处理结果    发现日期    扫描方式    路径    文件    病毒来源
Blaster Rpc Exploit    清除成功    05-09-17 09:15    实时监控             218.23.116.75:43280
Blaster Rpc Exploit    清除成功    05-09-17 09:41    实时监控             218.23.116.161:49678
Backdoor.Rbot.hvy    删除成功    05-09-17 10:04    实时监控    C:\WINNT\system32    win32.exe    本机
Backdoor.Rbot.ihl    删除成功    05-09-17 10:11    实时监控    C:\WINNT\system32    win32.exe    本机
Blaster Rpc Exploit    清除成功    05-09-20 09:05    实时监控             218.23.118.250:26897
Blaster Rpc Exploit    清除成功    05-09-20 09:10    实时监控             218.23.116.105:19470
Blaster Rpc Exploit    清除成功    05-09-20 09:15    实时监控             218.23.118.250:30990
Blaster Rpc Exploit    清除成功    05-09-20 09:21    实时监控             218.23.118.76:51216
Blaster Rpc Exploit    清除成功    05-09-20 09:26    实时监控             218.23.118.76:63499
Blaster Rpc Exploit    清除成功    05-09-20 09:27    实时监控             218.23.118.76:27664
Blaster Rpc Exploit    清除成功    05-09-20 09:27    实时监控             218.23.118.76:63249
Blaster Rpc Exploit    清除成功    05-09-20 09:28    实时监控             218.23.116.105:2318
Blaster Rpc Exploit    清除成功    05-09-20 09:29    实时监控             218.23.118.76:31503
Blaster Rpc Exploit    清除成功    05-09-20 09:32    实时监控             218.23.118.76:53774
Blaster Rpc Exploit    清除成功    05-09-20 09:32    实时监控             218.23.118.76:11791
Blaster Rpc Exploit    清除成功    05-09-20 09:33    实时监控             218.23.118.76:31760
Blaster Rpc Exploit    清除成功    05-09-20 09:43    实时监控             218.23.118.76:34575
Blaster Rpc Exploit    清除成功    05-09-20 09:43    实时监控             218.23.118.76:14354
Blaster Rpc Exploit    清除成功    05-09-20 09:48    实时监控             218.23.118.76:15633
Blaster Rpc Exploit    清除成功    05-09-20 09:48    实时监控             218.23.118.250:60945
Blaster Rpc Exploit    清除成功    05-09-20 09:51    实时监控             218.23.118.76:32014
Blaster Rpc Exploit    清除成功    05-09-20 09:51    实时监控             218.23.118.76:64014
Blaster Rpc Exploit    清除成功    05-09-20 09:53    实时监控             218.23.118.76:22287
Blaster Rpc Exploit    清除成功    05-09-20 09:56    实时监控             218.23.118.76:51984
Blaster Rpc Exploit    清除成功    05-09-20 09:58    实时监控             218.23.118.76:1809
Blaster Rpc Exploit    清除成功    05-09-20 09:59    实时监控             218.23.117.249:60942

最后编辑2005-09-21 19:34:25
分享到:
gototop
 
飞跃迷离
头像
社区嘉宾
  • 帖子:7351
  • 注册: 2004-10-15
  • 来自:
发表于: 2005-09-21 12:55 | 短消息 资料
字号: 2楼

重新启动到安全模式(进入安全模式的方法:重新启动电脑, 开机自动检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式(Safe Mode)进入Windows。)

开始→控制面板→性能和维护→管理工具→服务→查找NetDDE Server、Print Spool Handler→右击→属性→启动类型→禁止→应用→停止→确定。

先终止下面的进程(关闭所有窗口,同时按下CTRL+ALT+DELETE,在打开的窗口中选中要终止的进程,然后按下“结束任务”或者“结束进程”,最后关闭该窗口。
C:\WINNT\system32\msmgmctl.exe

请关闭所有IE界面,重新使用HijackThis扫描一次,选中下面建议修复的项目,让HijackThis修复,修复前请允许HijackThis保留备份。(如果楼主知道是安全的可以不必勾选)
F2 - REG:system.ini: UserInit=userinit.exe,
O4 - 启动项HKLM\\Run: [Microsoft Messenger Management Controls] msmgmctl.exe
O4 - 启动项HKLM\\RunServices: [Microsoft Messenger Management Controls] msmgmctl.exe
O4 - HKCU\..\Run: [Microsoft Messenger Management Controls] msmgmctl.exe
O4 - HKCU\..\RuunServices:[Microsoft Messenger Management Controls] msmgmctl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O18 - 列举现有的协议: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINNT\system32\mbprot.dll
O23 - NT 服务: hpdj - Unknown owner - (no file)
O23 - NT 服务: NetDDE Server (NetDDEsrv) - Unknown owner - C:\WINNT\system32\netddesrv.exe
O23 - NT 服务: Print Spool Handler (Print Spooler) - Unknown owner - C:\WINNT\system32\spooler.exe (file missing)

然后打开我的电脑→再点工具→打开文件夹选项→查看→把隐藏受保护的系统文件(推荐)和隐藏已知文件类型的扩展名的勾去掉→再显示所有文件→找到以下文件并删除:
C:\WINNT\system32\spooler.exe
C:\WINNT\system32\msmgmctl.exe
C:\WINNT\system32\mbprot.dll
C:\WINNT\system32\netddesrv.exe
gototop
 
65072805
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2005-09-15
  • 来自:
发表于: 2005-09-21 13:48 | 只看楼主 短消息 资料
字号: 3楼

斑竹再看看!一打开系统还有病毒呀:backdoor Rbot htq
修复过后的日志如下:
HijackThis_815汉化版扫描日志 V1.99.1
保存于      13:44:36, 日期 2005-9-21
操作系统:  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程:         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\瑞星2005\RISING\RAV\Ravmond.exe
D:\瑞星2005\RISING\RAV\RavStub.exe
d:\瑞星2005\rising\rfw\rfwsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
D:\瑞星2005\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
d:\瑞星2005\rising\rfw\RfwMain.exe
C:\WINNT\system32\capp.exe
D:\瑞星2005\RISING\RAV\RAVTIMER.EXE
D:\瑞星2005\RISING\RAV\RAVMON.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\DuDu\DDDClient\DuDuAcc.exe
C:\Program Files\DuDu\DDDClient\dudupros.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\EnterNetFolder.Exe
D:\HijackThis\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINNT\system32\xunleibho_v6.dll
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINNT\system32\CdnIEHlp.dll (file missing)
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - IE工具栏增项: 好看123上网精灵 - {FEDF637B-F631-4583-A210-33CC828D42DB} - D:\tools\超级兔子\MagicSet\HaokanBar.dll (file missing)
O4 - 启动项HKLM\\Run: [CApp] C:\WINNT\system32\capp.exe
O4 - 启动项HKLM\\Run: [RavTimer] D:\瑞星2005\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\瑞星2005\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] "D:\瑞星2005\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\RuunServices:[Microsoft Messenger Management Controls] msmgmctl.exe
O4 - Global Startup: DuDu加速器.lnk = C:\Program Files\DuDu\DDDClient\DuDuAcc.exe
O9 - 浏览器额外的按钮: 中文域名 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINNT\system32\CdnIEHlp.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: 中文域名 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINNT\system32\CdnIEHlp.dll (file missing)
O10 - Broken Internet access because of LSP provider 'c:\winnt\system32\nsp.dll' missing
O11 - Options group: [!CNS]  网络实名
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{704A8AFD-CBD5-4B6D-A68E-D41537E111B8}: NameServer = 202.96.69.38,202.96.64.68
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - d:\瑞星2005\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\瑞星2005\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\瑞星2005\RISING\RAV\Ravmond.exe
gototop
 
飞跃迷离
头像
社区嘉宾
  • 帖子:7351
  • 注册: 2004-10-15
  • 来自:
发表于: 2005-09-21 14:13 | 短消息 资料
字号: 4楼

重新启动到安全模式(进入安全模式的方法:重新启动电脑, 开机自动检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式(Safe Mode)进入Windows。)

请关闭所有IE界面,重新使用HijackThis扫描一次,选中下面建议修复的项目,让HijackThis修复,修复前请允许HijackThis保留备份。(如果楼主知道是安全的可以不必勾选)
O4 - HKCU\..\RuunServices:[Microsoft Messenger Management Controls] msmgmctl.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

然后打开我的电脑→再点工具→打开文件夹选项→查看→把隐藏受保护的系统文件(推荐)和隐藏已知文件类型的扩展名的勾去掉→再显示所有文件→找到以下文件并删除:
C:\WINNT\system32\msmgmctl.exe

建议卸载DuDu加速器…
gototop
 
65072805
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2005-09-15
  • 来自:
发表于: 2005-09-21 14:39 | 只看楼主 短消息 资料
字号: 5楼

瑞星总提示漏洞:Blaster Rpc Exploit
C:\WINNT\system32\msmgmctl.exe这个文件没有!
O4 - HKCU\..\RuunServices:[Microsoft Messenger Management Controls] msmgmctl.exe
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

上面3个反复修复后,没有任何的改变!!
dudu加速器也卸了!!
可还是反复出现病毒!!!!!!!!!
gototop
 
飞跃迷离
头像
社区嘉宾
  • 帖子:7351
  • 注册: 2004-10-15
  • 来自:
发表于: 2005-09-21 14:57 | 短消息 资料
字号: 6楼

开始→运行→regedit启动注册表编辑器,展开到:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

找到msmgmctl.exe(删除)

问:瑞星监控总是提示受到“Blaster Rpc Exploit”和“MS-4011 Exploit”攻击
答:1.打好冲击波补丁 和 震荡波 补丁
  2.关于漏洞攻击问题请参考:http://forum.ikaka.com/topic.asp?board=39&artid=5255062
  3.由于瑞星漏洞监控作用于最外,也可以关闭改提示:
  详细设置-计算机监控-瑞星漏洞攻击监控-高级-发现攻击不提示
  4.或者屏蔽系统危险端口,参考http://forum.ikaka.com/topic.asp?board=28&artid=5961295
gototop
 
65072805
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2005-09-15
  • 来自:
发表于: 2005-09-21 16:09 | 只看楼主 短消息 资料
字号: 7楼

还是不行呀!你再看看我的日志:病毒还是反复出现!
HijackThis_815汉化版扫描日志 V1.99.1
保存于      15:54:01, 日期 2005-9-21
操作系统:  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程:         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\瑞星2005\RISING\RAV\Ravmond.exe
D:\瑞星2005\RISING\RAV\RavStub.exe
d:\瑞星2005\rising\rfw\rfwsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
D:\瑞星2005\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
d:\瑞星2005\rising\rfw\RfwMain.exe
C:\WINNT\system32\capp.exe
D:\瑞星2005\RISING\RAV\RAVTIMER.EXE
D:\瑞星2005\RISING\RAV\RAVMON.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\conime.exe
D:\HijackThis\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINNT\system32\xunleibho_v6.dll
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINNT\system32\CdnIEHlp.dll (file missing)
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - IE工具栏增项: 好看123上网精灵 - {FEDF637B-F631-4583-A210-33CC828D42DB} - D:\tools\超级兔子\MagicSet\HaokanBar.dll (file missing)
O4 - 启动项HKLM\\Run: [CApp] C:\WINNT\system32\capp.exe
O4 - 启动项HKLM\\Run: [RavTimer] D:\瑞星2005\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\瑞星2005\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] "D:\瑞星2005\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O9 - 浏览器额外的按钮: 中文域名 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINNT\system32\CdnIEHlp.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: 中文域名 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINNT\system32\CdnIEHlp.dll (file missing)
O10 - Broken Internet access because of LSP provider 'c:\winnt\system32\nsp.dll' missing
O11 - Options group: [!CNS]  网络实名
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{704A8AFD-CBD5-4B6D-A68E-D41537E111B8}: NameServer = 202.96.69.38,202.96.64.68
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - d:\瑞星2005\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\瑞星2005\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\瑞星2005\RISING\RAV\Ravmond.exe
gototop
 
花落花又开
头像
社区嘉宾
  • 帖子:6782
  • 注册: 2005-04-16
  • 来自:
发表于: 2005-09-21 16:51 | 短消息 资料
字号: 8楼

【回复“65072805”的帖子】把杀软报的病毒路径及处理结果发上来.
gototop
 
65072805
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2005-09-15
  • 来自:
发表于: 2005-09-21 16:52 | 只看楼主 短消息 资料
字号: 9楼

病毒还是反复出现:
病毒名称处理结果发现日期扫描方式路径文件病毒来源
Blaster Rpc Exploit清除成功05-09-17 09:15实时监控 218.23.116.75:43280
Blaster Rpc Exploit清除成功05-09-17 09:41实时监控 218.23.116.161:49678
Backdoor.Rbot.hvy删除成功05-09-17 10:04实时监控C:\WINNT\system32win32.exe本机
Backdoor.Rbot.ihl删除成功05-09-17 10:11实时监控C:\WINNT\system32win32.exe本机
Blaster Rpc Exploit清除成功05-09-20 09:05实时监控 218.23.118.250:26897
Blaster Rpc Exploit清除成功05-09-20 09:10实时监控 218.23.116.105:19470
Blaster Rpc Exploit清除成功05-09-20 09:15实时监控 218.23.118.250:30990
Blaster Rpc Exploit清除成功05-09-20 09:21实时监控 218.23.118.76:51216
Blaster Rpc Exploit清除成功05-09-20 09:26实时监控 218.23.118.76:63499
Blaster Rpc Exploit清除成功05-09-20 09:27实时监控 218.23.118.76:27664
Blaster Rpc Exploit清除成功05-09-20 09:27实时监控 218.23.118.76:63249
Blaster Rpc Exploit清除成功05-09-20 09:28实时监控 218.23.116.105:2318
Blaster Rpc Exploit清除成功05-09-20 09:29实时监控 218.23.118.76:31503
Blaster Rpc Exploit清除成功05-09-20 09:32实时监控 218.23.118.76:53774
Blaster Rpc Exploit清除成功05-09-20 09:32实时监控 218.23.118.76:11791
Blaster Rpc Exploit清除成功05-09-20 09:33实时监控 218.23.118.76:31760
Blaster Rpc Exploit清除成功05-09-20 09:43实时监控 218.23.118.76:34575
Blaster Rpc Exploit清除成功05-09-20 09:43实时监控 218.23.118.76:14354
Blaster Rpc Exploit清除成功05-09-20 09:48实时监控 218.23.118.76:15633
Blaster Rpc Exploit清除成功05-09-20 09:48实时监控 218.23.118.250:60945
Blaster Rpc Exploit清除成功05-09-20 09:51实时监控 218.23.118.76:32014
Blaster Rpc Exploit清除成功05-09-20 09:51实时监控 218.23.118.76:64014
Blaster Rpc Exploit清除成功05-09-20 09:53实时监控 218.23.118.76:22287
Blaster Rpc Exploit清除成功05-09-20 09:56实时监控 218.23.118.76:51984
Blaster Rpc Exploit清除成功05-09-20 09:58实时监控 218.23.118.76:1809
Blaster Rpc Exploit清除成功05-09-20 09:59实时监控 218.23.117.249:60942
Backdoor.Rbot.jcu删除成功05-09-21 12:27实时监控C:\WINNT\system32compq.exe本机
Blaster Rpc Exploit清除成功05-09-21 13:15实时监控 218.23.116.196:30736
Backdoor.Rbot.htq删除成功05-09-21 13:45实时监控C:\WINNT\system32win32.exe本机
Blaster Rpc Exploit清除成功05-09-21 13:49实时监控 218.23.119.139:49681
Blaster Rpc Exploit清除成功05-09-21 13:52实时监控 218.23.118.154:61964
Blaster Rpc Exploit清除成功05-09-21 13:53实时监控 218.23.118.154:33038
Blaster Rpc Exploit清除成功05-09-21 13:55实时监控 218.23.117.147:27662
Blaster Rpc Exploit清除成功05-09-21 13:59实时监控 218.23.118.154:45837
Blaster Rpc Exploit清除成功05-09-21 14:00实时监控 218.23.117.58:47101
Blaster Rpc Exploit清除成功05-09-21 14:00实时监控 218.23.118.154:17938
Blaster Rpc Exploit清除成功05-09-21 14:04实时监控 218.23.118.154:2316
Blaster Rpc Exploit清除成功05-09-21 14:04实时监控 218.23.118.154:14606
Blaster Rpc Exploit清除成功05-09-21 14:04实时监控 218.23.118.154:782
Blaster Rpc Exploit清除成功05-09-21 14:05实时监控 218.23.119.139:3088
Blaster Rpc Exploit清除成功05-09-21 14:05实时监控 218.23.118.154:7186
Blaster Rpc Exploit清除成功05-09-21 14:05实时监控 218.23.118.154:4876
Blaster Rpc Exploit清除成功05-09-21 14:06实时监控 218.23.118.154:28430
Blaster Rpc Exploit清除成功05-09-21 14:11实时监控 218.23.118.154:51982
Blaster Rpc Exploit清除成功05-09-21 14:14实时监控 218.23.118.154:3853
Blaster Rpc Exploit清除成功05-09-21 14:15实时监控 218.23.118.154:2833
Backdoor.Rbot.jcm删除成功05-09-21 14:15实时监控C:\WINNT\system32win32.exe本机
Blaster Rpc Exploit清除成功05-09-21 14:20实时监控 218.23.118.154:39181
Blaster Rpc Exploit清除成功05-09-21 14:21实时监控 218.23.118.154:33297
Blaster Rpc Exploit清除成功05-09-21 14:22实时监控 218.23.118.154:47631
Backdoor.Rbot.hvy删除成功05-09-21 14:23实时监控C:\WINNT\system32win32.exe本机
Blaster Rpc Exploit清除成功05-09-21 15:33实时监控 218.23.118.232:11527
Blaster Rpc Exploit清除成功05-09-21 15:33实时监控 218.23.118.154:12303
Blaster Rpc Exploit清除成功05-09-21 15:33实时监控 218.23.118.154:12306
Blaster Rpc Exploit清除成功05-09-21 15:34实时监控 218.23.118.154:2831
Blaster Rpc Exploit清除成功05-09-21 15:36实时监控 218.23.118.154:3090
Blaster Rpc Exploit清除成功05-09-21 15:37实时监控 218.23.118.232:40969
Blaster Rpc Exploit清除成功05-09-21 15:37实时监控 218.23.118.232:40964
Backdoor.Codbot.ax删除成功05-09-21 15:38实时监控C:\WINNT\system32hpsys.exe本机
Blaster Rpc Exploit清除成功05-09-21 15:39实时监控 218.23.118.232:36615
Blaster Rpc Exploit清除成功05-09-21 15:39实时监控 218.23.118.232:40717
Blaster Rpc Exploit清除成功05-09-21 15:39实时监控 218.23.118.154:16144
Backdoor.Rbot.hvy删除成功05-09-21 15:39实时监控C:\WINNT\system32win32.exe本机
Backdoor.Rbot.ihl删除成功05-09-21 15:40实时监控C:\WINNT\system32win32.exe本机
Blaster Rpc Exploit清除成功05-09-21 15:41实时监控 218.23.118.154:44814
Blaster Rpc Exploit清除成功05-09-21 15:42实时监控 218.23.118.232:38414
Blaster Rpc Exploit清除成功05-09-21 15:42实时监控 218.23.118.154:24082
Blaster Rpc Exploit清除成功05-09-21 15:42实时监控 218.23.118.154:12812
Blaster Rpc Exploit清除成功05-09-21 15:42实时监控 218.23.118.7:23825
Blaster Rpc Exploit清除成功05-09-21 15:44实时监控 218.23.118.232:40710
Blaster Rpc Exploit清除成功05-09-21 15:45实时监控 218.23.118.7:54287
Backdoor.Rbot.axr删除成功05-09-21 15:46实时监控C:\WINNT\system32win32.exe本机
Blaster Rpc Exploit清除成功05-09-21 15:47实时监控 218.23.118.232:37897
Blaster Rpc Exploit清除成功05-09-21 15:49实时监控 218.23.118.154:28432
Blaster Rpc Exploit清除成功05-09-21 15:50实时监控 218.23.118.154:65294
Blaster Rpc Exploit清除成功05-09-21 15:50实时监控 218.23.118.154:39951
Blaster Rpc Exploit清除成功05-09-21 15:50实时监控 218.23.118.154:57103
Blaster Rpc Exploit清除成功05-09-21 15:50实时监控 218.23.118.7:21005
Backdoor.Rbot.jcu删除成功05-09-21 15:55实时监控C:\WINNT\system32compq.exe本机
我的日志:
HijackThis_815汉化版扫描日志 V1.99.1
保存于      15:54:01, 日期 2005-9-21
操作系统:  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程:         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
D:\瑞星2005\RISING\RAV\Ravmond.exe
D:\瑞星2005\RISING\RAV\RavStub.exe
d:\瑞星2005\rising\rfw\rfwsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
D:\瑞星2005\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
d:\瑞星2005\rising\rfw\RfwMain.exe
C:\WINNT\system32\capp.exe
D:\瑞星2005\RISING\RAV\RAVTIMER.EXE
D:\瑞星2005\RISING\RAV\RAVMON.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\conime.exe
D:\HijackThis\HijackThis1991zww.exe

