帮帮忙~不知道是什么病毒，IE用不了TAT（可疑文件已上传CM）

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛帮帮忙~不知道是什么病毒，IE用不了TAT（可疑文件已上传CM）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1 / 2 页

跳转页

帮帮忙~不知道是什么病毒，IE用不了TAT（可疑文件已上传CM）

xelloss 初生襁褓狮帖子:19 注册: 2005-01-18 来自:	发表于： 2005-09-24 09:29 \| 只看楼主短消息资料字号：小中大 1楼帮帮忙~不知道是什么病毒，IE用不了TAT（可疑文件已上传CM） IE一开出来就CPU占用100%…根本没法用… 而且现在会过一会儿自动开出个IE进程来（但是根本没开IE的），CPU也马上100% 日志：操作系统： Windows XP SP1 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106) 当前运行的进程： G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\csrss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\PROGRAM FILES\RISING\RAV\Ravmond.exe G:\PROGRAM FILES\RISING\RAV\RavStub.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\Explorer.EXE G:\PROGRA~1\RISING\RAV\RAVTIMER.EXE G:\PROGRA~1\RISING\RAV\RAVMON.EXE G:\WINDOWS\etb\pokapoka70.exe G:\Program Files\SkyNet\FireWall\PFWmain.exe G:\Program Files\Common Files\Real\Update_OB\realsched.exe G:\PROGRAM FILES\RISING\RAV\CCENTER.EXE G:\WINDOWS\System32\taskmgr.exe G:\Program Files\MYIE2\MyIE.exe I:\Program Files\HijackThis1991zww.exe O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - G:\PROGRA~1\baidu\bar\BaiduBar.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - I:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - G:\WINDOWS\System32\qylhelper.dll O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - G:\PROGRA~1\baidu\bar\BaiduBar.dll O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - I:\PROGRA~1\FLASHGET\fgiebar.dll O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "G:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - 启动项HKLM\\Run: [PHIME2002ASync] G:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - 启动项HKLM\\Run: [PHIME2002A] G:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - 启动项HKLM\\Run: [RavTimer] G:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - 启动项HKLM\\Run: [RavMon] G:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] G:\Program Files\SkyNet\FireWall\PFWmain.exe O4 - 启动项HKLM\\Run: [System service70] G:\WINDOWS\\\etb\\pokapoka70.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - IE右键菜单中的新增项目: 使用网际快车下载 - I:\Program Files\FlashGet\jc_link.htm O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - I:\Program Files\FlashGet\jc_all.htm O8 - IE右键菜单中的新增项目: 百度-搜索MP3 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUMP3.HTM O8 - IE右键菜单中的新增项目: 百度-搜索图片 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUIMG.HTM O8 - IE右键菜单中的新增项目: 百度-搜索新闻 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUNEWS.HTM O8 - IE右键菜单中的新增项目: 百度-搜索歌词 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDULYRIC.HTM O8 - IE右键菜单中的新增项目: 百度-搜索网页 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUSEARCH.HTM O8 - IE右键菜单中的新增项目: 百度-搜索贴吧 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUPOST.HTM O8 - IE右键菜单中的新增项目: 百度-词典搜索 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDU_DIC.HTM O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINDOWS\web\related.htm O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINDOWS\web\related.htm O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - I:\PROGRA~1\FLASHGET\flashget.exe O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - I:\PROGRA~1\FLASHGET\flashget.exe O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=2663 O17 - HKLM\System\CCS\Services\Tcpip\..\{E315D56E-4568-4A33-BADD-E1B0CEF4CC20}: NameServer = 61.177.7.1 221.228.255.1 O23 - NT 服务: Adobe LM Service - Unknown owner - G:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - NT 服务: DriveHealth - Helexis Software Development - i:\Program Files\Helexis\Drive Health\dhcore.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - G:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - G:\PROGRAM FILES\RISING\RAV\Ravmond.exe 那个“pokapoka70.exe”感觉好可疑啊………… 到底是什么毛病，请高手帮帮忙~~~ 这个“pokapoka70.exe”：您上传的文件：大小文件名 128K pokapoka70.exe 已经成功地保存在Mofile 文件提取码： 5075068430517394 当您的朋友需要提取此文件时只需: 匿名提取文件连接 http://pickup.mofile.com/5075068430517394 或登录Mofile，使用提取码 5075068430517394 提取文件 2005-09-24 16:23:08
xelloss 初生襁褓狮帖子:19 注册: 2005-01-18 来自:	分享到：

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2005-09-24 09:35 \| 短消息资料字号：小中大 2楼停止进程！修复那个04项！然后删除G:\WINDOWS\etb\pokapoka70.exe
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2005-09-24 09:35 \| 短消息资料字号：小中大 3楼最好在删之前把这个文件发给baohe班竹一份！
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

xelloss 初生襁褓狮帖子:19 注册: 2005-01-18 来自:	发表于： 2005-09-24 09:43 \| 只看楼主短消息资料字号：小中大 4楼汗虽然扫描出来了，可是扫描时进程里没看到那个pokapoka…这个要怎么关………… 删除的话…没找到这个路径…是要进安全模式找？发给斑竹要怎么发的？
xelloss 初生襁褓狮帖子:19 注册: 2005-01-18 来自:

独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山	发表于： 2005-09-24 09:45 \| 短消息资料字号：小中大 5楼你等一下，我去把班竹叫来！
独孤豪侠横据古稀狮帖子:11896 注册: 2005-08-10 来自:花果山

社区嘉宾

帖子:11442
注册: 2005-01-01
来自:

发表于： 2005-09-24 10:11 | 短消息资料

字号：小中大 6楼

引用:

【xelloss的贴子】汗虽然扫描出来了，可是扫描时进程里没看到那个pokapoka…这个要怎么关…………
删除的话…没找到这个路径…是要进安全模式找？
发给斑竹要怎么发的？
...........................

进程隐藏了,用IceSword找到结束

初生襁褓狮

帖子:19
注册: 2005-01-18
来自:

发表于： 2005-09-24 15:09 | 只看楼主 短消息资料

字号：小中大 7楼

引用:

【命运里の金色的贴子】进程隐藏了,用IceSword找到结束
...........................

汗，装了IceSword，是找到了…
可是找到了结束后马上它又会再出来，根本来不及修复…反正是点了修复后那进程还在的…………T T

命运里の金色社区嘉宾帖子:11442 注册: 2005-01-01 来自:	发表于： 2005-09-24 15:14 \| 短消息资料字号：小中大 8楼 IceSword界面上,文件-设置附件: 文件名:4147582005924151424.jpg 下载次数:0 文件类型:image/pjpeg 文件大小: 上传时间:2005-9-24 15:14:24 描述:
命运里の金色社区嘉宾帖子:11442 注册: 2005-01-01 来自:

xelloss 初生襁褓狮帖子:19 注册: 2005-01-18 来自:	发表于： 2005-09-24 15:29 \| 只看楼主短消息资料字号：小中大 9楼 ……可以关掉了…… 可是修复后再扫描还是在的… 把IceSword的设置取消后再看进程里也还是有…（不取消其他程序都不能开了…）想进安全模式找找这个程序，可是居然进不了安全模式……
xelloss 初生襁褓狮帖子:19 注册: 2005-01-18 来自:

命运里の金色社区嘉宾帖子:11442 注册: 2005-01-01 来自:	发表于： 2005-09-24 15:37 \| 短消息资料字号：小中大 10楼直接用killbox把G:\WINDOWS\etb删除,然后在修复注册表
命运里の金色社区嘉宾帖子:11442 注册: 2005-01-01 来自:

<<上一主题|下一主题>>

1 / 2 页

跳转页

xelloss 初生襁褓狮帖子:19 注册: 2005-01-18 来自:	发表于： 2005-09-24 09:29 \| 只看楼主短消息资料字号：小中大 1楼帮帮忙~不知道是什么病毒，IE用不了TAT（可疑文件已上传CM） IE一开出来就CPU占用100%…根本没法用… 而且现在会过一会儿自动开出个IE进程来（但是根本没开IE的），CPU也马上100% 日志：操作系统： Windows XP SP1 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106) 当前运行的进程： G:\WINDOWS\System32\smss.exe G:\WINDOWS\system32\csrss.exe G:\WINDOWS\system32\winlogon.exe G:\WINDOWS\system32\services.exe G:\WINDOWS\system32\lsass.exe G:\WINDOWS\system32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\WINDOWS\System32\svchost.exe G:\PROGRAM FILES\RISING\RAV\Ravmond.exe G:\PROGRAM FILES\RISING\RAV\RavStub.exe G:\WINDOWS\system32\spoolsv.exe G:\WINDOWS\Explorer.EXE G:\PROGRA~1\RISING\RAV\RAVTIMER.EXE G:\PROGRA~1\RISING\RAV\RAVMON.EXE G:\WINDOWS\etb\pokapoka70.exe G:\Program Files\SkyNet\FireWall\PFWmain.exe G:\Program Files\Common Files\Real\Update_OB\realsched.exe G:\PROGRAM FILES\RISING\RAV\CCENTER.EXE G:\WINDOWS\System32\taskmgr.exe G:\Program Files\MYIE2\MyIE.exe I:\Program Files\HijackThis1991zww.exe O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - G:\PROGRA~1\baidu\bar\BaiduBar.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - I:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: IEHlprObj Class - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - G:\WINDOWS\System32\qylhelper.dll O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx O3 - IE工具栏增项: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - G:\PROGRA~1\baidu\bar\BaiduBar.dll O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - I:\PROGRA~1\FLASHGET\fgiebar.dll O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "G:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - 启动项HKLM\\Run: [PHIME2002ASync] G:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - 启动项HKLM\\Run: [PHIME2002A] G:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - 启动项HKLM\\Run: [RavTimer] G:\PROGRA~1\RISING\RAV\RAVTIMER.EXE O4 - 启动项HKLM\\Run: [RavMon] G:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] G:\Program Files\SkyNet\FireWall\PFWmain.exe O4 - 启动项HKLM\\Run: [System service70] G:\WINDOWS\\\etb\\pokapoka70.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - IE右键菜单中的新增项目: 使用网际快车下载 - I:\Program Files\FlashGet\jc_link.htm O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - I:\Program Files\FlashGet\jc_all.htm O8 - IE右键菜单中的新增项目: 百度-搜索MP3 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUMP3.HTM O8 - IE右键菜单中的新增项目: 百度-搜索图片 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUIMG.HTM O8 - IE右键菜单中的新增项目: 百度-搜索新闻 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUNEWS.HTM O8 - IE右键菜单中的新增项目: 百度-搜索歌词 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDULYRIC.HTM O8 - IE右键菜单中的新增项目: 百度-搜索网页 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUSEARCH.HTM O8 - IE右键菜单中的新增项目: 百度-搜索贴吧 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDUPOST.HTM O8 - IE右键菜单中的新增项目: 百度-词典搜索 - res://G:\PROGRA~1\baidu\bar\BaiduBar.dll/BAIDU_DIC.HTM O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINDOWS\web\related.htm O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - G:\WINDOWS\web\related.htm O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - I:\PROGRA~1\FLASHGET\flashget.exe O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - I:\PROGRA~1\FLASHGET\flashget.exe O16 - DPF: v3cab - http://searchmiracle.com/cab/v3cab.cab O16 - DPF: {8FCDF9D9-A28B-480F-8C3D-581F119A8AB8} - http://static.zangocash.com/cab/Zango/ie/bridge-c18.cab O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=2663 O17 - HKLM\System\CCS\Services\Tcpip\..\{E315D56E-4568-4A33-BADD-E1B0CEF4CC20}: NameServer = 61.177.7.1 221.228.255.1 O23 - NT 服务: Adobe LM Service - Unknown owner - G:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - NT 服务: DriveHealth - Helexis Software Development - i:\Program Files\Helexis\Drive Health\dhcore.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - G:\PROGRAM FILES\RISING\RAV\CCENTER.EXE O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - G:\PROGRAM FILES\RISING\RAV\Ravmond.exe 那个“pokapoka70.exe”感觉好可疑啊………… 到底是什么毛病，请高手帮帮忙~~~ 这个“pokapoka70.exe”：您上传的文件：大小文件名 128K pokapoka70.exe 已经成功地保存在Mofile 文件提取码： 5075068430517394 当您的朋友需要提取此文件时只需: 匿名提取文件连接 http://pickup.mofile.com/5075068430517394 或登录Mofile，使用提取码 5075068430517394 提取文件 2005-09-24 16:23:08
xelloss 初生襁褓狮帖子:19 注册: 2005-01-18 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 帮帮忙~不知道是什么病毒，IE用不了TAT（可疑文件已上传CM）

帮帮忙~不知道是什么病毒，IE用不了TAT（可疑文件已上传CM）

帮帮忙~不知道是什么病毒，IE用不了TAT（可疑文件已上传CM）

附件:

文件名:4147582005924151424.jpg 下载次数:0 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(0); 上传时间:2005-9-24 15:14:24 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛帮帮忙~不知道是什么病毒，IE用不了TAT（可疑文件已上传CM）

文件名:4147582005924151424.jpg

下载次数:0

文件类型:image/pjpeg

文件大小:

上传时间:2005-9-24 15:14:24

描述: