12   1  /  2  页   跳转

中木马了,帮忙看看

收藏
飞天蛛蛛
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2006-06-05
  • 来自:
发表于: 2007-07-23 13:23 | 只看楼主 短消息 资料
字号: 1楼

中木马了,帮忙看看

电脑昨天才作的系统,然后同学看以前保存的网页时候,机器开始不对,后来看到硬盘右击出现autorun才知道中招了……然后每次开机都有瑞星提示杀了几个在temp里的病毒,然后到 那里找也删不掉,安全模式也不管(包括杀毒和瑞星粉碎)
[autorun]
open=PegeFile.pif
shellexecute=PegeFile.pif
shell\Auto\command=PegeFile.pif
shell=Auto
杀掉的病毒日志在附件里
扫描的日志如下: 
Logfile of HijackThis v1.99.1
Scan saved at 12:54:57, on 2007-7-23
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Rising\Rfw\rfwmain.exe
C:\Program Files\Rising\AntiSpyware\runiep.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Huawei-3Com\H3C 802.1X 客户端\Dot1XClient.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\下载的东东\ha_hijackthis_1991\HijackThis.exe

F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: WebThunderBHO - {00000AAA-A363-466E-BEF5-9BB68697AA7F} - D:\软件安装盘\web迅雷\WebThunderBHO_Now.dll
O2 - BHO: (no name) - {0E43571F-3477-4A6A-8505-19BB75A970D4} - (no file)
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [runeip] "C:\Program Files\Rising\AntiSpyware\runiep.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 使用Web迅雷下载 - D:\软件安装盘\web迅雷\GetUrl.htm
O8 - Extra context menu item: 使用Web迅雷下载全部链接 - D:\软件安装盘\web迅雷\GetAllUrl.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra 'Tools' menuitem: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: 访问瑞星网站 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E444} - http://www.rising.com.cn/?u=RSTB (file missing)
O9 - Extra button: 访问卡卡社区 - {FF2DE7A6-ECB1-4CBC-9C0E-D92A9E66E445} - http://www.ikaka.com/?u=RSTB (file missing)
O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - D:\软件安装盘\KuGoo2007\InExtend\KuGoo3DownXControl.ocx
O20 - AppInit_DLLs: dhbpri.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

附件附件:

下载次数:206
文件类型:application/octet-stream
文件大小:
上传时间:2007-7-23 13:23:33
描述:

最后编辑2007-07-23 14:02:27
分享到:
gototop
 
流星陨落
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-04-17
  • 来自:
发表于: 2007-07-23 13:45 | 短消息 资料
字号: 2楼

日志无明显病毒,使用卡卡助手清理系统,并升级瑞星到最新版本,每日定时升级瑞星,开启实时监控、防火墙和卡卡助手
gototop
 
飞天蛛蛛
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2006-06-05
  • 来自:
发表于: 2007-07-23 13:48 | 只看楼主 短消息 资料
字号: 3楼

可我同学的Q号刚刚才被盗还在申述中……………………
那个鸟病毒会不会让我们的帐号信息什么的的邮到别人的信箱中????实在不行我格式化
痛苦绝望中……
gototop
 
飞天蛛蛛
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2006-06-05
  • 来自:
发表于: 2007-07-23 13:53 | 只看楼主 短消息 资料
字号: 4楼

还有就是刚才上网下ARP防火墙,对.rar文件扫描病毒时有弹出窗口是里面的一个文件扫描时间超时,以前重没这情况的,是病毒的事还是偶然的巧合?
gototop
 
流星陨落
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2008-04-17
  • 来自:
发表于: 2007-07-23 13:55 | 短消息 资料
字号: 5楼

下载安装卡卡助手,选择诊断求助,勾选文件详细信息和文件名相似分析,将诊断日志以附件形式发到论坛“日志求助区”
http://tool.ikaka.com/
gototop
 
飞天蛛蛛
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2006-06-05
  • 来自:
发表于: 2007-07-23 13:58 | 只看楼主 短消息 资料
字号: 6楼

Perflib_Perfdata_2f0.dat和Perflib_Perfdata_34c.dat删除不掉 他们是临时里面的,在安全模式下也不管
gototop
 
飞天蛛蛛
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2006-06-05
  • 来自:
发表于: 2007-07-23 14:02 | 只看楼主 短消息 资料
字号: 7楼

瑞星卡卡电脑诊断日志 v1.30 (2007-7-23 13:47:6)  北京瑞星科技股份有限公司

注释:[A]表示该文件存在自启动关联;
[M]表示该文件在内存中;

+ 注册表自运行项目
  + 系统服务
    + HKLM\System\CurrentControlSet\Services
      ose
        [A ] 1. c:\program files\common files\microsoft shared\source engine\ose.exe
          Microsoft Corporation
          Office Source Engine
          .text,.data,.rsrc,


      RfwProxySrv
        [A ] 2. c:\program files\rising\rfw\rfwproxy.exe
          Beijing Rising Technology Co., Ltd.
          Rising Personal Proxy Service
          .text,.rdata,.data,.rsrc,


      RfwService
        [A ] 3. c:\program files\rising\rfw\rfwsrv.exe
          Beijing Rising Technology Co., Ltd.
          Rising Personal FireWall Service
          .text,.rdata,.data,.rsrc,


      rpcapd
        [A ] 4. c:\program files\winpcap\rpcapd.exe
          .text,.rdata,.data,


      RsCCenter
        [A ] 5. c:\program files\rising\rav\ccenter.exe
          Beijing Rising Technology Co., Ltd.
          CCenter
          .text,.rdata,.data,.rsrc,


      RsRavMon
        [A ] 6. c:\program files\rising\rav\ravmond.exe
          Beijing Rising Technology Co., Ltd.
          RavMond
          .text,.rdata,.data,.rsrc,
gototop
 
飞天蛛蛛
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2006-06-05
  • 来自:
发表于: 2007-07-23 14:02 | 只看楼主 短消息 资料
字号: 8楼

+ 内核驱动
    + HKLM\System\CurrentControlSet\Services
      ALCXSENS
        [A ] 7. c:\windows\system32\drivers\alcxsens.sys
          Sensaura
          Sensaura WDM 3D Audio Driver
          .text,page,init,.data,.CRT,init,INIT,.rsrc,.reloc,


      ALCXWDM
        [A ] 8. c:\windows\system32\drivers\alcxwdm.sys
          Realtek Semiconductor Corp.
          Realtek AC'97 Audio Driver (WDM)
          .text,.rdata,.data,.CRT,.data1,PAGE,INIT,.rsrc,.reloc,


      BaseTDI
        [A ] 9. c:\windows\system32\drivers\basetdi.sys
          Beijing Rising Technology Co., Ltd.
          basetdi
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      bootdrv
        [A ] 10. c:\windows\system32\drivers\bootdrv.sys
          bootdrv
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      ExpScaner
        [A ] 11. c:\program files\rising\rav\expscan.sys
          ExpScan.sys
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      HookCont
        [A ] 12. c:\program files\rising\rav\hookcont.sys
          Rising
          HookCont
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      HookReg
        [A ] 13. c:\program files\rising\rav\hookreg.sys
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      HookSys
        [A ] 14. c:\program files\rising\rav\hooksys.sys
          Rising
          Hooksys
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      HookUrl
        [A ] 15. c:\program files\rising\rfw\hookurl.sys
          Beijing Rising Technology Co., Ltd.
          HookUrl
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      ialm
        [A ] 16. c:\windows\system32\drivers\ialmnt5.sys
          Intel Corporation
          Intel Graphics Miniport Driver
          .text,.rdata,.data,PAGE,INIT,.rsrc,.reloc,


      MEMSCAN
        [A ] 17. c:\program files\rising\rav\memscan.sys
          瑞星软件有限公司
          MemScan Driver
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      mProcRs
        [A ] 18. c:\program files\rising\rfw\mprocrs.sys
          Beijing Rising Technology Co., Ltd.
          Rising Personal FireWall  mprocrs.sys
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      NPF
        [A ] 19. c:\windows\system32\drivers\npf.sys
          Politecnico di Torino
          NPF Driver - TME extensions
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      PCAMPR5
        [A ] 20. c:\windows\system32\pcampr5.sys
          Printing Communications Assoc., Inc. (PCAUSA)
          PCAUSA NDIS 5.0 MPR Protocol Driver
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      PCANDIS5
        [A ] 21. c:\windows\system32\pcandis5.sys
          Printing Communications Assoc., Inc. (PCAUSA)
          PCAUSA NDIS 5.0 Protocol Driver
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      RsAntiSpyware
        [A ] 22. c:\windows\system32\drivers\rsboot.sys
          Beijing Rising Technology Co., Ltd.
          Anti-RootKit Driver
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      RsFwDrv
        [A ] 23. c:\program files\rising\rfw\rsfwdrv.sys
          Beijing Rising Technology Co., Ltd.
          nt_fwdrv
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      RsNTGDI
        [A ] 24. c:\windows\system32\drivers\rsntgdi.sys
          Beijing Rising Technology Co., Ltd.
          RsNTGDI
          .text,.rdata,INIT,.rsrc,.reloc,


      RSPPSYS
        [A ] 25. c:\program files\rising\rav\rsppsys.sys
          Rising
          RSPPSYS.SYS
          .text,.rdata,.data,INIT,.rsrc,.reloc,


      Secdrv
        [A ] 26. c:\windows\system32\drivers\secdrv.sys
          .text,.data,INIT,.reloc,




  + 系统登陆自运行
    + HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
      igfxcui
        [AM] 27. c:\windows\system32\igfxsrvc.dll
          Intel Corporation
          igfxsrvc Module
          .text,.rdata,.data,.rsrc,.reloc,




  + IE浏览器加载模块
    + HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
      {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C}
        [AM] 28. c:\windows\system32\kakatool.dll
          Beijing Rising Technology Co., Ltd.
          Rising AntiSpyware Toolbar
          .text,.rdata,.data,MonitorS,.rsrc,.reloc,



    + HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
      {00000AAA-A363-466E-BEF5-9BB68697AA7F}
        [AM] 29. d:\软件安装盘\web迅雷\webthunderbho_now.dll
          Thunder Networking Technologies,LTD
          XunLeiBHO
          .text,.rdata,.data,.rsrc,.reloc,
gototop
 
飞天蛛蛛
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2006-06-05
  • 来自:
发表于: 2007-07-23 14:03 | 只看楼主 短消息 资料
字号: 9楼

+ 资源管理器加载模块
    + HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
      text/xml
        [AM] 30. c:\program files\common files\microsoft shared\office11\msoxmlmf.dll
          Microsoft Corporation
          Microsoft Office XML MIME Filter
          .text,.data,.rsrc,.reloc,



    + HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
      KuGoo3
        [A ] 31. d:\软件安装盘\kugoo2007\inextend\kugoo3downxcontrol.ocx
          CODE,DATA,BSS,.idata,.edata,.reloc,.rsrc,



    + HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
      HyperTerminal Icon Ext
        [A ] 32. c:\windows\system32\hticons.dll
          Hilgraeve, Inc.
          HyperTerminal Applet Library
          .text,.data,.rsrc,.reloc,


      WinRAR shell extension
        [AM] 33. c:\program files\winrar\rarext.dll
          .text,.data,.tls,.idata,.edata,.rsrc,.reloc,


      RISING
        [AM] 34. c:\windows\system32\ravext.dll
          Beijing Rising Technology Co., Ltd.
          Rising Shell Ext Module
          .text,.rdata,.data,.rsrc,.reloc,


      Microsoft Office HTML Icon Handler
        [AM] 35. c:\program files\microsoft office\office11\msohev.dll
          Microsoft Corporation
          Microsoft Office 2003 component
          .text,.data,.rsrc,.reloc,


      Web Folders
        [A ] 36. c:\program files\common files\microsoft shared\web folders\msonsext.dll
          Microsoft Corporation
          Microsoft Web Folders
          .text,.data,.rsrc,.reloc,


      Windows木马清道夫
        [AM] 37. d:\软件安装盘\木马清道夫\ftccommenu.dll
          Fygsoft and Microsoft
          Com组件菜单
          CODE,DATA,BSS,.idata,.edata,.reloc,.rsrc,



    + HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
      {32CD708B-60A7-4C00-9377-D73EAA495F0F}
        [AM] 34. c:\windows\system32\ravext.dll
          Beijing Rising Technology Co., Ltd.
          Rising Shell Ext Module
          .text,.rdata,.data,.rsrc,.reloc,


      {AC2DC2EF-5165-40A3-8CDF-41DCA1B0901A}
        [AM] 38. c:\windows\system32\shlhook.dll
          Beijing Rising Technology Co., Ltd.
          shlhook Module
          .text,.rdata,.data,.rsrc,.reloc,


      {0EA66AD2-CF26-2E23-532B-B292E22F3266}
        [AM] 39. c:\program files\internet explorer\plugins\newtemp.dll
          UPX0,UPX1,.rsrc,


      {613AF41A-21B1-131B-1BFC-D2A90DF4A2B6}
        [AM] 40. c:\windows\system32\xyepri.dll
          CODE,DATA,BSS,.idata,.reloc,.rsrc,


      {22311A42-AC1B-158F-FD32-5674345F23A2}
        [AM] 41. c:\windows\system32\dhbpri.dll
          CODE,DATA,BSS,.idata,.reloc,.rsrc,


      {5A65498A-7653-9801-1647-987114AB7F45}
        [AM] 42. c:\windows\system32\zxepri.dll


      {40117B96-998D-4D80-8F89-5E9DBD9F3460}
        [AM] 43. c:\program files\internet explorer\plugins\syswin64.sys


      {459AFD5B-159F-ACD8-954C-ACD545FA6584}
        [AM] 44. c:\windows\system32\jzdpri.dll
          CODE,DATA,BSS,.idata,.reloc,.rsrc,


      {425AB2F3-234A-7469-2F43-E341713ABFA4}
        [AM] 45. c:\windows\system32\wgdpri.dll
          CODE,DATA,BSS,.idata,.reloc,.rsrc,




  + 用户登陆自运行项目
    + HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      RavTask
        [A ] 46. c:\program files\rising\rav\ravtask.exe
          Beijing Rising Technology Co., Ltd.
          RavTimer
          .text,.rdata,.data,.rsrc,


      RfwMain
        [A ] 47. c:\program files\rising\rfw\rfwmain.exe
          Beijing Rising Technology Co., Ltd.
          Rising Personal FireWall Main Program
          .text,.rdata,.data,.rsrc,


      runeip
        [AM] 48. c:\program files\rising\antispyware\runiep.exe
          Beijing Rising Technology Co., Ltd.
          Rising AntiSpyware Monitor
          .text,.rdata,.data,.rsrc,
gototop
 
飞天蛛蛛
头像
初生襁褓狮
  • 帖子:47
  • 注册: 2006-06-05
  • 来自:
发表于: 2007-07-23 14:03 | 只看楼主 短消息 资料
字号: 10楼

+ 开机执行
    + HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
      BootExecute
        [A ] 49. c:\windows\system32\bsmain.exe
          Beijing Rising Technology Co., Ltd.
          BootScan
          .text,.data,.rsrc,.reloc,




  + 映像劫持
    + HKCR\.html
      htmlfile\Edit\Command
        [A ] 50. c:\program files\microsoft office\office11\msohtmed.exe
          Microsoft Corporation
          Microsoft Office 2003 component
          .text,.data,.rsrc,


      htmlfile\Print\Command
        [A ] 50. c:\program files\microsoft office\office11\msohtmed.exe
          Microsoft Corporation
          Microsoft Office 2003 component
          .text,.data,.rsrc,



    + HKCR\.htm
      htmlfile\Edit\Command
        [A ] 50. c:\program files\microsoft office\office11\msohtmed.exe
          Microsoft Corporation
          Microsoft Office 2003 component
          .text,.data,.rsrc,


      htmlfile\Print\Command
        [A ] 50. c:\program files\microsoft office\office11\msohtmed.exe
          Microsoft Corporation
          Microsoft Office 2003 component
          .text,.data,.rsrc,




  + 程序初始化和已知动态连接库
    + HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
      AppInit_DLLs
        [AM] 44. c:\windows\system32\jzdpri.dll
          CODE,DATA,BSS,.idata,.reloc,.rsrc,





+ 其他自启动项目
  + c:\autorun.inf
    open
      [A ] 51. c:\pegefile.pif
        UPX0,UPX1,.rsrc,


    shellexecute
      [A ] 51. c:\pegefile.pif
        UPX0,UPX1,.rsrc,


    shell\Auto\command
      [A ] 51. c:\pegefile.pif
        UPX0,UPX1,.rsrc,



  + d:\autorun.inf
    open
      [A ] 52. d:\pegefile.pif
        UPX0,UPX1,.rsrc,


    shellexecute
      [A ] 52. d:\pegefile.pif
        UPX0,UPX1,.rsrc,


    shell\Auto\command
      [A ] 52. d:\pegefile.pif
        UPX0,UPX1,.rsrc,



  + e:\autorun.inf
    open
      [A ] 53. e:\pegefile.pif
        UPX0,UPX1,.rsrc,


    shellexecute
      [A ] 53. e:\pegefile.pif
        UPX0,UPX1,.rsrc,


    shell\Auto\command
      [A ] 53. e:\pegefile.pif
        UPX0,UPX1,.rsrc,
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT