瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 中了Trojan.PSW.Win32.SunOnline.op后瑞星绿伞开机后又变红了!怎么办?!

1   1  /  1  页   跳转

[求助] 中了Trojan.PSW.Win32.SunOnline.op后瑞星绿伞开机后又变红了!怎么办?!

中了Trojan.PSW.Win32.SunOnline.op后瑞星绿伞开机后又变红了!怎么办?!

日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 10:55:39,2008-6-21
操作系统: Windows XP SP2 (WinNT 5.01.2600)
IE版本: Internet Explorer v7.00 (7.00.6000.16640)
启动模式: 正常

正在运行的进程:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Rising\Rav\RavTask.exe
F:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Super Rabbit\MagicSet\srshut.EXE
F:\Program Files\GridService\peer.exe
C:\Program Files\Rising\Rav\Ravmon.exe
F:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
F:\Program Files\Unlocker\UnlockerAssistant.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
E:\Program Files\eMule\emule.exe
F:\Program Files\Windows Live\Messenger\msnmsgr.exe
F:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
F:\Program Files\ChinaNet\VnetClient.exe
F:\PROGRA~1\MOZILL~1\FIREFOX.EXE
F:\WINDOWS\system32\svchost.exe
F:\Program Files\Bonjour\mDNSResponder.exe
F:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
F:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Rising\Rav\Rav.exe
C:\Program Files\Rising\Rav\RsAgent.exe
F:\WINDOWS\msagent\AgentSvr.exe
F:\WINDOWS\system32\cmd.exe
F:\WINDOWS\system32\conime.exe
F:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe
H:\HijackThis V2.exe
F:\DOCUME~1\BAOHAN\LOCALS~1\Temp\nsy67.tmp\hijackthis.exe
F:\WINDOWS\system32\ping.exe

O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - F:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - F:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll
O3 - IE 工具栏: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\Program Files\Super Rabbit\MagicSet\haokanbar.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] ; "F:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] F:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] ; F:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [GlassRun] F:\WINDOWS\Vista\startmenu\glassrun.exe
O4 - HKLM\..\Run: [SideBar] F:\WINDOWS\Vista\设置侧边栏.exe 3
O4 - HKLM\..\Run: [Vistadrv] F:\WINDOWS\Vista\vip\VistaDrv\vsdrv.exe
O4 - HKLM\..\Run: [DAEMON Tools] "F:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [XiaoiDesktop] ; F:\Program Files\Incesoft\XiaoiAlerts\XiaoiUpdater.exe /hide
O4 - HKLM\..\Run: [Super Rabbit Shutdown] C:\Program Files\Super Rabbit\MagicSet\srshut.EXE /LOAD
O4 - HKLM\..\Run: [IMSCMig] F:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [Grid Service] "F:\Program Files\GridService\peer.exe" -n Grid
O4 - HKLM\..\Run: [SunJavaUpdateSched] F:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "F:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "F:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [QQDownload] ; "F:\Program Files\Tencent\QQDownload\QQDownload.exe" autostart
O4 - HKCU\..\Run: [eMuleAutoStart] E:\Program Files\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [MsnMsgr] "F:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [iTudouAutoStart] ; F:\Program Files\Tudou\iTudou\iTudou.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] F:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] F:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: I7080动漫社区.lnk = ?
O4 - Startup: 腾讯QQ.lnk = F:\Program Files\Tencent\QQ\QQ.exe
O4 - Global Startup: 星空极速.lnk = F:\Program Files\ChinaNet\VnetClient.exe
O8 - 扩展右键菜单项: 使用迅雷下载 - F:\Program Files\Thunder Network\Thunder\Program\geturl.htm
O8 - 扩展右键菜单项: 使用迅雷下载全部链接 - F:\Program Files\Thunder Network\Thunder\Program\getallurl.htm
O8 - 扩展右键菜单项: 导出到 Microsoft Office Excel(&X) - res://F:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - 扩展右键菜单项: 添加到QQ表情 - F:\Program Files\Tencent\QQ\AddEmotion.htm
O9 - 额外的按钮: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - F:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 额外的“工具”菜单项目: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - F:\Program Files\Thunder Network\Thunder\Thunder.exe
O9 - 额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - F:\Program Files\浩方对战平台\GameClient.exe
O9 - 额外的按钮: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Program Files\PPLive\PPLive.exe
O9 - 额外的“工具”菜单项目: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Program Files\PPLive\PPLive.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9193FC17-70C7-4576-9E4E-11C5A0C563A7}: NameServer = 202.109.15.135 202.96.209.6
O23 - NT 服务:  ... - MicoroSoft - F:\Program Files\winrar\ror.exe
O23 - NT 服务:  ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - F:\Program Files\Bonjour\mDNSResponder.exe
O23 - NT 服务:  FLEXnet Licensing Service - Macrovision Europe Ltd. - F:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - NT 服务:  Macromedia Licensing Service - Unknown owner - F:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务:  NBService - Nero AG - F:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - NT 服务:  NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务:  Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务:  Rising RealTime Monitor (RsRavMon) - Unknown owner - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O24 - Desktop Component 0: (未命名) - file:///F:/DOCUME~1/BAOHAN/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg



用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.8.1.14) Gecko/20080404 Firefox/2.0.0.14
分享到:
gototop
 

回复:中了Trojan.PSW.Win32.SunOnline.op后瑞星绿伞开机后又变红了!怎么办?!

扫SRENG日志发这论坛来
下载SRENG2.6版工具:http://bbs.ikaka.com/attachment.aspx?attachmentid=403512(点右键菜单“目标另存为”下载)
(因为过期,所以压缩包内包含授权信息了,自己输入后就可以正常使用了。)
(临时的而已,等正式的版本出来,再取消我发的这个授权文件)

1 下载的是压缩包,必须解压缩(建议直接解压到系统Windows文件夹里)
2 运行SREng***.EXE
3 选择主界面左边的:智能扫描=》扫描=》保存报告(必须保存)

然后直接将日志文件以附件的形式发这论坛来。
点击:我回的贴的右下角的“引用”,然后就应该知道怎么以附件发了。

(注意:SRENG工具的“入口点错误”提示和那个关于<AppInit_DLLs>项的<ieprot.dll>提示都只是常规提示,可以不管它,请不要为这问题反复询问。)

SRENG工具的一些操作,看这贴:http://bbs.ikaka.com/showtopic-8442813.aspx

还有这补丁打了么?
http://bbs.ikaka.com/showtopic-8509685.aspx
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:中了Trojan.PSW.Win32.SunOnline.op后瑞星绿伞开机后又变红了!怎么办?!

O24 - Desktop Component 0: (未命名) - file:///F:/DOCUME~1/BAOHAN/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg

这什么东西
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复:中了Trojan.PSW.Win32.SunOnline.op后瑞星绿伞开机后又变红了!怎么办?!

不知道啊,要删除吗?
gototop
 

回复:中了Trojan.PSW.Win32.SunOnline.op后瑞星绿伞开机后又变红了!怎么办?!

你不知道
我哪知道
至少文件路径很不正常
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 中了Trojan.PSW.Win32.SunOnline.op后瑞星绿伞开机后又变红了!怎么办?!



引用:
原帖由 天月来了 于 2008-6-21 11:19:00 发表
扫SRENG日志发这论坛来
下载SRENG2.6版工具:http://bbs.ikaka.com/attachment.aspx?attachmentid=403512(点右键菜单“目标另存为”下载)
(因为过期,所以压缩包内包含授权信息了,自己输入后就可以正常使用了。)
(临时的而已,等正式的版本出来,再取消我发的这个授权文件)

1 下载的是压缩包,必须解压缩(

附件附件:

文件名:SREngLOG.log
下载次数:108
文件类型:application/octet-stream
文件大小:
上传时间:2008-6-21 11:38:29
描述:log

附件附件:

文件名:SRENG.txt
下载次数:86
文件类型:text/plain
文件大小:
上传时间:2008-6-21 12:41:26
描述:txt

最后编辑又中了A 最后编辑于 2008-06-21 12:41:26
gototop
 

回复:中了Trojan.PSW.Win32.SunOnline.op后瑞星绿伞开机后又变红了!怎么办?!

之前的文件我在F:\Documents and Settings\BAOHAN\clip_image002.jpg找到了,是从百度下下来的WOW游戏图片,刚刚被我删除了,应该不是什么病毒吧
gototop
 

回复:中了Trojan.PSW.Win32.SunOnline.op后瑞星绿伞开机后又变红了!怎么办?!

F:\Program Files\winrar\KATTXOGR.dat这个文件没见过。

————————————————————————————————————
在扫日志的SRENG工具》启动项目》服务》驱动程序》里面找下面项,将启动类型改为“Disabled”
==================================
驱动程序
[Cdsys / Cdsys][Stopped/Manual Start]
  <\??\F:\WINDOWS\system32\cdcd.sys><N/A>
————————————————————————————————————
下面也异常,将文件压缩后发来看看,到底还是不是系统自身的了
==================================
隐藏进程
    [3196] F:\WINDOWS\regedit.exe
————————————————————————————————————
还有你的杀毒软件的部分文件已经被病毒替换为无用文件

所以你必须卸载后重装。

死等是没用的。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT