瑞星卡卡安全论坛

各位大虾:

感谢您关注我的这份报告，小菜鸟急需您的帮助！
本扫描/诊断报告由 上网助手IE修复专家 生成

操作系统: Windows XP
IE版本号: 6.0.2900.2096

===============================================================

以下是我的扫描报告正文：

*** 扫描项列表 ***

下列条目被IE修复专家判断为危险：


下列条目被IE修复专家判断为有风险：

1.F00 - System.ini中的shell项 - Explorer.exe commamd.exe，，
相关文件：(文件不存在)(隐藏)(系统)commamd.exe
内容：Explorer.exe commamd.exe
安全等级：有风险

2.O06 - 禁止IE首页相关设置 - O06 - 禁止IE首页相关设置，，
安全等级：有风险


下列条目被IE修复专家判断为未知：

3.O04 - 自动运行项(Run) - ctfnom.exe，，
相关文件：(文件不存在)(隐藏)(系统)C:\WINDOWS\SVOHOST.exe
内容：C:\WINDOWS\SVOHOST.exe
安全等级：未知

4.O17 - 本机网络设置 NameServer - 211.97.64.129,211.95.193.97，，
内容：211.97.64.129,211.95.193.97
安全等级：未知

5.O17 - 本机网络设置 NameServer - 211.97.64.129,211.95.193.97，，
内容：211.97.64.129,211.95.193.97
安全等级：未知

6.O29 - .TXT文件关联 - lsasa.exe，，
相关文件：C:\WINDOWS\system32\lsasa.exe "%1"
内容：C:\WINDOWS\system32\lsasa.exe "%1"
安全等级：未知



备注:我打不开任何1个杀毒软件 和有关杀毒的1切网页 连杀毒的QQ群都会把我的Q给关了
    我该怎么办啊?  高手们请联系我 QQ37688265
谢谢了

高手们快救救我吧.........

用HijackThis扫一下

Logfile of HijackThis v1.99.0
Scan saved at 14:49:08, on 2005-8-4
Platform: Windows XP SP2, v.2096 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2096)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\3721\assistse.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\BCUP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SVOHOST.exe
C:\PROGRA~1\3721\Assist\ascenter.exe
E:\qq\TIMPlatform.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NTdhcp.exe
C:\WINDOWS\system32\conime.exe
E:\qq\QQ.exe
E:\TT\TTraveler.exe
C:\Program Files\FlashGet\flashget.exe
E:\压缩\WinRAR.exe
C:\DOCUME~1\515老凯\LOCALS~1\Temp\Rar$EX00.656\HijackThis.exe

R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\Assist\asbar.dll
F2 - REG:system.ini: Shell=Explorer.exe commamd.exe
O2 - BHO: AntiFish Class - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\3721\Assist\Angling.dll
O2 - BHO: BrowseHelper Class - {80BF4637-D65B-43F3-BB60-C5DD3D5FB7B9} - E:\杀毒\KV2005\KvShell.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\Assist\asbar.dll
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\Assist\asbar.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: 江民杀毒工具栏 - {B5A34A93-D538-43A7-8371-864CB6148D12} - E:\杀毒\KV2005\KvShell.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [assistse] "C:\PROGRA~1\3721\assistse.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NTdhcp] C:\WINDOWS\system32\NTdhcp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ctfnom.exe] C:\WINDOWS\SVOHOST.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\kvwspxp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{0FF0F9E8-AA56-4FAD-AA9C-5BDA28B023D8}: NameServer = 211.97.64.129,211.95.193.97
O17 - HKLM\System\CCS\Services\Tcpip\..\{6BFA86DC-EEC2-42CF-B7B9-9AC5E4D802DB}: NameServer = 211.97.64.129,211.95.193.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{0FF0F9E8-AA56-4FAD-AA9C-5BDA28B023D8}: NameServer = 211.97.64.129,211.95.193.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{0FF0F9E8-AA56-4FAD-AA9C-5BDA28B023D8}: NameServer = 211.97.64.129,211.95.193.97
O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Program Files\Common Files\EPSON\EBAPI\SAgent2.exe
O23 - Service: KVWSC - Jiangmin Co.Ltd - E:\杀毒\KV2005\kvwsc.exe
O23 - Service: Ulead Burning Helper - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe


高手帮看看

说说什么情况啊  我该怎么做啊?

Trojan Horse
文件： C:\WINDOWS\system32\bcup.exe

具体的删除的方法如下：
删除从c:\temp\中的所有文件
关闭所有IE。
使用任务管理器删除BCUP.exe进程。
删除系统目录里面的BCUP.exe，删除BoCaiToolBall.DLL 

（win2000:\\winnt\system32）

（win98：windows\system）



打开注册表编辑器

删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BCUpdate 

删除HKEY_LOCAL_MACHINE\SOFTWARE\BlogChina\BC]

（记住，一定要关闭IE浏览器，不要一边看网页一边执行。如果记不住可以先把它拷到文本文件里面，否则没有效果）

把它删了?

我的任务管理器说是被管理员给停用了～！
能加我的Ｑ吗？谢谢　３７６８８２６５

O4 - HKCU\..\Run: [ctfnom.exe] C:\WINDOWS\SVOHOST.exe
这项也有问题...正常的SVOHOST.exe只在system32里出现....

555555555
不知道怎么把病毒弄掉哦
哪个好心人帮我 在我QQ远程帮助里面弄掉它
37688265 谢谢

怎么没人哦?        555555

相关帖子http://bbs.cpcw.com/viewthread.php?tid=490298
1.注册表解所：运行--GPEDIT.MSC，打开组策略，依次进入用户配置\管理模板\系统,右边的 ”阻止访问注册表编辑工具‘，双击，禁止。就可以了。（可用WORD宏，INF文件 JAVA脚本解除）


2.解隐藏。依次点击窗口上方的“工具”菜单下的“文件夹”选项，在出现的显示所有文件和显示  系统文件，去掉隐藏受保护的文件前的勾，没有效果。应该是注册表中被修改为真正隐藏了。 用ULTRAEDIT-32编辑以下内容，保存为“破隐藏.reg,导入，再按显示所有文件，成功。（因为写字板，记事本都不能正常使用）
                内容：
                REGEDIT4

                [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

                "CheckedValue"=dword:00000001
3.去病毒程序。
a.曾尝试着进入文件夹中删除SMOHOST.TXT和hlop.exe。结果重启问题依旧。
  b.看来不只这两个程序。再进入\WINDOWS\SYSTEM32下面认真查找，果然发现还有 lsasa.exe,commamd.exe两个程序，请认真看跟LSASS，COMMAND多象。把四个全部删除。 重启
c.重启想不到问题依旧，看来还有程序。于是我把这四个文件复制到别的地方，然后随便拿了四个文件改成这四个名字，重起出现错误提示：“commamd不是正常的WIN32程序”。（因为刚才我是随便拿了个文本文件改名成COMMAMD.exe）。  结果控制面板可以正确使用了。
D.虽然问题解决，但最终的源头没找到。应该有程序自启动调用了COMMAMD.exe程序。进入 注册表查找“commamd”果然发现了新大陆。
                    在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的SHELL值为 Explorer.exe commamd.exe”，（winlogon设置用户登陆的环境，下面的值在系统启动时候必须启动，
而EXPLORER.EXE是用户界面，如桌面，任务栏等就是这个东东分配的），在EXEPLORER.EXE后面跟上程序就能在启动exeplorer.exe的时候同时启动。
  e.终极大战。把上面的shell值改为exeplorer.exe。删除windows\system下把四个文件都删除。

建议使用IceSword工具结束SVOHOST进程，然后再用IceSword删除被深度隐藏的文件（IceSword能看到被深度隐藏的文件，有了它，第二步可以就可以用IceSword了）