瑞星卡卡安全论坛

我昨天聊天的时候瑞星弹出了几个对话框，说：侦测到我的电脑有什么什么软件，问我是拒绝还是允许，我当时没多想就选择的允许，后来发现网速变慢，由于是晚上，我就下线了，等到今天在开机的时候，就显示出了几个对话框（或者不是对话框），样子像中病毒了，在标题兰显示：C:\WINDOWS\System32\cmd.exe  这样的字样，紧接着瑞星告诉我在我的计算机里发现了木马，一些关于它的资料我记下来了
AppName:ctfmon.exe
AppVer:5.1.2600.0    ModName:unknow
Modver:0.0.0.0  offget:7469089e
我已经用瑞星杀过毒了，可是杀完了还有，又不能系统恢复，边来求救，请各位大虾帮帮忙。

自己顶一下，千万别沉了。

引用:

【yidaichen的贴子】我昨天聊天的时候瑞星弹出了几个对话框，说：侦测到我的电脑有什么什么软件，问我是拒绝还是允许，我当时没多想就选择的允许，后来发现网速变慢，由于是晚上，我就下线了，等到今天在开机的时候，就显示出了几个对话框（或者不是对话框），样子像中病毒了，在标题兰显示：C:\WINDOWS\System32\cmd.exe  这样的字样，紧接着瑞星告诉我在我的计算机里发现了木马，一些关于它的资料我记下来了 AppName:ctfmon.exe AppVer:5.1.2600.0    ModName:unknow Modver:0.0.0.0  offget:7469089e 我已经用瑞星杀过毒了，可是杀完了还有，又不能系统恢复，边来求救，请各位大虾帮帮忙。 ...........................

有杀毒记录吗?

有一个叫“bleh”的病毒（或者是木马）,只要一打开网页就会显示出一个对话框，标题兰显示C\WINDOWS\System32\cmd.exe

用HijackThis扫个日志下来看看。

是这个

附件: 5026772005813194958.jpg

引用:

【神无的贴子】用HijackThis扫个日志下来看看。 ...........................

请问如何扫描日志？

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      20:00:12, 日期 2005-8-13
操作系统：  Windows XP  (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 (6.00.2600.0000)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
E:\Program Files\Rising\Rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\P4P\p2psvr.exe
E:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
E:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\联想\联想键盘驱动\TGESrvLogon.exe
E:\PROGRAM FILES\RISING\RAV\RavStub.exe
E:\Program Files\Rising\Rfw\RfwMain.exe
C:\Program Files\联想\联想键盘驱动\Ps2Kbdriver.exe
C:\PROGRA~1\Yahoo!\MiniMsgr\YMiniSvr.exe
E:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
E:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\联想\联想键盘驱动\fastkey.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
E:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Tencent\QQ\QQ.EXE
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\RUNDLL32.exe
E:\PROGRA~1\RISING\RAV\Rav.exe
E:\PROGRA~1\RISING\RAV\RsAgent.exe
C:\WINDOWS\msagent\AgentSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\scvhost.exe
C:\Documents and Settings\user_child\My Documents\hijackthisV1.99.1.exe
C:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - URLSearchHook: MyURLSearchHook Class - {982CB676-38F0-4D9A-BB72-D9371ABE876E} - C:\PROGRA~1\P4P\ToolBar.dll
F2 - REG:system.ini: UserInit=userinit.exe
O3 - IE工具栏增项: 搜狗直通车 - {DBBB7978-AF21-4EF4-9AD1-B2F4BC75696C} - C:\PROGRA~1\P4P\ToolBar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - 启动项HKLM\\Run: [HuaShanTGEKBDPS2] C:\Program Files\联想\联想键盘驱动\Ps2Kbdriver.exe
O4 - 启动项HKLM\\Run: [MiniMsgr] C:\PROGRA~1\Yahoo!\MiniMsgr\YMiniSvr.exe
O4 - 启动项HKLM\\Run: [RavTimer] E:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] E:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] "E:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - 启动项HKLM\\Run: [System service62] C:\WINDOWS\etb\pokapoka62.exe
O4 - 启动项HKLM\\Run: [Configuration Loader] scvhost.exe
O4 - 启动项HKLM\\RunServices: [Configuration Loader] scvhost.exe
O4 - 启动项HKLM\\RunOnce: [RavStub] "E:\PROGRAM FILES\RISING\RAV\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "E:\Program Files\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [soq] E:\Program Files\SOQ\SOQ.exe
O4 - Startup: 腾讯QQ.lnk = C:\Program Files\Tencent\QQ\QQ.exe
O4 - Startup: 腾讯TM.lnk = C:\Program Files\Tencent\QQ\TMShell.exe
O4 - Global Startup: 幸福之家.lnk = ?
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - IE右键菜单中的新增项目: 使用搜狗直通车下载 - C:\PROGRA~1\P4P\dl.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - c:\HAPPYH~1\XDict\IEPlugin.dll
O9 - 浏览器额外的按钮: SoQ - {8F67DCF3-B1DF-4A39-A787-3775784BF737} - E:\PROGRA~1\SOQ\soq.exe
O9 - 浏览器额外的按钮: 金山词霸 - {C8CE29C5-7589-11D3-B81B-0080C8DC5DC8} - c:\HAPPYH~1\XDict\IEPlugin.dll
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: 雅虎邮箱通 - {D1B76CE4-CCCA-4B22-9ECB-09F85C140904} - yminimsgr:ClickIEBT (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - 浏览器额外的“工具”菜单项: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - E:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O11 - Options group: [TBH] QQ地址栏搜索
O14 - IERESET.INF: START_PAGE_URL=http://www.fm365.com
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://cn.download.yahoo.com/dl/install/yinst0401.cab
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FCA8822E-932D-4D92-A40A-46F59492E2A0}: NameServer = 202.106.46.151 202.106.0.20
O20 - AppInit_DLLs: C:\WINDOWS\System32\SoDAHK.DLL
O20 - Winlogon Notify: ZGNotify - C:\WINDOWS\MyNotification.dll
O23 - NT 服务: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: P4P Service - Sohu R&D - C:\Program Files\P4P\p2psvr.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - E:\Program Files\Rising\Rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - E:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - NT 服务: TGE CardReader Mgr Host v2 (TGECardReaderMgrHost.2) - Unknown owner - C:\Program Files\联想\联想键盘驱动\TGESrvLogon.exe



好像是这个，刚刚用HijackThis扫描时,出现了23个选项

我所说的对话框就是这个

附件: 5026772005813201559.jpg

我一次只能传一张图，请见谅。
这张是第二次杀毒的纪录

附件: 5026772005813202227.BMP

清空IE临时文件夹，断网，全盘杀毒，一定要先清空临时文件夹。好像是灰鸽子，日志中没见到灰鸽子的服务项，可能被杀掉了。

楼上的大虾，请问IE临时文件夹是什么?

【回复“yidaichen”的帖子】IE游览器，点右键-属性

附件: 5220982005813211144.bmp

对不起，我太笨了，我找不到我的IE浏览器。

【回复“yidaichen”的帖子】


附件: 5220982005813212031.bmp

嗯，我找到了，谢谢，不过我那个属性里只有 快捷方式、常规、兼容性 这三个，要在哪里删呢？

你好，
查阅相关资料，希望下面方案能够帮助你。如出现问题，请及时反馈，谢谢你。请注意备份


注意：尽可能不要运行IE和系统管理工具，这可能激活病毒
1 断开网络，用任务管理器终止scvhost.exe,popup6011.exe,bleh.exe和两个explorer.exe进程（任务栏会消失）
2 运行explorer.exe（在任务管理器开启新任务，运行explorer.exe即可）
3 设置：显示系统文件，显示隐藏文件
4 搜索popup6011.exe,bleh.exe，ctfmon.exe（c:\windows\system32\），删！
5 EXPLORER.EXE（在c:\windows\system32\目录下，注意区分它和c:\windows\EXPLORER.EXE，不要删错）
6 在运行处，键入regedit。进入注册表删除相关启动项目（也可以通过优化大师等工具）
7 到其他机子拷贝ctfmon.exe文件，放入c:\windows\system32\目录中

建议进入安全模式处理病毒

哦，那你点开始-控制面板-Internet选项。

对着进程按右键,注意看清楚文件

附件: 458792005813215407.JPG

注意,一定要记得文件名explorer.exe.或者在系统文件夹下找
这是创造摆脱病毒的操作环境

附件: 458792005813215422.JPG

进入安全模式:开机按F8。操作和Windows基本一样


再次提醒，注意备份！

5555 我应该听谁的？晕，神无，不好意思，我问一下，你的办法自己试过吗？

听那个星最多的

我目前没有备份的条件，没有刻录光驱也没有U盘，请问是否要继续进行？

引用:

【啊娇我爱你的贴子】听那个星最多的 ...........................

不！首先尝试风险小的，步骤简单的。任何事情，从易……我喜欢自找麻烦~

引用:

【yidaichen的贴子】我目前没有备份的条件，没有刻录光驱也没有U盘，请问是否要继续进行？ ...........................

我个人觉得，先按照 神无 同志的，因为他的方法肯定比我的简单，而且风险不会这么大。从易，从易……

在下愚笨,只是你只要按照路径找着木马文件直接咯喳了,不就完了吗?呵呵~(不管用再想别的办法)

【回复“yidaichen”的帖子】
看看下面这个他的路径在哪，是不是IE临时文件夹。

附件: 522098200581415319.bmp