前几天中了病毒,杀毒后开机出现加载KB8964225.log出错.请高手帮忙解决.附日志:
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      18:01:47, 日期 2006-11-5
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\rising\Rav\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\rising\Rav\RavStub.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\VM_STI.EXE
C:\Program Files\rising\Rav\RavTask.exe
C:\Program Files\rising\Rav\Ravmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
F:\lqq\QQ2006\QQ.exe
F:\lqq\QQ2006\TIMPlatform.exe
E:\MIE\Maxthon\Maxthon.exe
F:\查\新建文件夹\HijackThis1991zww.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - D:\KUGOO\KuGoo\KuGoo3DownXControl.ocx
O2 - BHO: Riptide BHO - {EFBCA345-14DC-4640-994E-4AF1DFDEB4FD} - C:\Program Files\Riptide\Plugin\Plugin.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\RunOnce: [RavStub] "C:\Program Files\rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - IE右键菜单中的新增项目: &_找本网页音视频链接_ - C:\Program Files\Riptide\Plugin\Monitor.htm
O8 - IE右键菜单中的新增项目: 使用KuGoo3下载(&K) - D:\KUGOO\KuGoo\KuGoo3DownX.htm
O9 - 浏览器额外的按钮: 新浪UC - {2253922F-1B26-4C74-8B57-E3AEE748DBB8} - D:\UC\uc.exe
O9 - 浏览器额外的按钮: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - F:\豪杰\STHSDVD.EXE
O9 - 浏览器额外的“工具”菜单项: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - F:\豪杰\STHSDVD.EXE
O9 - 浏览器额外的按钮: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\lqq\QQ2006\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\lqq\QQ2006\QQ.EXE
O9 - 浏览器额外的按钮: 一目了然网址站 - {CC7DB63E-FDF3-4EC9-8798-1BA20511E64D} - http://www.1m6r.com (file missing)
O9 - 浏览器额外的“工具”菜单项: 一目了然网址站 - {CC7DB63E-FDF3-4EC9-8798-1BA20511E64D} - http://www.1m6r.com (file missing)
O9 - 浏览器额外的按钮: 发现音视频地址 - {CFB84BBD-959B-4fcb-9A03-22ACE091043C} - C:\Program Files\Riptide\Monitor.exe
O9 - 浏览器额外的“工具”菜单项: 发现音视频地址 - {CFB84BBD-959B-4fcb-9A03-22ACE091043C} - C:\Program Files\Riptide\Monitor.exe
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1133704067922
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/QQ/QQkill/rsonline.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F76E4B1-BC69-49F0-A640-564D217C1A66}: NameServer = 220.189.127.106,61.153.255.8
O23 - NT 服务: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - NT 服务: ewido security suite guard - Unknown owner - F:\查\EWIDO3.5\ewidoguard.exe (file missing)
O23 - NT 服务: Network Logon (NetWorkLogon) - Unknown owner - rundll32.exe (file missing)
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\rising\Rav\CCenter.exe
O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\rising\Rav\Ravmond.exe

希望下面的东西对你有用

在 c:\windows\system32\发现KB8964225.log文件，上网查询相关资料，得以下资料。请大家留意.此木马可以偷有PIN输入功能的WOW帐号 。我的号就是这样被盗的

有关KB8964225.log的问题


Trojan-Downloader.Win32.Agent.arq分析
出处：安天实验室 时间：2006-08-29 11：30


病毒标签：
病毒名称： Trojan-Downloader.Win32.Agent.arq
病毒类型： 木马
文件 MD5： 7BBABD2D788A860BA42D1D0809A07CB3
公开范围： 完全公开
危害等级： 中
文件长度：174,811 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： NsPacK V3.7
命名对照： Symentec[Trojan Horse]
　　　　 Mcafee[无]

病毒描述：
　　 该病毒属木马类，病毒运行后释放病毒文件%system32%\kb8964225.log，修改注册表，开启Network Logon服务，使病毒作者可以对用户进行远程控制，释放的病毒文件kb8964225.log可以盗取用户的敏感信息。

行为分析：
1、病毒运行后释放病毒文件：

病毒路径\名　　　　　　　　　病毒名
%system32%\kb8964225.log　　 Trojan-PSW.Win32.Delf.lf
kb8964225.log实际上是一个DLL文件，该文件病毒名为Trojan-PSW.Win32.Delf.lf。可以盗取用户的敏感信息。

2、病毒运行后修改注册表项：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
键值: 字串: "NetWorkLogon "="支持网络上计算机远程登陆事件。如果此服务被停用，网络登陆将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
键值: 字串: "DisplayName "="Network Logon"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
键值: 字串: " ImagePath "="undll32.exe KB8964225.log,start"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetWorkLogon\
键值: 字串: " ObjectName " ="LocalSystem"

3、开启NetworkLogon服务，使病毒作者可以对用户进行远程控制：
　 NetWorkLogon 服务：支持网络上计算机远程登陆事件。如果此服务被停用，网络登陆将不可用。如果此服务被禁用，任何依赖它的服务将无法启动。

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。


--------------------------------------------------------------------------------
清除方案：
  1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 使用安天木马防线“进程管理”关闭病毒进程
(2) 删除病毒文件

%system32%\kb8964225.log

(3) 恢复病毒修改的注册表项目，删除病毒添加的注册表项

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
键值: 字串: "NetWorkLogon "="支持网络上计算机远程登陆事件。
如果此服务被停用，网络登陆将不可用。如果此服务被禁用，任何
依赖它的服务将无法启动。"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\NetWorkLogon\
键值: 字串: "DisplayName "="Network Logon"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\NetWorkLogon\
键值: 字串: " ImagePath "="undll32.exe KB8964225.log,start"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
\NetWorkLogon\
键值: 字串: " ObjectName " ="LocalSystem"


资料来源:http://www.antiy.com/security/report/20060829.htm

谢谢楼上的!关键想知道电脑是不是还存在问题,会分析日志的高手帮个忙啊,谢谢了~~

没高手帮忙吗?总觉得电脑不太对劲呀