瑞星卡卡安全论坛
bobo无极限 - 2005-7-29 17:14:00
bobo无极限 - 2005-7-29 17:17:00
这是C:\Program Files\Internet Explorer下的一个文件.
附件:
5362382005729171712.BMP
cathy123 - 2005-7-29 17:17:00
【回复“bobo无极限”的帖子】这能说明什么?只是表示那个端口可被木马利用;并不是说你的系统已经进了木马。
cathy123 - 2005-7-29 17:19:00
| 引用: |
【bobo无极限的贴子】这是C:\Program Files\Internet Explorer下的一个文件.
........................... |
删不掉?
bobo无极限 - 2005-7-29 17:19:00
这是C:\Program Files\Internet Explorer下的一个文件
附件:
5362382005729171924.BMP
bobo无极限 - 2005-7-29 17:20:00
这是1.99.1扫描的内容
Logfile of HijackThis v1.99.1
Scan saved at 17:16:13, on 2005-7-29
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
F:\Rising\Rfw\rfwsrv.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\HP\KBD\KBD.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\3721\assistse.exe
C:\Program Files\3721\Dlaccel\YDownloader.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\Winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\3721\Dlaccel\TDUpdate.exe
F:\Rising\Rfw\rfwmain.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\Program Files\Internet Explorer\iexplore.exe
F:\hijackthis1.99.1\hijackthis1.99.1\HijackThis.exe
R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\Assist\asbar.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v6.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\3721\Assist\Angling.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\QQ\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\Assist\asbar.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\CnsHook.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\Assist\asbar.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [assistse] "C:\PROGRA~1\3721\assistse.exe"
O4 - HKLM\..\Run: [dl_accel] C:\Program Files\3721\Dlaccel\YDownloader.exe
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [RfwMain] "F:\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: !搜一搜 - res://C:\WINDOWS\DOWNLO~1\CnsMinEx.dll/1003
O8 - Extra context menu item: &使用下载加速专家下载 - C:\Program Files\3721\Dlaccel\geturl.htm
O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRA~1\FLASHGET\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRA~1\FLASHGET\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\QQ\SendMMS.htm
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\QQ\QQIEHelper.dll
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS] 网络实名
O16 - DPF: {2D4851FD-0BFE-11D4-9260-9AF666D52059} (GameX Class) - http://202.108.34.243/game/system/activex/gamex.cab
O16 - DPF: {ABA7CC7F-019D-47DB-A0D2-B3C2B3AC1B44} (Fc2Boot Class) - http://210.51.5.80/fun/system/fc2boot.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E4D86D7-3BF5-454D-A306-4B9C54DC8FB0}: NameServer = 202.102.152.3 202.102.154.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E4D86D7-3BF5-454D-A306-4B9C54DC8FB0}: NameServer = 202.102.152.3 202.102.154.3
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - F:\Rising\Rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
bobo无极限 - 2005-7-29 17:23:00
最近感觉上网速度慢了,和这个有关系吗?
比如我回一个贴要等半分钟才能刷新到发完帖子的界面.
bobo无极限 - 2005-7-29 17:24:00
| 引用: |
【cathy123的贴子】
删不掉?
........................... |
不知道能不能删除掉,我不敢删除.
因为不知道是什么东东嘛
cathy123 - 2005-7-29 17:27:00
【回复“bobo无极限”的帖子】
O16 - DPF: {ABA7CC7F-019D-47DB-A0D2-B3C2B3AC1B44} (Fc2Boot Class) - http://210.51.5.80/fun/system/fc2boot.cab
请你检查一下这个插件是不是你自己主动下载安装的。
cathy123 - 2005-7-29 17:29:00
| 引用: |
【bobo无极限的贴子】
不知道能不能删除掉,我不敢删除.
因为不知道是什么东东嘛
........................... |
先把这个文件打包,放在另一个地方;再删除它。然后看看IE能否正常工作。如果能,删了也就删了。
时间time - 2005-7-29 17:37:00
呀我已经说了哦,那个东西好象大家都有诶,不是什么大的问题
bobo无极限 - 2005-7-29 17:39:00
那个是我自己装的,不用管它.
奇怪了,一个小时前扫描的信息和现在这个不一样啊?
怎么还随时能变的吗?
bobo无极限 - 2005-7-29 17:41:00
哦?楼上的你说了吗?
我怎么没有看到你的帖子?
你还记得刚才看到的那两个重复项了吧,现在没有了
你看看是吧
C:\Program Files\Internet Explorer\iexplore.exe
是不是没有了
bobo无极限 - 2005-7-29 17:45:00
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
这两个也重了.
怎么会有相同的文件名?
现在进行时 - 2005-7-29 17:49:00
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
这个是什么啊
现在进行时 - 2005-7-29 17:51:00
| 引用: |
【bobo无极限的贴子】C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
这两个也重了.
怎么会有相同的文件名?
........................... |
兄弟,这两个东西没什么的.系统的正常进程,
baohe - 2005-7-29 17:53:00
| 引用: |
【bobo无极限的贴子】C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
这两个也重了.
怎么会有相同的文件名?
........................... |
这是“进程”名。这里能看到两个C:\WINDOWS\system32\svchost.exe,并不是说你的C:\WINDOWS\system32\下有两个相同的svchost.exe。你打开IceSword,看看里面有几个指向C:\WINDOWS\system32\的svchost.exe进程。
baohe - 2005-7-29 17:54:00
【回复“bobo无极限”的帖子】
关于C:\Program Files\Internet Explorer下的那个文件,我同意9楼那个MM的处理意见。
bobo无极限 - 2005-7-29 17:55:00
| 引用: |
【现在进行时的贴子】O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
这个是什么啊
........................... |
俺也不知道是什么,
有朋友说过要我修复,没有把握我不敢动.
bobo无极限 - 2005-7-29 17:59:00
| 引用: |
【baohe的贴子】【回复“bobo无极限”的帖子】
关于C:\Program Files\Internet Explorer下的那个文件,我同意9楼那个MM的处理意见。
........................... |
哦,好,我试试.谢谢.
那你看我的日志内容有什么不对的地方吗?
第一张图上的那个木马又是什么东东?
baohe - 2005-7-29 18:01:00
| 引用: |
【bobo无极限的贴子】
俺也不知道是什么,
有朋友说过要我修复,没有把握我不敢动.
........................... |
C:\WINDOWS\system32\sistray.exe是系统文件,不要动。
我看9楼的MM比较聪明。遇到拿不准的陌生文件,先打包另存。然后删除。删除后看相关程序是否运行正常。如果正常,那就删了它。
你看人家是新手,就不信她的话?我看她未必就是菜鸟。没准儿比我强。
bobo无极限 - 2005-7-29 18:03:00
| 引用: |
【baohe的贴子】
这是“进程”名。这里能看到两个C:\WINDOWS\system32\svchost.exe,并不是说你的C:\WINDOWS\system32\下有两个相同的svchost.exe。你打开IceSword,看看里面有几个指向C:\WINDOWS\system32\的svchost.exe进程。
........................... |
是4个吧
bobo无极限 - 2005-7-29 18:08:00
由木马生成的Sistray.exe可执行文件
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe也修了他
此贴于2005-7-29 14:50:00被时间time修改
我晕,哥们你耍我啊,幸亏斑竹说不要动了,要不我真把它给办了,看样字还真是小心点好啊
热舞 - 2005-7-29 18:15:00
windows XP 中有个tasklist.exe程序
在CMD下运行tasklist /svc就可以看到每个进程中的服务,如
System Idle Process 0 暂缺
System 4 暂缺
smss.exe 444 暂缺
csrss.exe 508 暂缺
winlogon.exe 532 暂缺
services.exe 576 Eventlog, PlugPlay
lsass.exe 588 PolicyAgent, ProtectedStorage, SamSs
svchost.exe 748 DcomLaunch, TermService
svchost.exe 788 RpcSs
svchost.exe 1140 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
EventSystem, FastUserSwitchingCompatibility,
helpsvc, LanmanServer, lanmanworkstation,
Netman, Nla, RasMan, Schedule, seclogon,
SENS, SharedAccess, ShellHWDetection,
TapiSrv, Themes, TrkWks, W32Time, winmgmt,
wscsvc, wuauserv, WZCSVC
svchost.exe 1652 Dnscache
svchost.exe 1688 Alerter, LmHosts, WebClient
explorer.exe 316 暂缺
RavMon.exe 472 暂缺
ThunderMini.exe 476 暂缺
ctfmon.exe 488 暂缺
nvsvc32.exe 1396 NVSvc
RavMonD.exe 1452 RsRavMon
wdfmgr.exe 1716 UMWdf
alg.exe 1236 ALG
PortalClient.exe 1648 暂缺
cmd.exe 1928 暂缺
conime.exe 1840 暂缺
wmiprvse.exe 1384 暂缺
tasklist.exe 1264 暂缺
一般svchost进程都是服务进程,如果有个svchost不带服务名,那么它就可疑了,应该查毒。
bobo无极限 - 2005-7-29 18:31:00
大哥门呀,我的问题不是进程名称问题.
请看看主贴好吗?
我防火墙下有木马啊.
什么进程 不进程的我不去管了,
反正朋友们都说没事了
bobo无极限 - 2005-7-30 10:18:00
问题还没解决
只想凝视 - 2005-7-30 10:35:00
虽然我看不懂
闪电风暴 - 2005-7-30 10:41:00
闪电风暴 - 2005-7-30 10:43:00
我的也有啊
时间time - 2005-7-30 10:52:00
哇啊,呜~
© 2000 - 2026 Rising Corp. Ltd.
