瑞星卡卡安全论坛

我用HijackThis查的结果

Logfile of HijackThis v1.99.1
Scan saved at 胡玉峰:22:19:44, on 2005-8-4
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lenovo\幸福一键通\Kbdriver.exe
C:\Program Files\Lenovo\幸福一键通\FlyShuttle.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
D:\HijackThis.exe

R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v5.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - D:\新陆建ㄎ文募件夹? (4)\Internet Download Manager\IDMIECC.dll (file missing)
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\3721\Assist\Angling.dll
O2 - BHO: 20050720 - {5EB7CB50-E375-4718-B4C0-9AD12EFA2F84} - C:\WINDOWS\System32\aclayer.dll (file missing)
O2 - BHO: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - (no file)
O3 - Toolbar: 博采 - {4DA2EE61-6399-4C39-AEB9-0D990E610D29} - C:\WINDOWS\System32\BOCAIT~1.DLL (file missing)
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: 完美网译通 - {F43BD772-ABDD-43b7-A96A-3E9E61946EC0} - C:\WINDOWS\WORLD2\TOOLBAR\hmtoolbar.dll
O3 - Toolbar: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\Assist\asbar.dll
O3 - Toolbar: (no name) - {B225B89D-5E95-4194-98E8-149993071B31} - C:\PROGRA~1\NETMEE~1\CALLCO~1.DLL
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - E:\金山快译2005\IEBand.dll
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Lskbdrv] C:\Program Files\Lenovo\幸福一键通\Kbdriver.exe
O4 - HKLM\..\Run: [LenSoft] C:\Program Files\Lenovo\幸福一键通\FlyShuttle.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKLM\..\Run: [iexplorer] C:\WINDOWS\System32\iexplorer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\System32\iexplorer.exe
O4 - Global Startup: 桌面传媒.lnk = ?
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - Extra context menu item: 使用Kugoo下载 - C:\PROGRA~1\KUGOO2\KugooDownX.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\新建文件夹\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\新建文件夹\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\新建文件夹\qq\SendMMS.htm
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - E:\浩方对战平台\浩方对战平台\GameClient.exe
O9 - Extra button: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Program Files\Herosoft\Hero 9\STHSDVD.EXE
O9 - Extra 'Tools' menuitem: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Program Files\Herosoft\Hero 9\STHSDVD.EXE
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-195?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-23171-9517-195?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - Extra button: 易趣购物 - {DE607142-AC19-422e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - Extra 'Tools' menuitem: 易趣购物 - {DE607142-AC19-422e-863A-3D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS]  网络实名
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://bbsky.wuhan.net.cn/plugin/PowerPlr.ocx
O16 - DPF: {6BB0C189-3676-4711-AA75-E2801D6B0E27} (AvlFTP Control) - http://benchmark.avl.com.cn/cab/avlFtp.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A07B2012-A996-482F-A8BF-3F1E06ECC2B4}: NameServer = 202.103.24.68,202.103.0.117
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe


可是这里面没有显示有灰鸽子,但每次系统重起却总有Backdoor.Biforst.c 这个毒,请高手指点啊!再线等答案!

厉害，你暂时得受一下委屈了。

天啊,你这句话让我白兴奋了3分钟!

要不你在安全模式下再查一次

问题出在这：
O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\System32\iexplorer.exe

这不是灰鸽子

还是楼上的大哥厉害点！

那该怎么办?瑞星杀了重起就有,能告诉我集体的解决办法吗,谢谢!

安全模式杀杀看

没用,你在2楼时我就试了!好惨...

【回复“clarkgood”的帖子】
O4 - HKLM\..\Run: [iexplorer] C:\WINDOWS\System32\iexplorer.exe
O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\System32\iexplorer.exe
有可能是其它版本的灰鸽子。
正常的iexplorer.exe在什么路径下？在C:\Program Files\Internet Explorer\下！ 你这个在C:\WINDOWS\System32\下。肯定是冒牌货！打包传上来看看。

用KILLBOX强行清除O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\System32\iexplorer.exe

超凡脱俗你好厉害啊,真聪明,我的是在C:\Program Files\Internet Explorer\下,病毒就是在这里被瑞星查处来的,但我第一次来这论坛,什么是打包?怎么打包?怎么上传?我一点都不懂...请告诉我,我已经顶起伞准备挨骂了!

KILLBOX在哪下?帅哥!

他是斑竹，不聪明点怎么在这么重点的版块里混？

你知道怎么打包上传吗,帅哥!告诉我下哈

关于打包上传也请参考baohe斑竹的帖子

http://forum.ikaka.com/topic.asp?board=28&artid=6267232

引用:

【clarkgood的贴子】超凡脱俗你好厉害啊,真聪明,我的是在C:\Program Files\Internet Explorer\下,病毒就是在这里被瑞星查处来的,但我第一次来这论坛,什么是打包?怎么打包?怎么上传?我一点都不懂...请告诉我,我已经顶起伞准备挨骂了! ...........................

你千万别动C:\Program Files\Internet Explorer\下的iexplore.exe啊！
即使杀软报此文件染毒，也是病毒插入其进程的结果。真正的元凶在system32里。

【回复“clarkgood”的帖子】
打包、上传样本问题，看下面这个帖子：

如何将病毒样本上传到论坛——写给请求帮助的新手
http://forum.ikaka.com/topic.asp?board=28&artid=6267232

把病毒压缩，注意是小于1M
然后上传到帖子里，请注明是病毒打包，以免被不知道的人下载

这是病毒包,是C:\Program Files\Internet Explorer下的,毒就在这里
  第一次中灰鸽子居然就碰到这么厉害的...

附件: 555669200584231057.rar

请斑竹和各位大哥解决了,我Z~Z了,等待明天的好消息!

引用:

【clarkgood的贴子】这是病毒包,是C:\Program Files\Internet Explorer下的,毒就在这里   第一次中灰鸽子居然就碰到这么厉害的... ...........................

你传的文件不对（是IE浏览器）。请上传system32下的那个iexplore.exe

给他路径

幸亏...看看是这个吗?

附件: 555669200584231727.rar

上面那个就是C:\WINDOWS\system32下的

引用:

【clarkgood的贴子】上面那个就是C:\WINDOWS\system32下的 ...........................

我没看走眼吧。

附件: 155847200584232245.jpg

...该怎么办啊?不会是重装系统吧

引用:

【clarkgood的贴子】...该怎么办啊?不会是重装系统吧 ...........................

稍候。单独发个帖子，告诉你怎么宰它。