浏览器被劫持，几乎每打开一个网页都会报毒。报毒的时候ie占用系统内存特大 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛浏览器被劫持，几乎每打开一个网页都会报毒。报毒的时候ie占用系统内存特大

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[已解决] 浏览器被劫持，几乎每打开一个网页都会报毒。报毒的时候ie占用系统内存特大

让我注册吧健康舞勺狮帖子:245 注册: 2005-02-26 来自:	发表于： 2008-06-28 23:00 \| 只看楼主短消息资料字号：小中大 1楼浏览器被劫持，几乎每打开一个网页都会报毒。报毒的时候ie占用系统内存特大请求帮助！！！现在浏览器一打开网页就会报毒名称：Trojan.DL.Script.JS.Agent.mej 位置：C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\238857161952.tmp 病毒名加红的位置还会自动更改我压缩了一个瑞星报毒的文件！在附件内！请大虾们帮忙看看另外我用HijackThis扫描了日志！现在也贴出来请帮忙研究一下日志文件 Trend Micro HijackThis v 2.0.2 日志保存时间: 22:36:39,2008-6-28 操作系统: Windows 2003 SP2 (WinNT 5.02.3790) IE版本: Internet Explorer v6.00 SP2 (6.00.3790.3959) 启动模式: 正常正在运行的进程: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\PROGRAM FILES\RISING\RAV\ravmond.exe C:\PROGRAM FILES\RISING\RAV\RavStub.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\serverappliance\appmgr.exe C:\Program Files\StormII\stormliv.exe C:\WINDOWS\System32\dns.exe C:\WINDOWS\system32\serverappliance\elementmgr.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\RsServ.exe C:\WINDOWS\system32\tcpsvcs.exe C:\WINDOWS\system32\serverappliance\srvcsurg.exe C:\WINDOWS\System32\wins.exe C:\WINDOWS\system32\mqsvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Rising\Rav\RavTask.exe C:\Program Files\Rising\AntiSpyware\runiep.exe C:\WINDOWS\VM_STI.EXE C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Rising\Rav\Ravmon.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Thunder Network\ThunderMini\program\ThunderMini.exe C:\Program Files\Skype\Phone\Skype.exe C:\WINDOWS\system32\rundll32.exe C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Program Files\Kingsoft\PowerWord Lite\XDict.exe C:\Program Files\Alisoft\WangWang\WangWang.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\Rising\Rav\RsAgent.exe C:\WINDOWS\msagent\AgentSvr.exe C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe C:\Program Files\WinRAR\WinRAR.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.172\HijackThis.exe O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll O2 - BHO: IEPlus - {045E075D-9C55-42F5-81C2-67D4A26F39AC} - C:\Program Files\shendoo\IEPlus\IEPlus.dll O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll O2 - BHO: ThunderMiniBHO - {8E6C1C49-F9CE-4311-9FB4-D70E8B0AEAEB} - C:\Program Files\Thunder Network\ThunderMini\ComDlls\XunLeiMiniBHO_001.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - IE 工具栏: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL O3 - IE 工具栏: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - HKLM\..\Run: [runeip] "C:\Program Files\Rising\AntiSpyware\runiep.exe" /startup O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload O4 - HKLM\..\Run: [ThunderMini] C:\Program Files\Thunder Network\ThunderMini\ThunderMiniShell.exe O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O4 - HKLM\..\RunOnce: [KKDelay] C:\Program Files\Rising\AntiSpyware\RunOnce.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [WangWang] "C:\Program Files\Alisoft\WangWang\WangWang.exe" O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user') O4 - Startup: QQ游戏启动加速程序.lnk = C:\Program Files\Tencent\QQGame\Accel.exe O4 - Global Startup: 谷歌金山词霸合作版.lnk = C:\Program Files\Kingsoft\PowerWord Lite\XDict.exe O8 - 扩展右键菜单项: &使用迷你迅雷下载 - C:\Program Files\Thunder Network\ThunderMini\Program\GetUrl.htm O8 - 扩展右键菜单项: Alexa Web Search - http://client.alexa.com/holiday/script/actions/search.htm O8 - 扩展右键菜单项: Get Alexa Data - http://client.alexa.com/holiday/script/actions/sitedata.htm O8 - 扩展右键菜单项: Mail to a Friend... - http://client.alexa.com/holiday/script/actions/mailto.htm O8 - 扩展右键菜单项: See Related Links - http://client.alexa.com/holiday/script/actions/related.htm O8 - 扩展右键菜单项: Write a Review... - http://client.alexa.com/holiday/script/actions/review.htm O8 - 扩展右键菜单项: 使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\geturl.htm O8 - 扩展右键菜单项: 使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\getallurl.htm O8 - 扩展右键菜单项: 去除IEPlus对此图像的过滤 - ieplus:passImg.htm O8 - 扩展右键菜单项: 去除IEPlus对此网站所有图像的过滤 - ieplus:passAllImgs.htm O8 - 扩展右键菜单项: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - 扩展右键菜单项: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm O8 - 扩展右键菜单项: 通过IEPlus搜索选中文字 - ieplus:searchSel.htm O8 - 扩展右键菜单项: 通过IEPlus过滤此图像 - ieplus:blockImg.htm O8 - 扩展右键菜单项: 通过IEPlus过滤此网站的所有图像 - ieplus:blockAllImgs.htm O9 - 额外的按钮: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe O9 - 额外的“工具”菜单项目: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\Program Files\Thunder Network\Thunder\Thunder.exe O9 - 额外的按钮: IEPlus - {5DCA74AE-D95E-425E-8F00-269575536490} - C:\Program Files\shendoo\IEPlus\IEPlus.dll O9 - 额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - 额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm(文件不存在) O9 - 额外的“工具”菜单项目: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm(文件不存在) O15 - ESC Trusted Zone: http://.update.microsoft.com O15 - ESC Trusted Zone: http://.windowsupdate.microsoft.com O15 - ESC Trusted Zone: http://oca.microsoft.com O15 - ESC Trusted Zone: http://windowsupdate.microsoft.com O15 - ESC Trusted Zone: http://.windowsupdate.com O15 - ESC Trusted Zone: http://.update.microsoft.com (HKLM) O15 - ESC Trusted Zone: http://.windowsupdate.microsoft.com (HKLM) O15 - ESC Trusted Zone: http://go.microsoft.com (HKLM) O15 - ESC Trusted Zone: http://msdn.microsoft.com (HKLM) O15 - ESC Trusted Zone: http://oca.microsoft.com (HKLM) O15 - ESC Trusted Zone: http://support.microsoft.com (HKLM) O15 - ESC Trusted Zone: http://technet.microsoft.com (HKLM) O15 - ESC Trusted Zone: http://windowsupdate.microsoft.com (HKLM) O15 - ESC Trusted Zone: http://www.microsoft.com (HKLM) O15 - ESC Trusted Zone: http://.windowsupdate.com (HKLM) O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/1101/aliedit.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{756E419A-B61C-4435-8AFA-390C1DF27DD4}: NameServer = 202.96.134.133,202.96.128.68 O20 - AppInit_DLLs: ieprot.dll O23 - NT 服务: Contrl Center of Storm Media (ccosm) - 北京暴风网际科技有限公司 - C:\Program Files\StormII\stormliv.exe O23 - NT 服务: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe -- 文件结束 - 9158 字节再次拜托各位！谢谢了！附件: 238857161992.rar (2008-6-28 22:59:49, 1.60 K) 该附件被下载次数 203 让我注册吧最后编辑于 2008-06-28 23:35:18
让我注册吧健康舞勺狮帖子:245 注册: 2005-02-26 来自:	分享到：

让我注册吧健康舞勺狮帖子:245 注册: 2005-02-26 来自:	发表于： 2008-06-28 23:06 \| 只看楼主短消息资料字号：小中大 2楼回复: 浏览器被劫持，几乎每打开一个网页都会报毒。报毒的时候ie占用系统内存特大不知道为什么坛子里面不让发图片！只好把我剪切下的图片打个包传上来了！希望可以有点提示！！附件: 监控时的图片.rar (2008-6-28 23:06:14, 74.49 K) 该附件被下载次数 200
让我注册吧健康舞勺狮帖子:245 注册: 2005-02-26 来自:

松垮的背心初生襁褓狮帖子:13 注册: 2008-06-20 来自:	发表于： 2008-06-28 23:07 \| 短消息资料字号：小中大 3楼回复：浏览器被劫持，几乎每打开一个网页都会报毒。报毒的时候ie占用系统内存特大楼主应该把日志复制到文本,放到附件里传上来
松垮的背心初生襁褓狮帖子:13 注册: 2008-06-20 来自:

mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York	发表于： 2008-06-28 23:08 \| 短消息资料字号：小中大 4楼回复：浏览器被劫持，几乎每打开一个网页都会报毒。报毒的时候ie占用系统内存特大是否处于区域网? 如是.. 请安装arp防火墙即可..
mopery 卡卡技术团队帖子:17737 注册: 2005-12-06 来自:New York

让我注册吧健康舞勺狮帖子:245 注册: 2005-02-26 来自:	发表于： 2008-06-28 23:09 \| 只看楼主短消息资料字号：小中大 5楼回复: 浏览器被劫持，几乎每打开一个网页都会报毒。报毒的时候ie占用系统内存特大引用: 原帖由松垮的背心于 2008-6-28 23:07:00 发表楼主应该把日志复制到文本,放到附件里传上来我觉得这样贴出来更直观一些！你觉得呢？
让我注册吧健康舞勺狮帖子:245 注册: 2005-02-26 来自:

让我注册吧健康舞勺狮帖子:245 注册: 2005-02-26 来自:	发表于： 2008-06-28 23:10 \| 只看楼主短消息资料字号：小中大 6楼回复: 浏览器被劫持，几乎每打开一个网页都会报毒。报毒的时候ie占用系统内存特大引用: 原帖由 mopery 于 2008-6-28 23:08:00 发表是否处于区域网? 如是.. 请安装arp防火墙即可.. 您说的是被ARP攻击引起的？
让我注册吧健康舞勺狮帖子:245 注册: 2005-02-26 来自:

aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派	发表于： 2008-06-28 23:11 \| 短消息资料字号：小中大 7楼回复：浏览器被劫持，几乎每打开一个网页都会报毒。报毒的时候ie占用系统内存特大 Lz在局域网？？ARP病毒
aaccbbdd 卡卡巡查帖子:45933 注册: 2007-11-17 来自:蜀山仙剑派

让我注册吧健康舞勺狮帖子:245 注册: 2005-02-26 来自:	发表于： 2008-06-28 23:33 \| 只看楼主短消息资料字号：小中大 8楼回复：浏览器被劫持，几乎每打开一个网页都会报毒。报毒的时候ie占用系统内存特大好像真的是ARP的问题！我ARP -A可以看到三四个！现在装了防火墙好像真的没有发生问题了！
让我注册吧健康舞勺狮帖子:245 注册: 2005-02-26 来自:

让我注册吧健康舞勺狮帖子:245 注册: 2005-02-26 来自:	发表于： 2008-06-28 23:38 \| 只看楼主短消息资料字号：小中大 9楼回复: 浏览器被劫持，几乎每打开一个网页都会报毒。报毒的时候ie占用系统内存特大谢谢斑竹和aaccbbdd
让我注册吧健康舞勺狮帖子:245 注册: 2005-02-26 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT