症状及扫描日志，高手请帮忙 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛症状及扫描日志，高手请帮忙

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

症状及扫描日志，高手请帮忙

品味々孤独初生襁褓狮帖子:19 注册: 2006-04-22 来自:	发表于： 2006-05-27 12:27 \| 只看楼主短消息资料字号：小中大 1楼症状及扫描日志，高手请帮忙症状：1、防火墙、杀毒软件监控中心无法启动 2、D盘无法直接打开，右击首项为“自动播放” 扫描日志如下，请高手分析一下 Logfile of HijackThis v1.99.0 Scan saved at 12:19:31, on 2006-5-27 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe E:\备份\天气\XDeskWeather.exe C:\Program Files\Rising\Rav\RavTask.exe C:\WINDOWS\System32\hkcmd.exe C:\WINDOWS\VM_STI.EXE C:\WINDOWS\LSASS.exe C:\WINDOWS\System32\ctfmon.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\user\LOCALS~1\Temp\Rar$EX00.645\HijackThis\HijackThis.exe F2 - REG:system.ini: UserInit=userinit.exe, O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FLASHGET\jccatch.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333- CF10577473F7} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll O4 - HKLM\..\Run: [XDeskWeather] E:\备份\天气\XDeskWeather.exe O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE VIMICRO USB PC Camera O4 - HKLM\..\Run: [ToP] C:\WINDOWS\LSASS.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O8 - Extra context menu item: Google 搜索(&G) - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Tencent\QQ\AddToNetDisk.htm O8 - Extra context menu item: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm O8 - Extra context menu item: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm O8 - Extra context menu item: 反向链接 - res://C:\Program Files\Google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Tencent\QQ\AddPanel.htm O8 - Extra context menu item: 添加到QQ表情 - D:\Tencent\QQ\AddEmotion.htm O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Tencent\QQ\SendMMS.htm O8 - Extra context menu item: 类似网页 - res://C:\Program Files\Google\GoogleToolbar2.dll/cmsimilar.html O8 - Extra context menu item: 缓存的网页快照 - res://C:\Program Files\Google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: 翻译英文字词(&T) - res://C:\Program Files\Google\GoogleToolbar2.dll/cmwordtrans.html O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2 -a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29- 0050BA6940E3} - D:\PROGRA~1\FLASHGET\flashget.exe O9 - Extra button: 易趣购物 - {DE607143-AC19-423e-865A-5D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing) O9 - Extra 'Tools' menuitem: 易趣购物 - {DE607143-AC19-423e-865A- 5D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing) O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab O16 - DPF: {A96C48EA-AA88-4BBD-B58C-7B41146A6EAC} (Qzone Media Tools) - http://qz-photo.qq.com/qzone3/QzoneMediaTools.cab O20 - AppInit_DLLs: KB2153661.LOG O23 - Service: Rising Personal Firewall Service - Unknown - C:\Program Files\Rising\Rfw\rfwsrv.exe O23 - Service: Rising Process Communication Center - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe O23 - Service: RsRavMon Service - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe 2006-05-27 15:29:17
品味々孤独初生襁褓狮帖子:19 注册: 2006-04-22 来自:	分享到：

cz0102 飘泊而立狮帖子:737 注册: 2005-10-02 来自:	发表于： 2006-05-27 12:36 \| 短消息资料字号：小中大 2楼 HijackThis版本低了点，去下载1.99.1
cz0102 飘泊而立狮帖子:737 注册: 2005-10-02 来自:

我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林	发表于： 2006-05-27 12:43 \| 短消息资料字号：小中大 3楼问题严重，如果系统还原未关闭，可以考虑还原到最老一个还原点来解决问题如果关闭了系统还原，请看这个帖子 http://forum.ikaka.com/topic.asp?board=28&artid=7828861 C:\WINDOWS\LSASS.exe 这是个针对瑞星的木马。估计你的瑞星防火墙得重装了（rfwcfg.exe被改写了）。 ———————————————— 木马Trojan.Agent.awa的手工查杀流程： 1、断开网络连接。关闭瑞星杀软及瑞星防火墙（已被木马进程插入）。 2、结束木马进程C:\windows\LSASS.EXE。 3、删除木马文件（见附图） 4、重启。清理注册表：先将RegFix或SREng的后缀改为.com 或.bat，再运行之。（恢复HKEY_CLASSES_ROOT\.exe的键值）。展开：HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1" 展开：HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1" 展开：HKEY_CLASSES_ROOT\ftp\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" %1"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" %1" 展开HKEY_CLASSES_ROOT\htmlfile\shell\open\command 将@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.com\" -nohome"改为@="\"C:\\Program Files\\Internet Explorer\\INTEXPLORE.exe\" -nohome" 展开HKEY_CLASSES_ROOT\.exe 删除WindowFiles 展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings 删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}" 展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 删除Top 展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 删除wextract_cleanup0 http://forum.ikaka.com/topic.asp?board=28&artid=8046765
我无邪高贵耄耋狮帖子:20720 注册: 2004-06-10 来自:广西玉林

品味々孤独初生襁褓狮帖子:19 注册: 2006-04-22 来自:	发表于： 2006-05-27 15:26 \| 只看楼主短消息资料字号：小中大 4楼多谢精细解答！！这个方法很好用，现在已经恢复了。也有一些问题： 1、先将RegFix或SREng的后缀改为.com 或.bat，再运行之。（恢复HKEY_CLASSES_ROOT\.exe的键值）。 2、展开HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microsoft Soft Debuger\Settings 删除"GUID"="{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}" 3、展开HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce 删除wextract_cleanup0 第一个不明白，没有进行操作。第二个所对应项值不是{BI5AP8-6K55T9-8LJY6K-64M1EC-LTW624}" 第三个找不到wextract_cleanup0 这个项。还有就是删除每个木马必须先修改他们的属性，才能进行删除操作，否则系统会提示无法操作。不知道会不会再出现什么问题非常感谢！！！
品味々孤独初生襁褓狮帖子:19 注册: 2006-04-22 来自:

品味々孤独初生襁褓狮帖子:19 注册: 2006-04-22 来自:	发表于： 2006-05-27 15:29 \| 只看楼主短消息资料字号：小中大 5楼还有问题，我的系统以前“系统还原”是关闭的，我不太懂，别人给装的系统。开启“系统还原”有什么不好的地方吗？谢谢！！
品味々孤独初生襁褓狮帖子:19 注册: 2006-04-22 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT