瑞星卡卡安全论坛

高人们，求教求教
前几天中了search毒，已经杀掉了浏览器里的框，但还是经常蹦出来“your computer might be at risk”的提示。
而且诺顿在开机的时候还报告有hclean32.exe 但根本找不到这个东西，用killbox也找不到。
已经用Hijackthis(1.99.1版)扫描过，删除了一些条目，还是不管用，还是蹦，蹦，蹦
这是现在的扫描结果


R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O1 - Hosts: localhost 127.0.0.1
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - IE工具栏增项: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O4 - 启动项HKLM\\Run: [ScanRegistry] scanregw.exe/autorun
O4 - 启动项HKLM\\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: desktop.ini
O4 - Startup: 河南网通宽带用户客户端.lnk = C:\Program Files\racer-henan-cnc\racer.exe
O4 - Global Startup: desktop.ini
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O9 - 浏览器额外的按钮: Regedit - {39C8B92D-1FF1-4404-A679-147CBD8D3C01} - C:\WINDOWS\regedit.exe (HKCU)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CB402A3-7A45-4D4B-9372-EA01C983409A}: NameServer = 69.50.168.180,85.255.112.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFFFEA40-8955-481C-9D7E-3F5FACA72266}: NameServer = 69.50.168.180,85.255.112.26
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - NT 服务: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - NT 服务: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - NT 服务: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - NT 服务: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - NT 服务: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - NT 服务: svhost - Unknown owner - C:\WINDOWS\svhost.exe
O23 - NT 服务: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe


谢谢

在注册表里删除有关键值

请参考本版置顶的《本版说明及常用小软件下载 》
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
请下载其中提到的CWShredder。

关闭所有IE窗口，运行此工具让它修复(Fix)，这一操作推荐在安全模式进行。
相关教程：CoolWebSearch专杀——CoolWeb Shredder（CoolWeb粉碎机）简介
http://community.rising.com.cn/Forum/msg_read.asp?FmID=28&SubjectID=3926810&page=1

进入安全模式的方法:重新启动电脑, 开机检测完后, 按[F8]键(可以一直按到启动菜单出来为止), 选择安全模式进入Windows。

使用CWShredder.exe修复之后最好清空IE临时文件(打开IE浏览器——工具——internet选项——删除文件，把“删除所有脱机内容”选上)。



请关闭所有IE界面，重新使用HijackThis扫描一次，选中下面建议修复的项目，让HijackThis修复，修复前请允许HijackThis保留备份。（如果楼主知道是安全的可以不必勾选）
F2 - REG:system.ini: UserInit=userinit.exe,
O1 - Hosts: localhost 127.0.0.1
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

请楼主把日志贴完整…

引用:

请楼主把日志贴完整… ...........................

感谢阁下的关注，已经贴完整了，我也很奇怪别人机器上怎么那么多东西，在我看来都是没用的
也用CWShredder扫过了，没有发现异常
请问有什么不对劲的条目么
再次感谢

您的log并不完整，起码看不到系统和IE的版本

请参考飞跃版主的意见修复

另外

开始→控制面板→性能和维护→管理工具→服务→查找 svhost→右击→属性→启动类型→禁止→应用→停止→确定。

修复

O23 - NT 服务: svhost - Unknown owner - C:\WINDOWS\svhost.exe

显示隐藏文件

双击我的电脑--工具---文件夹选项--查看选项卡--单击选取"显示隐藏文件或文件夹"--清除"隐藏受保护的操作系统文件（推荐）"复选框。在提示您确定更改时，单击“是”--单击“确定”。

然后找到如下文件并删除（如果有的话）。
C:\WINDOWS\svhost.exe
C:\WINDOWS\svhost.dll
C:\WINDOWS\svhost_hook.dll
C:\WINDOWS\svhostkey.dll

引用:

【魔法学徒的贴子】您的log并不完整，起码看不到系统和IE的版本 请参考飞跃版主的意见修复 …….

感谢您的建议，不过我好像确实贴完了
我现在就试一下
再次感谢您的热心回复

抱歉，刚才确实没贴完
现在是根据二位的建议，做了删除后的分析
HijackThis_zww汉化版扫描日志 V1.99.1
保存于      22:53:46, 日期 2005-9-13
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\crypserv.exe
C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
D:\Program Files\浏览器指向\HijackThis1991汉化版\HijackThis1991zww.exe
C:\Program Files\racer-henan-cnc\racer.exe
C:\Program Files\racer-henan-cnc\RacerKp.exe
D:\Program Files\MYIE2\MyIE.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O1 - Hosts: localhost 127.0.0.1
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - IE工具栏增项: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O4 - 启动项HKLM\\Run: [ScanRegistry] scanregw.exe/autorun
O4 - 启动项HKLM\\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: desktop.ini
O4 - Startup: 河南网通宽带用户客户端.lnk = C:\Program Files\racer-henan-cnc\racer.exe
O4 - Global Startup: desktop.ini
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\Program Files\FlashGet\jc_all.htm
O9 - 浏览器额外的按钮: Regedit - {39C8B92D-1FF1-4404-A679-147CBD8D3C01} - C:\WINDOWS\regedit.exe (HKCU)
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CB402A3-7A45-4D4B-9372-EA01C983409A}: NameServer = 69.50.168.180,85.255.112.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFFFEA40-8955-481C-9D7E-3F5FACA72266}: NameServer = 69.50.168.180,85.255.112.26
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - NT 服务: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - NT 服务: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - NT 服务: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - NT 服务: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - NT 服务: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - NT 服务: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe


有几项建议删除的，我确实钩选了，但还是在
C:\WINDOWS\svhost.exe
C:\WINDOWS\svhost.dll
C:\WINDOWS\svhost_hook.dll
C:\WINDOWS\svhostkey.dll
这几个只有svhost.exe用killbox删除了
svhost.dll和svhost.dll，killbox说不能删除
最后一个没有


到现在为止，重启后五分钟，一切正常。
诺顿也不报告hclean32.exe了
感谢两位版主对我的热心帮助

请在安全模式下用killbox的替换删除方式尝试删除那两个文件

唉，又出来了还是蹦

麻烦楼主在安全模式下扫个日志贴上来。

请过目

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      20:30:13, 日期 2005-9-14
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Program Files\浏览器指向\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - IE工具栏增项: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\Program Files\Google\Web Accelerator\GoogleWebAccToolbar.dll
O4 - 启动项HKLM\\Run: [ScanRegistry] scanregw.exe/autorun
O4 - 启动项HKLM\\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - Startup: desktop.ini
O4 - Global Startup: desktop.ini
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{0CB402A3-7A45-4D4B-9372-EA01C983409A}: NameServer = 69.50.168.180,85.255.112.26
O17 - HKLM\System\CCS\Services\Tcpip\..\{BFFFEA40-8955-481C-9D7E-3F5FACA72266}: NameServer = 69.50.168.180,85.255.112.26
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccProxy.exe
O23 - NT 服务: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - NT 服务: Crypkey License - Kenonic Controls Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - NT 服务: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - NT 服务: SAVScan - Symantec Corporation - C:\Program Files\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - NT 服务: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - NT 服务: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\Security Center\SymWSC.exe

修复
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

那两个文件删除了吗？

最好为您的系统打上sp2及最新的安全补丁

删除了，那四个文件除了最后一个没有以外，其他都删了

值得一提的是，刚才在我的c盘下，发现个svhost的安装文件，立马删了，还有个临时回话文件，也删了
这个玩意儿有时候蹦有时候不蹦，这次重启后没再出来

谢谢你的关注

起

还是蹦

【回复“Matheels”的帖子】
建议下载并使用CoolWeb粉碎机：
[必读]本版说明及常用小软件下载第3楼有教程和下载地址。
http://forum.ikaka.com/topic.asp?board=67&artid=5188931。

引用:

【天使之剑的贴子】【回复“Matheels”的帖子】 建议下载并使用CoolWeb粉碎机： [必读]本版说明及常用小软件下载第3楼有教程和下载地址。 。 ...........................

感谢你的 回复，我已经试过了，不行
我感觉和 hclean32.exe这个玩意儿有关

【回复“Matheels”的帖子】
hclean32.exe？您是怎么推断的？它在什么位置？

因为扫出来这个病毒的同时，也出现了蹦这个东西，而且我也一直找不到这个病毒，时发作时不发作，到现在为止也没彻底杀掉。
感谢关注

【回复“Matheels”的帖子】
能报下它的路径吗？是C:\WINDOWS\SYSTEM32\HCLEAN32.EXE吧，删除它。

这个东西在c\windows\system32下，是诺顿报告的
但怎么也找不到，killbox也说没有这个东西

【回复“Matheels”的帖子】
估计已经被Norton隔离了。您现在的问题是什么？

引用:

【天使之剑的贴子】【回复“Matheels”的帖子】 估计已经被Norton隔离了。您现在的问题是什么？ ...........................

我现在的问题是，诺顿继续提示有这个病毒
还有就是 那个your computer might be at risk的提示一直蹦

【回复“Matheels”的帖子】
麻烦您重启至安全模式后再扫描个日志贴上来。

前面已经有一个了，还是那样，我什么也没动，其实是什么也动不了
感谢关注

请将诺顿的提示截个图贴上来

【原创】怎么截图然后发到论坛上啊？
http://219.238.233.252/topic.asp?board=28&artid=5206045

这个该死不死的东西不是经常出来，下次出来的时候我截个图
谢谢关注

等了半天也没出来，先看看这个

怎么回事，是我的bb代码用错了么

附件: 581274200591602153.jpg

来了


附件: 5812742005916200647.jpg

看看下面的网页是否能帮到您：
http://www.filseclab.com/tech/pwsteal.trojan.htm