HijackThis_zww汉化版扫描日志 V1.99.1
保存于      0:09:38, 日期 2006-8-25
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\gjx\ipqq06\QQ\TIMPlatform.exe
C:\Program Files\gjx\ipqq06\QQ\QQ.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\1\LOCALS~1\Temp\Rar$EX92.469\HijackThis1991zww.exe

R3 - URLSearchHook: YOK Search Class - {88351CEF-BAC0-4A9B-8380-31A173E2926F} - C:\Program Files\YOK.com\SuperSearch\YOK_SuperSearch.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,"C:\Program Files\HFEE\SVOHOST.EXE" un userinit.exe
O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll (file missing)
O2 - BHO: FiltrateWebObj Class - {42AFACEE-2A77-41EB-9EE2-D9F8AF827F90} - C:\Program Files\KV2006\KVBHO.dll (file missing)
O2 - BHO: 珊瑚虫工具栏 - {75FE2B5A-D3A4-4EFA-AC11-ADC9C9459688} - C:\Program Files\YOK.com\SuperSearch\YOK_SuperSearch.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - (no file)
O3 - IE工具栏增项: 珊瑚虫工具栏 - {F869BB38-FFEF-4589-B986-610B7AD0ADA2} - C:\Program Files\YOK.com\SuperSearch\YOK_SuperSearch.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - 启动项HKLM\\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - 启动项HKLM\\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - 启动项HKLM\\Run: [QMusic2] "C:\Program Files\BenQ\QMusic2\QMAgent.exe"
O4 - 启动项HKLM\\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - 启动项HKLM\\Run: [Ulead AutoDetector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - 启动项HKLM\\Run: [QPresentation] C:\Program Files\BenQ\QPresentation\QPresentation.exe /s
O4 - 启动项HKLM\\Run: [BenQ Surround] C:\Program Files\BenQ\BenQ Surround\BenQSurround.exe /s
O4 - 启动项HKLM\\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - 启动项HKLM\\Run: [Q-HotkeyMgr] "C:\Program Files\BenQ\Q-HotkeyMgr\HotkeySensor.exe"
O4 - 启动项HKLM\\Run: [QPower] C:\Program Files\BenQ\QPower\QPower.exe /s
O4 - 启动项HKLM\\Run: [Q-MediaBar] "C:\Program Files\BenQ\Q-MediaBar\QBar.exe" /stop
O4 - 启动项HKLM\\Run: [SmartAudio] C:\Program Files\Conexant\SmartAudio\SmartAudio.exe
O4 - 启动项HKLM\\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - 启动项HKLM\\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - 启动项HKLM\\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - 启动项HKLM\\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - 启动项HKLM\\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - 启动项HKLM\\Run: [Network Associates Error Reporting Service] "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
O4 - 启动项HKLM\\Run: [YDTMain.exe] C:\PROGRA~1\YDT\YDTMain.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [kav] "D:\工具箱\360safe\kaspersky6.0\avp.exe"
O4 - 启动项HKLM\\Run: [YOKAssiant] Rundll32.exe C:\PROGRA~1\YOK.com\SUPERS~1\YOK_SuperSearch.dll,YOKAssiant
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - Global Startup: 蓝牙控制盘.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: !搜一搜 - res://C:\WINDOWS\DOWNLO~1\CnsMinEx.dll/1003
O8 - IE右键菜单中的新增项目: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 珊瑚虫搜索 - C:\Program Files\YOK.com\SuperSearch\yoksch.htm
O9 - 浏览器额外的按钮: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm?pid=200135_1006 (file missing)
O9 - 浏览器额外的按钮: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\工具箱\360safe\kaspersky6.0\scieplugin.dll
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - 浏览器额外的按钮: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - 浏览器额外的按钮: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - 浏览器额外的“工具”菜单项: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\cdnns.dll' missing
O11 - Options group: [!CNS]  上网助手-地址栏搜索
O14 - IERESET.INF: START_PAGE_URL=http://WWW.BenQ.COM/
O16 - DPF: {2EA6D939-4445-43F1-A12B-8CB3DDA8B855} (BlueskyVideo Control) - http://www.bluesky.cn/download/v2_60.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156431698718
O16 - DPF: {991481A7-4669-4E15-8C24-100404E1F5CB} (Blueskyvoice Control) - http://www.bluesky.cn/download/blueskyvoice_60.cab
O18 - 列举现有的协议: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - NT 服务: 卡巴斯基反病毒软件6.0 (AVP) - Kaspersky Lab - D:\工具箱\360safe\kaspersky6.0\avp.exe
O23 - NT 服务: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - NT 服务: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - NT 服务: Macromedia Licensing Service - Unknown owner - C:\Program Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - NT 服务: McAfee Framework 服务 (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - NT 服务: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - NT 服务: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - NT 服务: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - NT 服务: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

60秒自动关机，有时提示lsass意外终止，有时提示services意外终止，用瑞星、卡巴斯基、微软等专杀软件在安全模式下杀了，依然不行，用正常模式开机就自动关机。

谢谢。我去搜个冲击波专杀工具试试。。。

下载到瑞星的RPC漏洞蠕虫专用杀毒工具。杀了，报没毒。。。

请高手帮帮忙啊

最新消息，首例利用MS05-039漏洞的蠕虫Zotob.A已经被截获。
MS05-039，即插即用中的漏洞可能允许远程执行代码和特权提升。早在前两天的时候，关于这个漏洞的代码已被放到网上。根据F-Secure的分析，这个蠕虫Zotob.A是将mytob与Microsoft Windows 2000 Plug and Play Universal Remote Exploit攻击代码结合在一起的产物，并通过TCP445端口扫描其他机器，如果发现漏洞，将会通过ftp从扫描的机器上下载病毒。
此次的漏洞代码也属远程溢出来进行攻击。通过对漏洞源码的分析，可以看到漏洞代码中提到：
1. 在XP SP1，需要授权用户才能进行攻击；
2. 在XP SP2和2003，要管理员才能进行攻击；
3. 在WIN2000，可以匿名进行攻击

从攻击源码来看，编写者就是在Windows 2000 SP4上进行的测试，所以在此提醒广大用户注意，请赶快给你的机器安装MS05-039的补丁。

我个人注意到，MS05-039漏洞中的Plug and Play服务也是采用X:\\WINNT\\system32\\services.exe，所以很有可能这两天的重启现象与这个远程漏洞有关。

MS05-039补丁下载地址：http://www.microsoft.com/china/technet/security/bulletin/MS05-039.mspx



文章来自: 本站原创
引用通告地址: http://www.sjhack.com/aflf/trackback.asp?tbID=97

转贴;;;;;;;
状态码为-1073741819系统正在关机

最近很多朋友说电脑无故的重启，nt authority\system，还有c:\windows\system32\lsass.exe，-10737什么的这样一个窗口，大概有40S左右的时间，自动关机后重新启动，

检查发现启动栏里有个dumprep O-u的启动项(有的是dumprep O-k)，禁掉后又会有，症状跟以前的冲击波差不多。

今天好像很多人都中招了,重装系统也没用 [mood53]

估计是利用LSASS漏洞攻击
冲击波病毒的特征是显示:

由NT Authouity/system 初始的”“Remoto Procedure Call(RPC)服务意外终止，必须重新启动电脑

然后倒计时重启,和这个病毒显示的内容不同,所以应该是一种新的病毒~~~


我的建议是大家赶快安装防火墙,然后关闭除80和21以外所有端口~~~~[mood73]

还有尽快安装这个补丁：
http://www.microsoft.com/china/t ... letin/ms04-011.mspx

目前有90％以上的Windows2000/XP/2003用户没有给这个系统漏洞打上补丁程序，此前在MS04-011号安全公报中公布的这个漏洞被微软定为最高级

另：微软官方公告：http://www.microsoft.com/china/t ... ent/pctdisable.mspx
补丁下载地址：http://www.microsoft.com/china/t ... letin/ms04-011.mspx

建议所有 Win2000、XP、2003 用户安装补丁，或者启用防火墙。

染毒计算机的主要症状为：
（1）进程中出现 avserve.exe 和 *****_up.exe，占用大量资源；
其中*****为从0～65535之间的随机数字
（2）出现LSA Shell错误；
（3）导致系统进程lsass.exe错误，并进而导致计算机强迫重启；
（4）有网友反馈计算机的管理员权限帐户口令被修改（未证实）。

病毒原理：
病毒首先生成 C:\WINNT\system32\*****_up.exe （这个文件名是随即的 但_up.exe一定 其中*****为从0～65535之间的随机数字）并执行。
然后建立文件：C:\WINNT\avserve.exe，并在注册表中建立/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/avserve.exe项。
病毒在本机启动3000多tcp 端口对外扫描tcp 445。（原来如此，把socket全占光了）待毒计算机的网络应用可能无法正常打开。

清除方法
首先按 ctrl+shift+esc 调出任务管理器 在进程中关闭 averve.exe
然后打好补丁 3 个补丁：KB837001，KB828741，KB835732
删除注册表的相应键值 （run 中 输入 regedit)
删除相应位置的的文件 avserve.exe (c:\windows 或 c:\winnt 下）
*****_up.exe 文件 c:\windows 或 c:\winnt 下 system32 里
通过安装防火墙或者手动关闭计算机的445端口

找来两篇文章，大家如果有我这样的问题，参考下。

我的问题还是没解决。总是报services.exe意外终止，代码-107....