O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINNT\system32\xunleibho_v6.dll
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINNT\system32\CdnIEHlp.dll (file missing)
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - IE工具栏增项: 好看123上网精灵 - {FEDF637B-F631-4583-A210-33CC828D42DB} - D:\tools\超级兔子\MagicSet\HaokanBar.dll (file missing)
O4 - 启动项HKLM\\Run: [CApp] C:\WINNT\system32\capp.exe
O4 - 启动项HKLM\\Run: [RavTimer] D:\瑞星2005\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] D:\瑞星2005\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] "D:\瑞星2005\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O9 - 浏览器额外的按钮: 中文域名 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINNT\system32\CdnIEHlp.dll (file missing)
O9 - 浏览器额外的“工具”菜单项: 中文域名 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\WINNT\system32\CdnIEHlp.dll (file missing)
O10 - Broken Internet access because of LSP provider 'c:\winnt\system32\nsp.dll' missing
O11 - Options group: [!CNS]  网络实名
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{704A8AFD-CBD5-4B6D-A68E-D41537E111B8}: NameServer = 202.96.69.38,202.96.64.68
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\EFFICI~1\ENTERN~1\app\pppoeservice.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - d:\瑞星2005\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - D:\瑞星2005\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\瑞星2005\RISING\RAV\Ravmond.exe

快救救我呀!我在这个论坛里的帖子也无法发送出去了呀!!!!!!!
gototop
 
65072805
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2005-09-15
  • 来自:
发表于: 2005-09-21 16:55 | 只看楼主 短消息 资料
字号: 10楼

我现在是用另一台机子在向你们求救呀!!!!
我的机子在这个论坛上的帖子点发送时没有反应了呀!!!!
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT