夏若侠 - 2005-8-17 18:27:00
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 15:36:25, 日期 2005-8-17
操作系统: Windows XP (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 (6.00.2600.0000)
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
F:\Program Files\NortonAtivirus2005\navapsvc.exe
F:\Program Files\NortonAtivirus2005\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
F:\Program Files\Tencent\QQ\QQ.exe
F:\Program Files\Tencent\QQ\TIMPlatform.exe
F:\Program Files\Tencent\QQ\QQexternal.exe
F:\Program Files\Maxthon\Maxthon.exe
C:\PROGRA~1\3721\assistse.exe
C:\WINDOWS\System32\conime.exe
F:\常用软件\HijackThis1991zww\HijackThis1991zww.exe
R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\3721\Assist\Angling.dll
O2 - BHO: QQBrowserHelperObject Class - {54EBD53A-9BC1-480B-966A-843A333CA162} - F:\Program Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - F:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: AssistII - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - F:\Program Files\NortonAtivirus2005\NavShExt.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - C:\WINDOWS\DOWNLO~1\cnshook.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - F:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - F:\Program Files\NortonAtivirus2005
\NavShExt.dll
O3 - IE工具栏增项: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\PROGRA~1\3721\assist\asbar.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [TongShi_Update] C:\TS\Update\TSUpdate.Exe
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - 启动项HKLM\\Run: [MINI_BFYY] F:\Program Files\Storm Downloader\StormDownloader.exe
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "F:\常用软件\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - 启动项HKLM\\Run: [SSC_UserPrompt] C:\Program Files\Common Files\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - 启动项HKLM\\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - 启动项HKLM\\Run: [assistse] "C:\PROGRA~1\3721\assistse.exe"
O4 - 启动项HKLM\\RunOnce: [RavWeb] "C:\Program Files\Rising\RavWeb\Update\RavSetup.exe" -REMOVEFOLDER
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DvbRec] C:\Program Files\Coship\CDVBAny2030S\CDVBAny2030S.exe AutoLoad
O4 - Startup: 腾讯QQ.lnk = F:\Program Files\Tencent\QQ\QQ.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - F:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - F:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - F:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - F:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - F:\Program Files\Tencent\QQ\SendMMS.htm
O8 - IE右键菜单中的新增项目: 用比特精灵下载(&B) - F:\Program Files\BitSpirit\bsurl.htm
O9 - 浏览器额外的按钮: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file
missing)
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\Program Files\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - F:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - F:\Program
Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -
http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns
(file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} -
http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file
missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} -
http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS] 网络实名
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O16 - DPF: {9BBD100C-E820-4930-9937-E8F3AA40E584} (DFVSScanFile Control) - http://antivirus3.sunv.com/dfvsolDown/dfvsol.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8F29BE54-C9B4-4ECC-9EDE-599A2092CFF8}: NameServer = 202.103.84.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{BBC0F69A-A6D4-4141-95BB-298FD0F2ACEC}: NameServer = 202.103.100.206,202.103.84.5
O23 - NT 服务: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec
Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec
Shared\ccPwdSvc.exe
O23 - NT 服务: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec
Shared\ccSetMgr.exe
O23 - NT 服务: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - F:\Program Files\NortonAtivirus2005
\navapsvc.exe
O23 - NT 服务: Net Login RDP-TCP (NetLogin) - Unknown owner - C:\WINDOWS\Netsvc.exe
O23 - NT 服务: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - F:\Program
Files\NortonAtivirus2005\IWP\NPFMntor.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: SAVScan - Symantec Corporation - F:\Program Files\NortonAtivirus2005\SAVScan.exe
O23 - NT 服务: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec
Shared\SNDSrvc.exe
O23 - NT 服务: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec
Shared\SPBBC\SPBBCSvc.exe
O23 - NT 服务: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
玩游戏一全屏就会被切回桌面,没有消停。
现在进行时 - 2005-8-17 18:52:00
O23 - NT 服务: Net Login RDP-TCP (NetLogin) - Unknown owner - C:\WINDOWS\Netsvc.exe
夏若侠 - 2005-8-17 18:58:00
我用VK7查出有两个病毒藏在C:\WINDOWS\Netsvc.DLL里,请问这个netsvc.dll是系统内带的吗,能不能删除?一个是QQ大盗,一个是QQ爱虫
至于netsvc.exe没被VK7查出来,诺顿2005更加没查到。
.........
bobo无极限 - 2005-8-17 19:30:00
| 引用: |
【现在进行时的贴子】O23 - NT 服务: Net Login RDP-TCP (NetLogin) - Unknown owner - C:\WINDOWS\Netsvc.exe
........................... |
这个是什么?
我也不知道
命运里の金色 - 2005-8-17 19:35:00
O23 - NT 服务: Net Login RDP-TCP (NetLogin) - Unknown owner - C:\WINDOWS\Netsvc.exe
These entries shows all services which are not from Microsoft. Often malware is starting as a systemservice and it's not easy to detect it.
This service (Netsvc.exe) was identified as a good one.
命运里の金色 - 2005-8-17 21:03:00
这个在自动分析里检测成没有问题的,不过这个是什么我也不知道
夏若侠 - 2005-8-17 21:14:00
Netsvc.DLL创建日期是昨天16号,我相信用“属性”标签看出来的创建日期不会有假吧,我刚刚想去删除这个东西,删不掉!看来肯定是个病毒!有中文工具可以删掉这个东西吗
baohe - 2005-8-17 21:19:00
| 引用: |
【夏若侠的贴子】Netsvc.DLL创建日期是昨天16号,我相信用“属性”标签看出来的创建日期不会有假吧,我刚刚想去删除这个东西,删不掉!看来肯定是个病毒!有中文工具可以删掉这个东西吗
........................... |
O23 - NT 服务: Net Login RDP-TCP (NetLogin) - Unknown owner - C:\WINDOWS\Netsvc.exe
灰鸽子。试试这个帖子10楼的工具:http://forum.ikaka.com/topic.asp?board=28&artid=6979213
命运里の金色 - 2005-8-17 21:21:00
同上,不过自动分析竟然把他分析成每问题,晕
夏若侠 - 2005-8-17 21:35:00
| 引用: |
【baohe的贴子】
O23 - NT 服务: Net Login RDP-TCP (NetLogin) - Unknown owner - C:\WINDOWS\Netsvc.exe
灰鸽子。试试这个帖子10楼的工具:http://forum.ikaka.com/topic.asp?board=28&artid=6979213
........................... |
郁闷了,两个工具都没有检测到灰鸽子。用KILLBOX都删不掉,完了
baohe - 2005-8-17 21:37:00
【回复“夏若侠”的帖子】
请找到 C:\WINDOWS\Netsvc.exe,打包传上来。我就喜欢这样的“硬骨头”!
夏若侠 - 2005-8-17 21:42:00
| 引用: |
【baohe的贴子】【回复“夏若侠”的帖子】
请找到 C:\WINDOWS\Netsvc.exe,打包传上来。我就喜欢这样的“硬骨头”!
........................... |
那我试试,你小心了,别中招了。哦,找不到Netsvc.exe,C:\WINDOWS\下只有Netsvc.dll
附件:
5648682005817214224.rar
baohe - 2005-8-17 21:45:00
| 引用: |
【夏若侠的贴子】
那我试试,你小心了,别中招了。哦,找不到Netsvc.exe,C:\WINDOWS\下只有Netsvc.dll
........................... |
我要的是 C:\WINDOWS\Netsvc.exe。
Netsvc.dll无法执行,我怎么观察?
找!
baohe - 2005-8-17 21:48:00
【回复“夏若侠”的帖子】
先用HijackThis修复那个O23项。重启。
然后,按下图设置好“文件夹选项”,找那个.exe文件。
附件:
1558472005817214810.jpg
夏若侠 - 2005-8-17 21:51:00
| 引用: |
【baohe的贴子】
我要的是 C:\WINDOWS\Netsvc.exe。
Netsvc.dll无法执行,我怎么观察?
找!
........................... |
我用了系统CTRL+F全硬盘找了都找不到,象这种隐藏的文件咋找出来。
baohe - 2005-8-17 21:54:00
| 引用: |
【夏若侠的贴子】
我用了系统CTRL+F全硬盘找了都找不到,象这种隐藏的文件咋找出来。
........................... |
看15楼的回复
夏若侠 - 2005-8-17 22:05:00
我用15楼的方法做了,先找到,修复,然后重起,再设文件夹选项为显示系统文件和隐藏文件,看来这个病毒不买你的帐,还是没有。是不是这个netsvc.exe是不存在的。
夏若侠 - 2005-8-17 22:17:00
我现在用的浏览器的标题栏都被这个病毒去掉了,我最小化窗口还要点WINDOWS键然后在任务栏上找到浏览器窗口才能点最小化。
还有今天他还让我的任务管理器的标题栏不见了一会,现在我弄了很久又出现了,奇怪
baohe - 2005-8-17 22:17:00
| 引用: |
【夏若侠的贴子】我用15楼的方法做了,先找到,修复,然后重起,再设文件夹选项为显示系统文件和隐藏文件,看来这个病毒不买你的帐,还是没有。是不是这个netsvc.exe是不存在的。
........................... |
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
上面这个帖子的3楼附件是IceSword。用IceSword在C:\windows\目录下找文件名包含netsvc的文件,找到后——删!
baohe - 2005-8-17 22:32:00
| 引用: |
【夏若侠的贴子】但是很不幸的是,那个DLL删不掉,删了又有
........................... |
请告诉我——你都“找到”了些什么。
楓♂嘢偉∮颵 - 2005-8-17 22:32:00
在删!
夏若侠 - 2005-8-17 22:34:00
还真有删不掉的东西呀,我都被这个病毒搞得毛骨悚然,一个小后门,能用一辈子,搞得多么诡异
baohe - 2005-8-17 22:35:00
| 引用: |
【夏若侠的贴子】还真有删不掉的东西呀,我都被这个病毒搞得毛骨悚然,一个小后门,能用一辈子,搞得多么诡异
........................... |
请告诉我——你用IceSword都“找到”了些什么。
天天泡泡 - 2005-8-17 22:37:00
IceSword找到东西的那个图贴上来
夏若侠 - 2005-8-17 22:37:00
找到了netsvc.exe,netsvc.dll,我把netsvc.exe删了
© 2000 - 2026 Rising Corp. Ltd.