请问高手W32.Netsky.P@mm是什么病毒? bbs.ikaka.com

东宫龙王 - 2005-8-8 10:15:00

我的机器在运行一段时间后,反应特慢，C、D、E、F盘都被共享了。我也知道这是网络天空病毒，可是没有针对这个的杀毒软件。我该怎么办呀，请高手不吝赐教！！！

子阳 - 2005-8-8 10:20:00

引用:

【东宫龙王的贴子】我的机器在运行一段时间后,反应特慢，C、D、E、F盘都被共享了。我也知道这是网络天空病毒，可是没有针对这个的杀毒软件。我该怎么办呀，请高手不吝赐教！！！
...........................

http://it.rising.com.cn/newSite/Channels/anti_virus/Antivirus_Base/TopicExplorerPagePackage/Netsky.htm

东宫龙王 - 2005-8-8 10:24:00

你好，我能找到网络天空的杀毒软件并下载运行，但这个病毒没有和网上一模一样的，下载别的都不管用，这该怎么办呀？？

子阳 - 2005-8-8 10:26:00

引用:

【东宫龙王的贴子】你好，我能找到网络天空的杀毒软件并下载运行，但这个病毒没有和网上一模一样的，下载别的都不管用，这该怎么办呀？？
...........................

杀毒厂商不一样,命名的方法自然不一样.

你那个病毒是用什么杀软查出来的?

东宫龙王 - 2005-8-8 10:34:00

是瑞星在线查毒时，我的诺盾就提示出“发现病毒W32.Netsky.P@mm”，但它只是隔离并显示成功，但下次又出来了。不用瑞星查毒，诺盾也不显示有病毒。我现在正在用瑞星在线查毒，还没有提示有病毒。

求救者 - 2005-8-8 10:35:00

如果楼主还不能解决问题,请扫个日志上来...方便分析....
PS:通常网络天空都会在进程中添加与系统名差不多的进程,可是其大多数都在注册表下有个木马特性,就是自启动,如果楼主不能确定,请扫个日志和展开注册表到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下贴上,就这样,OK

子阳 - 2005-8-8 10:37:00

引用:

【东宫龙王的贴子】是瑞星在线查毒时，我的诺盾就提示出“发现病毒W32.Netsky.P@mm”，但它只是隔离并显示成功，但下次又出来了。不用瑞星查毒，诺盾也不显示有病毒。我现在正在用瑞星在线查毒，还没有提示有病毒。
...........................

隔离成功就应该没事了.

安全补丁打齐了吗?

东宫龙王 - 2005-8-8 11:10:00

实在不好意思，我的水平太差，不知道如何扫日志和打安全补丁。还请几位大侠不吝相告。隔离后没几天又一样了。

子阳 - 2005-8-8 11:13:00

引用:

【东宫龙王的贴子】实在不好意思，我的水平太差，不知道如何扫日志和打安全补丁。还请几位大侠不吝相告。隔离后没几天又一样了。
...........................

开始--Windows Update
微软将自动检测你的系统,并列出需要下载安装的各项更新.
建议下载并安装全部关键更新(安全补丁).
如果使用的是D版的XP系统,更新后可能会出现激活问题,请慎重考虑.

(建议在打补丁之前先打开系统还原功能, 如果升级出了问题可以到安全模式下还原回来。)

子阳 - 2005-8-8 11:16:00

引用:

有关使用HijackThis1.99.1操作方法可参考：
【推荐】反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491

东宫龙王 - 2005-8-8 11:17:00

子阳老兄，我用的是2000系统，是否也一样？还有日志如何扫呢？

东宫龙王 - 2005-8-8 11:23:00

好的，已经找到网址了。我估计琢磨到下午了，谢谢，下午见。祝你们中午有个好胃口！

子阳 - 2005-8-8 11:27:00

引用:

【东宫龙王的贴子】子阳老兄，我用的是2000系统，是否也一样？还有日志如何扫呢？

...........................

2000的一样.

日志见9楼.

东宫龙王 - 2005-8-8 11:34:00

好了，请几位高手帮忙给分析一下：
Logfile of HijackThis v1.99.1
Scan saved at 11:31:51, on 2005-8-8
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\msdtc.exe
C:\WINNT\system32\cisvc.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINNT\system32\svchost.exe
C:\KOAL\HSCAS\RESIN\bin\httpd.exe
C:\WINNT\System32\llssrv.exe
C:\KOAL\HSCAS\JDK\bin\java.exe
C:\KOAL\HSCAS\MSDE\MSSQL\Binn\sqlservr.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\System32\svchost.exe
C:\Program Files\Foxmail\Foxmail.exe
C:\WINNT\system32\cidaemon.exe
D:\程序\TT\TTraveler.exe
C:\WINNT\regedit.exe
C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE
D:\程序\Hijackthis\HijackThis.exe

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\\WINNT\\system32\\userinit.exe,C:\WINNT\system32\spdwinw2k.exe
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\程序\QQ\QQIEHelper.dll (file missing)
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [spdwinw2k] C:\WINNT\system32\spdwinw2k.exe
O4 - HKCU\..\Run: [ctfmon.exe] ctfmon.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: !搜一搜(&S) - res://C:\WINNT\DOWNLO~1\CnsMinEx.dll/1003
O8 - Extra context menu item: 使用搜狗直通车下载 - D:\程序\TSCC Codec编码器 V2.0\P4P\dl.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\程序\98\新建文件夹\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\程序\98\新建文件夹\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\程序\98\新建文件夹\SendMMS.htm
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm?pid=U_mynest_56115 (file missing)
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\程序\QQ\QQ.EXE (file missing)
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\程序\QQ\QQ.EXE (file missing)
O9 - Extra button: 搜索引擎 - {c95fe080-8f5d-11d2-a20b-00aa003c157c} - http://a.zhaol.com (file missing)
O9 - Extra 'Tools' menuitem: 搜索引擎 - {c95fe080-8f5d-11d2-a20b-00aa003c157c} - http://a.zhaol.com (file missing)
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\程序\QQ\QQIEHelper.dll (file missing)
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\程序\QQ\QQIEHelper.dll (file missing)
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: 铃声图片下载 - {6713E8D2-850A-101B-AFC0-4210102A8DA7} - http://sms.ufo2008.com (file missing) (HKCU)
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/077d9868ba7ff94f3902/netzip/RdxIE601_cn.cab
O16 - DPF: {B83FC273-3522-4CC6-92EC-75CC86678DA4} - http://download.3721.com/download/CnsMin.cab
O16 - DPF: {D0A29C6C-AA71-4423-8C4A-5998B774C448} (IEDown Class) - http://download.ourgame.com/IEDown3.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Hscas Web Server (HSCAS) - Unknown owner - C:\KOAL\HSCAS\RESIN\bin\httpd.exe" -service "-conf" "conf\resin.conf (file missing)
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

东宫龙王 - 2005-8-8 14:41:00

请高手教教我

求救者 - 2005-8-8 15:04:00

【回复“东宫龙王”的帖子】
请问这个文件夹C:\KOAL\HSCAS 楼主知道它的来由吗?

东宫龙王 - 2005-8-8 15:05:00

日志已经扫好了,请高手帮我看看,如何杀毒?非常谢谢!

东宫龙王 - 2005-8-8 15:12:00

不知道呀,是它吗,把它删掉可以吗

东宫龙王 - 2005-8-8 15:13:00

不知道呀老兄,把它整个删掉可以吗?

求救者 - 2005-8-8 15:27:00

不好意思,个人认为除了那个文件夹外已没其他可能(因为有个服务),可是从你的日志上又看不出这个病毒的特性..所以不能判断...建议下载专杀
http://www.symantec.com/region/cn/techsupp/avcenter/venc/data/cn-w32.netsky@mm.removal.tool.html这里面有专杀,如若能杀除请务必回个话

东宫龙王 - 2005-8-8 15:29:00

这个文件夹还删不掉,说“无法删除,共享冲突”，是它的问题吗，如何删掉它？

求救者 - 2005-8-8 15:32:00

不能确定的情况下,楼主还是等等高手吧,偶是菜鸟看不出...对了,你那病毒扫描日志导出贴上来吧,还有注册表我也想看看

东宫龙王 - 2005-8-8 15:47:00

开始完成计算机状态文件总计受感染扫描类型
2005-7-19 9:232005-7-19 9:32FYZ2扫描完成309510手动扫描
2005-7-8 9:392005-7-8 9:47FYZ2扫描完成300320手动扫描
2005-7-6 9:212005-7-6 9:29FYZ2扫描完成298430手动扫描
2005-6-30 9:512005-6-30 9:59FYZ2扫描完成293640手动扫描
2005-6-30 9:332005-6-30 9:42FYZ2扫描完成296790手动扫描
2005-6-23 9:582005-6-23 10:06FYZ2扫描完成328980手动扫描
2005-6-18 16:232005-6-18 16:25FYZ2终止扫描36660手动扫描
2005-6-18 16:232005-6-18 16:23FYZ2扫描完成11320手动扫描
2005-6-16 15:312005-6-16 15:39FYZ2扫描完成303510手动扫描
2005-6-1 16:232005-6-1 16:35FYZ2扫描完成679870手动扫描
2005-5-30 15:492005-5-30 15:50FYZ2扫描完成70手动扫描
2005-5-30 15:442005-5-30 15:45FYZ2扫描完成81手动扫描
2005-5-19 15:062005-5-19 15:17FYZ2扫描完成608670手动扫描
2005-5-11 9:322005-5-11 9:41FYZ2扫描完成585310手动扫描
2005-5-8 14:572005-5-8 15:06FYZ2扫描完成583880手动扫描
2005-5-8 9:232005-5-8 9:32FYZ2扫描完成583070手动扫描
2005-8-8 9:352005-8-8 9:43FYZ2扫描完成288570手动扫描
2005-8-5 16:422005-8-5 16:50FYZ2扫描完成288600手动扫描
2005-8-4 16:582005-8-4 17:07FYZ2扫描完成287030手动扫描
2005-8-3 15:242005-8-3 15:32FYZ2扫描完成285990手动扫描
2005-8-3 9:462005-8-3 9:53FYZ2扫描完成284580手动扫描
2005-8-2 15:202005-8-2 15:28FYZ2扫描完成284230手动扫描
2005-7-28 16:162005-7-28 16:20FYZ2终止扫描143430手动扫描
2005-7-26 15:42 FYZ2正在扫描...00手动扫描
2005-7-22 15:132005-7-22 15:22FYZ2扫描完成309150手动扫描
2005-7-21 16:032005-7-21 16:05FYZ2终止扫描52610手动扫描
2005-7-21 11:022005-7-21 11:16FYZ2扫描完成307900手动扫描
2005-7-20 9:502005-7-20 10:02FYZ2终止扫描305360手动扫描
2005-7-12 17:242005-7-12 17:32FYZ2扫描完成305140手动扫描
2005-7-12 17:132005-7-12 17:21FYZ2扫描完成310350手动扫描
2005-7-12 15:142005-7-12 15:22FYZ2扫描完成302810手动扫描
2005-7-11 9:472005-7-11 9:55FYZ2扫描完成300790手动扫描

东宫龙王 - 2005-8-8 17:22:00

请各位高手看看，这个病毒如果重新做系统是否能杀掉？谢谢！！！

东宫龙王 - 2005-8-9 9:09:00

【回复“求救者”的帖子】能找到专杀工具，但不知道是我不会用还是用的不正确（因为都是英文，我不懂），没有杀掉。

瑞星卡卡安全论坛