发表于: 2005-10-11 12:17 | 显示全部 短消息 资料
字号: 1楼

小弟机器中灰鸽子木马,请大侠帮忙看下HJK的log,看看哪些是木马,谢谢

!! 求助: 小弟机器中灰鸽子木马,无法进入安全模式(不确定是木马的原因,load系统到一半后死机,无法进安全模式,是XP系统),只好在正常模式下杀,用了很多如木马克星,木马大师之类的,但是感觉都没有杀干净,手动查木马,杀了windows.exe,windows.dll,windows_hook.dll,windowskey.dll,删了注册表里的windows服务项,后又在c:\windows\下发现SVCHOST.exe和service.exe ,也删了,但是在注册表里删SVCHOST.exe的项目时,报告说有服务或进程正在使用该项目,无法删除,刚才用icesword终于把这几个注册项删掉了,名字均是LEGACY_SVCHOST.exe,一看就知道不是正常注册项,我办公室电脑里也没有这个注册项,肯定是木马无疑了。

现在无法进安全模式,担心无法杀干净木马,小弟是菜菜鸟,现在摆了n个防火墙在系统里(天网,SMM,blackice,icesword,木马克星,木马大师),现上网时暂时没有发现有什么可疑程序访问网络。但是总是不安心啊,小弟中灰鸽子时候可是正在上网银的,吓坏我了,哪位大侠指点小弟迷津,不胜感激!!!!

下面贴上刚用HijackThis 1.99.1查的log:请高手帮小弟看看有没有木马在里面,顿首以拜!!!

HijackThis(zww3008汉化版)V1.99.1
保存于 19:30:26, 日期 2004-10-10
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\SkyNet\FireWall\PFW.exe
C:\Program Files\Iparmor\Iparmor.exe
C:\KAV6\KPopMon.EXE
C:\KAV6\KWatchUI.EXE
C:\Program Files\ISS\BlackICE\blackice.exe
C:\Program Files\绿鹰PC万能精灵\adam.exe
C:\Program Files\木马专家 2005\mmzj.exe
E:\DIYware\system safety\杀毒软件\流行病毒统杀工具 V2.6 绿色完美破解版\c-lxbdl\WingKav.exe
C:\KAV6\MailMon.EXE
C:\KAV6\KAVPlus.EXE
C:\WINDOWS\system32\conime.exe
C:\Program Files\System Safety Monitor\SYSSAFE.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\vmnat.exe
C:\WINDOWS\System32\vmnetdhcp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ISS\BlackICE\blackd.exe
C:\WINDOWS\system32\wuauclt.exe
E:\DIYware\system safety\系统监视与防护\HijackThis1.99.1\HB_HijackThis1991_zww.exe

R3 - URLSearchHook: 上网助手 - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRA~1\3721\Assist\assist.dll
O2 - BHO: i&Bar搜索引擎 - {2E7D3330-EB94-4518-B0FE-E05379A5C1DA} - C:\PROGRA~1\iBar\10002\iBar.dll
O2 - BHO: MMSAssist - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\System32\stdup.dll
O3 - IE工具栏增项: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 金山毒霸 - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - C:\KAV6\KAIEPlus.DLL
O3 - IE工具栏增项: 上网助手 - {1B0E7716-898E-48cc-9690-4E338E8DE1D3} - C:\PROGRA~1\3721\Assist\assist.dll
O3 - IE工具栏增项: i&Bar搜索引擎 - {2E7D3330-EB94-4518-B0FE-E05379A5C1DA} - C:\PROGRA~1\iBar\10002\iBar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - 启动项HKLM\\Run: [KAVRun] C:\KAV6\KAVRun.EXE
O4 - 启动项HKLM\\Run: [Kulansyn] C:\KAV6\Kulansyn.EXE
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFW.exe
O4 - 启动项HKLM\\Run: [iparmor] C:\Program Files\Iparmor\Iparmor.exe mini
O4 - 启动项HKCU\\Run: [KpopMon] C:\KAV6\KPopMon.EXE
O4 - “启动”文件夹: 木马专家 2005.lnk = ?
O4 - “启动”文件夹: IceSword.lnk = ?
O4 - “启动”文件夹: 流行病毒统杀工具.lnk = ?
O4 - Global Startup: BlackICE PC Protection.lnk = C:\Program Files\ISS\BlackICE\blackice.exe
O4 - Global Startup: 绿鹰PC万能精灵.lnk = ?
O8 - IE右键菜单中的新增项目: >> 彩信发送 << - res://C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL/mms.htm
O8 - IE右键菜单中的新增项目: &Download by NetAnts - C:\PROGRA~1\NETANTS\NAGet.htm
O8 - IE右键菜单中的新增项目: Download &All by NetAnts - C:\PROGRA~1\NETANTS\NAGetAll.htm
O8 - IE右键菜单中的新增项目: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm
O8 - IE右键菜单中的新增项目: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm
O8 - IE右键菜单中的新增项目: 下载页面上的ED2(&K)链接 - C:\Program Files\eMule\ed2k.html
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - C:\Program Files\BitSpirit\bsurl.htm
O9 - 浏览器额外的按钮: 常用网址 - {36B39F01-7B48-44AD-A165-5849CD8EF562} - C:\WINDOWS\system32\SHDOCVW.DLL
O9 - 浏览器额外的按钮: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NETANTS\NetAnts.exe
O9 - 浏览器额外的“工具”菜单项: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\PROGRA~1\NETANTS\NetAnts.exe
O9 - 浏览器额外的按钮: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O9 - 浏览器额外的“工具”菜单项: MMSAssist工具条设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\MMSASS~1.DLL
O9 - 浏览器额外的按钮: 金山卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - url:http://www.joyo.com (file missing)
O9 - 浏览器额外的按钮: 词霸 - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的按钮: 金山毒霸网站 - {e1fc9760-7b95-49cd-80b9-8c9e41017b93} - url:http://www.duba.net (file missing)
O9 - 浏览器额外的按钮: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe
O9 - 浏览器额外的按钮: 在线查毒 - {f58d36c3-40be-4418-a786-d8fbe3eb3554} - C:\KAV6\kavie.htm
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - 列举现有的协议: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - C:\PROGRA~1\Kingsoft\POWERW~1\XDictExB.dll
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: BlackICE - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICE\blackd.exe
O23 - NT 服务: InCD Helper (InCDsrv) - Ahead Software AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - NT 服务: RapApp - Internet Security Systems, Inc. - C:\Program Files\ISS\BlackICE\rapapp.exe
O23 - NT 服务: System Safety Monitor (SSM) - Max Computing - C:\Program Files\System Safety Monitor\SYSSAFE.EXE
O23 - NT 服务: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\System32\vmnetdhcp.exe
O23 - NT 服务: VMware NAT Service - VMware, Inc. - C:\WINDOWS\System32\vmnat.exe
O23 - NT 服务: Security Centre (wscscv) - Unknown owner - C:\WINDOWS\services.exe (file missing)
最后编辑2005-10-11 12:40:58