瑞星卡卡安全论坛技术交流区系统软件 又一台机子中毒倒下,请求侠义志士速来医治!付扫描日志

1   1  /  1  页   跳转

又一台机子中毒倒下,请求侠义志士速来医治!付扫描日志

收藏
未来hack
头像
初生襁褓狮
  • 帖子:84
  • 注册: 2006-07-22
  • 来自:
发表于: 2006-08-24 13:38 | 只看楼主 短消息 资料
字号: 1楼

又一台机子中毒倒下,请求侠义志士速来医治!付扫描日志

昨天晚上要给妈妈下载小游戏,就胡乱找个网站.没想到中了招,请高人指点.毒已经杀过了,可发现没杀干净.smss.exe进程有两个,其中一个找不到存放路径,也关不掉.注册表也不知道怎么修改.
我先在这里谢过了!
最后编辑2006-08-24 16:39:20
分享到:
gototop
 
未来hack
头像
初生襁褓狮
  • 帖子:84
  • 注册: 2006-07-22
  • 来自:
发表于: 2006-08-24 13:39 | 只看楼主 短消息 资料
字号: 2楼

Logfile of HijackThis v1.99.1
Scan saved at 13:28:51, on 2006-8-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SMSS.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\conime.exe
E:\下载小东西\HijackThis.exe

R3 - URLSearchHook: SrchHook Class - {EED92A43-CFCE-4548-BD73-B0A405470ED5} - C:\PROGRA~1\CNNIC\Cdn\iesrch.dll
F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: yPhtb - _{33BBE430-0E42-4f12-B075-8D21ACB10DCB}? - (no file)
O2 - BHO: Anti Fish - _{38928D50-8A48-44C2-945F-D2F23F771410}? - (no file)
O2 - BHO: YDragSearch - _{62EED7C6-9F02-42f9-B634-98E2899E147B}? - (no file)
O2 - BHO: (no name) - _{9A556B8F-FD02-420E-A1FD-9DB33808254E}? - (no file)
O2 - BHO: (no name) - _{A9930D97-9CF0-42A0-A10D-4F28836579D5}? - (no file)
O2 - BHO: WebThunderBHO - {00000AAA-A363-466E-BEF5-9BB68697AA7F} - C:\Program Files\Thunder Network\WebThunder\WebThunderBHO_011.dll
O2 - BHO: internet explorer helper - {02C9B9AB-6372-46C5-B356-773FAF3B6B1E} - C:\WINDOWS\fonts\msshapi.dll (file missing)
O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\PROGRA~1\DESKAD~1\deskipn.dll (file missing)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162}? - (no file)
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
O2 - BHO: MSHlper Class - {721E6521-4CAD-4A8D-A7F1-4E230B31EF19} - C:\WINDOWS\system32\MSHLP.DLL (file missing)
O2 - BHO: CpapView Class - {77962960-536E-47EC-9DDB-52651519705F} - C:\WINDOWS\system32\Rundl132.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283}? - (no file)
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5}? - (no file)
O2 - BHO: Java Enhancer - {AF098F95-7CEA-407A-8552-3846737CC4B2} - C:\WINDOWS\system32\contwin.dll
O2 - BHO: RealPlayer Control - {BDBFE1F2-14C7-42D3-ACC7-4C2757F27F55} - C:\WINDOWS\system32\RMOC3360.DLL
O2 - BHO: BHelper Class - {F2E37336-BFDB-409B-8D0E-6F013C438B20} - C:\WINDOWS\system32\3deo6af0.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\SMSS.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O8 - Extra context menu item: 使用Web迅雷下载 - C:\Program Files\Thunder Network\WebThunder\GetUrl.htm
O8 - Extra context menu item: 使用Web迅雷下载全部链接 - C:\Program Files\Thunder Network\WebThunder\GetAllUrl.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O9 - Extra button: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F}? - http://www.tomatolei.com (file missing)
O9 - Extra 'Tools' menuitem: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F}? - http://www.tomatolei.com (file missing)
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - Extra 'Tools' menuitem: 彩E精灵设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - Extra button: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra 'Tools' menuitem: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra button: 金山词霸 - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8}? - C:\PROGRA~1\Kingsoft\XDict\IEPlugin.dll
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6}? - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B191EE6-1952-4939-BF3C-E946BAE558E4}: NameServer = 202.99.160.68 202.99.166.4
O21 - SSODL: DelayRun - {5A6F2F95-3191-433B-8533-EB0B596A7BAC} - C:\WINDOWS\system32\3ded6af0.dll
O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
O21 - SSODL: webwork - {4C611512-2C1D-44b2-A044-872AD2AD5A61} - C:\WINDOWS\webwork\webwork.dll
O23 - Service: GrayPigeonServer - Unknown owner - C:\WINDOWS\G_Server2006.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
gototop
 
阿诺8979
头像
叱咤花甲狮
  • 帖子:4722
  • 注册: 2005-12-09
  • 来自:河北保定雄县
发表于: 2006-08-24 13:43 | 短消息 资料
字号: 3楼

C:\WINDOWS\SMSS.EXE这个是病毒。
要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可
别的我不多说。。
进程里如果会出现两个smss
一个是系统文件。一个是木马
木马克星能帮你杀了他。
下载地址:
http://sq2.onlinedown.net/soft/2985.htm
gototop
 
zgr稳得起
头像
大版主
  • 帖子:9006
  • 注册: 2006-05-23
  • 来自:长江嘉陵江接合部
年度优秀版主奖卡卡名人堂十周年
发表于: 2006-08-24 13:55 | 短消息 资料
字号: 4楼

引用:
【未来hack的贴子】昨天晚上要给妈妈下载小游戏,就胡乱找个网站.没想到中了招,请高人指点.毒已经杀过了,可发现没杀干净.smss.exe进程有两个,其中一个找不到存放路径,也关不掉.注册表也不知道怎么修改.
我先在这里谢过了!
………………

http://forum.ikaka.com/topic.asp?board=28&artid=8139913
你可以到我的“网络优盘”里下载一个“LSASS专杀.RAR”文件来参见下图红框中所示
↑〖稳得起网络优盘〗↓
http://free.ys168.com/?zgrhcf
E:\我的文档xp\reg_txt\技巧与问题\稳得起网络优盘\LSASS专杀.JPG

附件附件:

下载次数:194
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-24 13:55:29
描述:
gototop
 
叶·幽思
头像
横据古稀狮
  • 帖子:7280
  • 注册: 2005-09-01
  • 来自:Town
冰激凌
发表于: 2006-08-24 13:56 | 短消息 资料
字号: 5楼

安全模式下修复:

O2 - BHO: yPhtb - _{33BBE430-0E42-4f12-B075-8D21ACB10DCB}? - (no file)
O2 - BHO: Anti Fish - _{38928D50-8A48-44C2-945F-D2F23F771410}? - (no file)
O2 - BHO: YDragSearch - _{62EED7C6-9F02-42f9-B634-98E2899E147B}? - (no file)
O2 - BHO: (no name) - _{9A556B8F-FD02-420E-A1FD-9DB33808254E}? - (no file)
O2 - BHO: (no name) - _{A9930D97-9CF0-42A0-A10D-4F28836579D5}? - (no file)

O2 - BHO: internet explorer helper - {02C9B9AB-6372-46C5-B356-773FAF3B6B1E} - C:\WINDOWS\fonts\msshapi.dll (file missing)
O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\PROGRA~1\DESKAD~1\deskipn.dll (file missing)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162}? - (no file)
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O2 - BHO: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
O2 - BHO: MSHlper Class - {721E6521-4CAD-4A8D-A7F1-4E230B31EF19} - C:\WINDOWS\system32\MSHLP.DLL (file missing)
O2 - BHO: CpapView Class - {77962960-536E-47EC-9DDB-52651519705F} - C:\WINDOWS\system32\Rundl132.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283}? - (no file)
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5}? - (no file)
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\mmsass~1.dll/mms.htm
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - Extra 'Tools' menuitem: 彩E精灵设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\mmsass~1.dll
O9 - Extra button: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra 'Tools' menuitem: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)

O21 - SSODL: stdup - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll

运行:services.msc

在服务里停用:  GrayPigeonServer

删除:C:\WINDOWS\G_Server2006.exe

运行:regedit,按F3查找:G_Server2006.exe,按F3查找下一个,找到后删除.

O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\SMSS.EXE

参考:http://forum.ikaka.com/topic.asp?board=28&artid=8137314


以下2项不确定

R3 - URLSearchHook: SrchHook Class - {EED92A43-CFCE-4548-BD73-B0A405470ED5} - C:\PROGRA~1\CNNIC\Cdn\iesrch.dll

F2 - REG:system.ini: Shell=Explorer.exe 1

删除:

C:\PROGRA~1\MMSASS~1这个文件夹

C:\WINDOWS\System32\stdup.dll

C:\WINDOWS\system32\Rundl132.dll



如何进入安全模式

Windows Xp 进入安全模式方法:
在计算机开启BIOS加载完之后,迅速按下F8键,在出现的WindowsXP高级选项菜单中回车按下[安全模式].

Windows 2000 进入安全模式方法:
启动Windows2000时,当看到白色箭头的进度条,按下F8键,出现Windows2000高级选项菜单中回车按下[安全模式].

Windows98/Me 进入安全模式方法:
启动Windows98/Me时,当出现[Starting Windows 98]的时候,迅速按下F8键,按下启动菜单中选择第三项[Safe Mode].
gototop
 
未来hack
头像
初生襁褓狮
  • 帖子:84
  • 注册: 2006-07-22
  • 来自:
发表于: 2006-08-24 16:12 | 只看楼主 短消息 资料
字号: 6楼

引用:
【阿诺8979的贴子】C:\WINDOWS\SMSS.EXE这个是病毒。
要注意:如果系统中出现了不只一个smss.exe进程,而且有的smss.exe路径是"%WINDIR%\SMSS.EXE",那就是中了TrojanClicker.Nogard.a病毒,这是一种Windows下的PE病毒,它采用VB6编写 ,是一个自动访问某站点的木马病毒。该病毒会在注册表中多处添加自己的启动项,还会修改系统文件WIN.INI,并在[WINDOWS]项中加入"RUN" = "%WINDIR%\SMSS.EXE"。手工清除时请先结束病毒进程smss.exe,再删除%WINDIR%下的smss.exe文件,然后清除它在注册表和WIN.INI文件中的相关项即可
别的我不多说。。
进程里如果会出现两个smss
一个是系统文件。一个是木马
木马克星能帮你杀了他。
下载地址:

………………

你给的那个软件,我用过了,杀不光,我还专门下载了好几个版本.都一样.另赐高招!
gototop
 
地区性
头像
横据古稀狮
  • 帖子:10228
  • 注册: 2005-04-10
  • 来自:鸟不拉屎的地方
发表于: 2006-08-24 16:47 | 短消息 资料
字号: 7楼

C:\WINDOWS\SMSS.EXE

把样本发给baohe版主
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT