瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 [紧急]帮忙看下日志{已按方法修复,还是不行,再更新扫描日志}

12   1  /  2  页   跳转

[紧急]帮忙看下日志{已按方法修复,还是不行,再更新扫描日志}

收藏
速度之龙
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2006-02-26
  • 来自:
发表于: 2006-02-26 14:58 | 显示全部 短消息 资料
字号: 1楼

[紧急]帮忙看下日志{已按方法修复,还是不行,再更新扫描日志}

最近老是跳www.ad-w-a-r-e.com
用不了置顶的方法,因为下了不能运行
用HijackThis扫描了一下,帮我看看哪个问题

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      14:58:00, 日期 2006-2-26
操作系统:  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程:         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINNT\system32\CTsvcCDA.EXE
C:\Program Files\AMD\Cool'n'Quiet\GemServ.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
D:\Program Files\WinPoET\WinPPPoverEthernet.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\SkyNet\FireWall\PFW.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\TEMP\wz\wz.exe
C:\WINNT\system32\conime.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
D:\Program Files\WinPoET\WrOS.EXE
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Tencent\TT\TTraveler.exe
D:\Tencent\QQ.exe
D:\Tencent\TIMPlatform.exe
H:\eMule\eMule.exe
D:\Tencent\QQexternal.exe
J:\SnailGame\VoyageCentury Open Beta\voyage\core.exe
D:\TOOLS\反垃圾插件\hijackthis11.99.1_2\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - URLSearchHook: VeryCD Search Class - {88351CEF-BAC0-4A9B-8380-31A173E2926F} - C:\PROGRA~1\YOK.com\SUPERS~1\YOK_SuperSearch.dll
O1 - Hosts: www.urllogic.com
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - IE工具栏增项: VeryCD超级搜索 - {F869BB38-FFEF-4589-B986-610B7AD0ADA2} - C:\PROGRA~1\YOK.com\SUPERS~1\YOK_SuperSearch.dll
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [a-winpoet-service] D:\Program Files\WinPoET\WinPPPoverEthernet.exe
O4 - 启动项HKLM\\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - 启动项HKLM\\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - 启动项HKLM\\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFW.exe
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - 启动项HKLM\\Run: [YOKAssiant] Rundll32.exe C:\PROGRA~1\YOK.com\SUPERS~1\YOK_SuperSearch.dll,YOKAssiant
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [ntdll.dll] ctfmon.exe
O8 - IE右键菜单中的新增项目: YOK搜索 - C:\PROGRA~1\YOK.com\SUPERS~1\yoksch.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Tencent\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Tencent\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Tencent\SendMMS.htm
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - IE插件,支持文件类型.spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {62B938C4-4190-4F37-8CF0-A92B0A91CC77} (InfoSecNetSign Class) - https://mybank.icbc.com.cn/icbc/NetSign.dll
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82F72CD7-0500-4BAE-8E71-26DB20612769}: NameServer = 202.96.209.6 202.96.209.133
O20 - Winlogon Notify: WindowsUpdate - C:\WINNT\system32\r68slgl716q.dll
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - NT 服务: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - NT 服务: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.EXE
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Program Files\AMD\Cool'n'Quiet\GemServ.exe
O23 - NT 服务: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - NT 服务: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - NT 服务: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - NT 服务: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - NT 服务: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - NT 服务: WinkldUP - Unknown owner - C:\WINNT\TEMP\wz\wz.exe
O23 - NT 服务: WinPPPoverEthernet - iVasion, a Routerware Company - D:\Program Files\WinPoET\WrOS.EXE
O23 - NT 服务: WintUPp - iVasion, a Routerware Company - (no file)

最后编辑2006-03-01 14:51:44
分享到:
gototop
 
速度之龙
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2006-02-26
  • 来自:
发表于: 2006-02-27 08:07 | 显示全部 短消息 资料
字号: 2楼

引用:
【魔法学徒的贴子】先修复
O4 - HKCU\..\Run: [ntdll.dll] ctfmon.exe
O23 - NT 服务: WinkldUP - Unknown owner - C:\WINNT\TEMP\wz\wz.exe

删除
C:\WINNT\TEMP\wz\wz.exe

然后再试试看
...........................


删除
C:\WINNT\TEMP\wz\wz.exe
这个后,会不会不能上网?
gototop
 
速度之龙
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2006-02-26
  • 来自:
发表于: 2006-02-27 08:17 | 显示全部 短消息 资料
字号: 3楼

我机器下面还有个WINDOWS目录,里面有很多东西,按理说WIN2000是不会有这个目录的,好奇怪
gototop
 
速度之龙
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2006-02-26
  • 来自:
发表于: 2006-02-27 08:47 | 显示全部 短消息 资料
字号: 4楼

C:\Documents and Settings\Administrator\Local Settings\Temp里面的wz文件夹有个~up和Update文件
~up的内容是
[Version]
sp.cab=1.0.0.1
[sp.cab]
URL=http://z.17key.net/winkld/sp.cab
state=1

Update的内容是
[version]
sp.cab=1.0.0.1

[sp.cab]
url=http://z.17key.net/winkld/sp.cab
gototop
 
速度之龙
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2006-02-26
  • 来自:
发表于: 2006-02-27 08:48 | 显示全部 短消息 资料
字号: 5楼

引用:
【读来毒网的贴子】
引用:
【速度之龙的贴子】
引用:
【魔法学徒的贴子】先修复
O4 - HKCU\..\Run: [ntdll.dll] ctfmon.exe
O23 - NT 服务: WinkldUP - Unknown owner - C:\WINNT\TEMP\wz\wz.exe

删除
C:\WINNT\TEMP\wz\wz.exe

然后再试试看
...........................


删除
C:\WINNT\TEMP\wz\wz.exe
这个后,会不会不能上网?
...........................


有什么理由不可以上网
楼主有没有试过这个方法,试了再个日志上来看看
...........................


这个要在安全模式下删除吗?
gototop
 
速度之龙
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2006-02-26
  • 来自:
发表于: 2006-02-27 08:58 | 显示全部 短消息 资料
字号: 6楼

引用:
【不言放弃的贴子】安全模式下删除
C:\WINNT\TEMP下的所有文件
C:\Documents and Settings\Administrator\Local Settings\Temp下的所有文件
...........................


了解,晚上回家试着弄下看看
gototop
 
速度之龙
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2006-02-26
  • 来自:
发表于: 2006-02-27 19:17 | 显示全部 短消息 资料
字号: 7楼

引用:
【魔法学徒的贴子】先修复
O4 - HKCU\..\Run: [ntdll.dll] ctfmon.exe
O23 - NT 服务: WinkldUP - Unknown owner - C:\WINNT\TEMP\wz\wz.exe

删除
C:\WINNT\TEMP\wz\wz.exe

然后再试试看
...........................

按照这个试好了,现在还是老样子,继续跳www.ad-w-a-r-e.com的弄出来的网页

新扫了个日志,以下

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      19:15:07, 日期 2006-2-27
操作系统:  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程:         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINNT\system32\CTsvcCDA.EXE
C:\Program Files\AMD\Cool'n'Quiet\GemServ.exe
C:\WINNT\system32\hidserv.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Network Monitor\netmon.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
D:\Program Files\WinPoET\WinPPPoverEthernet.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\SkyNet\FireWall\PFW.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
D:\Program Files\WinPoET\WrOS.EXE
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
D:\Tencent\TT\TTraveler.exe
H:\eMule\eMule.exe
D:\Tencent\QQ.exe
D:\Tencent\TIMPlatform.exe
C:\WINNT\system32\rundll32.exe
D:\Tencent\QQexternal.exe
D:\TOOLS\反垃圾插件\hijackthis11.99.1_2\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - URLSearchHook: VeryCD Search Class - {88351CEF-BAC0-4A9B-8380-31A173E2926F} - C:\PROGRA~1\YOK.com\SUPERS~1\YOK_SuperSearch.dll
O1 - Hosts: www.urllogic.com
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - IE工具栏增项: VeryCD超级搜索 - {F869BB38-FFEF-4589-B986-610B7AD0ADA2} - C:\PROGRA~1\YOK.com\SUPERS~1\YOK_SuperSearch.dll
O4 - 启动项HKLM\\Run: [Synchronization Manager] mobsync.exe /logon
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [a-winpoet-service] D:\Program Files\WinPoET\WinPPPoverEthernet.exe
O4 - 启动项HKLM\\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - 启动项HKLM\\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - 启动项HKLM\\Run: [NAV CfgWiz] C:\Program Files\Common Files\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFW.exe
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - 启动项HKLM\\Run: [YOKAssiant] Rundll32.exe C:\PROGRA~1\YOK.com\SUPERS~1\YOK_SuperSearch.dll,YOKAssiant
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - HKCU\..\Run: [LDM] D:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O8 - IE右键菜单中的新增项目: YOK搜索 - C:\PROGRA~1\YOK.com\SUPERS~1\yoksch.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Tencent\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Tencent\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Tencent\SendMMS.htm
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O12 - IE插件,支持文件类型.spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {62B938C4-4190-4F37-8CF0-A92B0A91CC77} (InfoSecNetSign Class) - https://mybank.icbc.com.cn/icbc/NetSign.dll
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{82F72CD7-0500-4BAE-8E71-26DB20612769}: NameServer = 202.96.209.6 202.96.209.133
O20 - Winlogon Notify: Explorer - C:\WINNT\system32\mvlsl9371.dll
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - NT 服务: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - NT 服务: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.EXE
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Program Files\AMD\Cool'n'Quiet\GemServ.exe
O23 - NT 服务: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - NT 服务: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - NT 服务: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - NT 服务: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - NT 服务: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe
O23 - NT 服务: WinPPPoverEthernet - iVasion, a Routerware Company - D:\Program Files\WinPoET\WrOS.EXE
O23 - NT 服务: WintUPp - iVasion, a Routerware Company - (no file)
gototop
 
速度之龙
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2006-02-26
  • 来自:
发表于: 2006-02-27 19:25 | 显示全部 短消息 资料
字号: 8楼

还弹出这个地址,最近比较多
http://www.accoona.cn/cn/?utm_id=c300063&utm_source=ctkc&utm_medium=redi%20%20r&utm_campaign=ctkc0905
gototop
 
速度之龙
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2006-02-26
  • 来自:
发表于: 2006-02-28 00:11 | 显示全部 短消息 资料
字号: 9楼

装了扫描了,但不能保存日志,提示未知错误或内存不可写
gototop
 
速度之龙
头像
初生襁褓狮
  • 帖子:14
  • 注册: 2006-02-26
  • 来自:
发表于: 2006-02-28 08:04 | 显示全部 短消息 资料
字号: 10楼

SOS,麻烦知道怎么解决的人看一下
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT