中招了都不知道怎么中的，郁闷啊！高手看看，谢了！ bbs.ikaka.com

虎哥老大 - 2005-9-17 10:48:00

删除后每次开机又有了：Trojan.PSW.Lineage.fb ，太郁闷了！
还有：Trojan.PSW.LMir.adr
谢谢大家了，＂人人为我，我为人人＂

独孤豪侠 - 2005-9-17 10:49:00

病毒分类 WINDOWS下的PE病毒病毒名称 Trojan.PSW.Lineage.fb 　
别名　病毒长度
依赖系统传播途径　
行为类型 WINDOWS下的木马程序感染　
病毒发作瑞星版本号
　 17.39.40

独孤豪侠 - 2005-9-17 10:50:00

病毒分类 WINDOWS下的PE病毒病毒名称 Trojan.PSW.LMir.adr 　
别名　病毒长度
依赖系统传播途径　
行为类型 WINDOWS下的木马程序感染　
病毒发作瑞星版本号
　 17.16.30

盗取传奇密码的木马，采用Delphi编写。

首次运行后将自己拷贝到C:\program files\explorer.exe，并释放动态库cq0dll.dll到系统目录下。

添加注册表启动项：
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Loadmecq0 : C:\program files\explorer.exe
这样，每次开机病毒都能启动。

在98下还会注册为服务，增加隐藏性。

病毒每隔1秒钟遍历进程和窗体，结束一些反病毒进程，如：
PasswordGuard.exe，RavMon.exe，天网防火墙个人版，天网防火墙企业版，噬菌体，ZoneAlarm，EGHOST.EXE，MAILMON.EXE，KAVPFW.EXE，IPARMOR.EXE....
大多数为国内反病毒软件，可见病毒作者来自国内。

病毒调用cq0dll.dll里的函数。cq0dll.dll含主要病毒代码，获取“传奇”游戏的窗体和进程，获得其中的关键信息，如帐号、密码、服务器等。在获得关键信息后，病毒直接将信息发送到外部web主机，由于使用HTTP协议，容易躲过防火墙的拦截。

虎哥老大 - 2005-9-17 10:54:00

【回复“独孤豪侠”的帖子】大哥，怎么清初啊？

独孤豪侠 - 2005-9-17 10:56:00

请下载并使用HijackThis 1.99.1，扫描LOG发上来，方便大家分析。
HijackThis 1.99.1下载地址
http://forum.ikaka.com/download.asp?id=5188960
【推荐】反浏览器劫持的一些常用操作
http://forum.ikaka.com/topic.asp?board=67&artid=6490491
运行HijackThis，先点[扫描系统并保存日志]或[Do a system scan and save a logfile]按钮，扫描完成后，LOG将会在自动弹出的记事本中显示，再从记事本里复制/粘贴到贴子里。如果LOG比较长，一贴发不完，你可以分成几个部分发在回贴里。

虎哥老大 - 2005-9-17 11:09:00

HijackThis 1.99.1和瑞星有冲突吗？

雪山铁骑 - 2005-9-17 11:10:00

引用:

【虎哥老大的贴子】HijackThis 1.99.1和瑞星有冲突吗？
...........................

没冲突

虎哥老大 - 2005-9-17 11:15:00

【回复“独孤豪侠”的帖子】这就是了HijackThis_815汉化版扫描日志 V1.99.1
保存于 11:13:06, 日期 2005-9-17
操作系统： Windows XP SP1 (WinNT 5.01.2600)
浏览器： Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Rising\Rfw\RfwMain.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\Rundll32.exe
D:\网络电话\新版2.0\cnc-voip.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~1\RISING\RAV\Rav.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\杀毒\HijackThis1991zww.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\看报纸\所有读报组件\ActiveX\AcroIEHelper.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\YDRAGS~1.DLL (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - (no file)
O2 - BHO: IE - {DDDE2452-AF9E-4577-AE6C-465DBCB54D49} - C:\WINDOWS\System32\obdc16tg.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: BitCometBar - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - D:\下载软件\BitComet\BitCometBar\BitCometBar0.1.dll (file missing)
O3 - IE工具栏增项: 捜狗直通车 - {DBBB7978-AF21-4EF4-9AD1-B2F4BC75696C} - C:\PROGRA~1\P4P\ToolBar.dll (file missing)
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [PSDll] Rundll32 "C:\WINDOWS\System32\psdll.dll",Start
O4 - 启动项HKLM\\Run: [DTService] rem rundll32.exe C:\WINDOWS\system32\dtservic.dll,Load
O4 - 启动项HKLM\\Run: [MoveSearch] C:\Program Files\wsearch\Search.exe
O4 - 启动项HKLM\\Run: [MicroCQ0] C:\Program Files\explorer.exe
O4 - 启动项HKLM\\Run: [VTalk] D:\网络电话\新版2.0\cnc-voip.exe
O4 - 启动项HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - 启动项HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O4 - 启动项HKLM\\Run: [CnsMin] Rundll32.exe C:\WINDOWS\downlo~1\CnsMin.dll,Rundll32
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\RunServices: [SVCHOST] C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?
O8 - IE右键菜单中的新增项目: Google 搜索(&G) - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - IE右键菜单中的新增项目: 使用搜狗直通车下载 - C:\Program Files\P4P\dl.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 反向链接 - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\QQ\SendMMS.htm
O8 - IE右键菜单中的新增项目: 百度-搜索MP3 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUMP3.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索图片 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUIMG.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索新闻 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUNEWS.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索歌词 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDULYRIC.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索网页 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUSEARCH.HTM
O8 - IE右键菜单中的新增项目: 百度-搜索贴吧 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDUPOST.HTM
O8 - IE右键菜单中的新增项目: 百度-词典搜索 - res://C:\Progra~1\Baidu\bar\BaiDuBar.dll/BAIDU_DIC.HTM
O8 - IE右键菜单中的新增项目: 类似网页 - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - IE右键菜单中的新增项目: 缓存的网页快照 - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - IE右键菜单中的新增项目: 翻译英文字词(&T) - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html
O9 - 浏览器额外的按钮: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - 浏览器额外的按钮: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - 浏览器额外的按钮: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - 浏览器额外的按钮: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: 随身行网络电话 - {A22261F5-F9DC-444C-9F77-DC061C9CD1C1} - D:\网络电话\新版2.0\cnc-voip.exe
O9 - 浏览器额外的“工具”菜单项: 随身行网络电话 - {A22261F5-F9DC-444C-9F77-DC061C9CD1C1} - D:\网络电话\新版2.0\cnc-voip.exe
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - 浏览器额外的按钮: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - 浏览器额外的按钮: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - 浏览器额外的“工具”菜单项: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O11 - Options group: [!CNS] 上网助手-地址栏搜索
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/07d36b802278352e3705/netzip/RdxIE601_cn.cab
O16 - DPF: {5DD731E6-D4F0-11D3-BE3F-00105A6FDA50} (V3ProX Control) - http://origin-www.ahn.com.cn/aspservice/plugin/myv3.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5C20D5F-C07F-4914-936E-8BE67291827F}: NameServer = 10.254.131.253
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - C:\Program Files\Rising\Rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - NT 服务: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)

独孤豪侠 - 2005-9-17 11:17:00

O4 - Global Startup: Adobe Reader Speed Launch.lnk = ?这项怎么这样？？
O23 - NT 服务: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\System32\wdfmgr.exe (file missing)这项修复。

虎哥老大 - 2005-9-17 11:23:00

【回复“独孤豪侠”的帖子】好了，，我重起一下试试？

独孤豪侠 - 2005-9-17 11:25:00

晕，修复一下就想杀毒。倒~~~~~~~~~~~~~~

虎哥老大 - 2005-9-17 11:29:00

，呵呵，我是＂脑盲＂．菜菜菜．．．．．．．．．，有事出去，回来讨教．ＱＱ３６００６６７１０
１３１０５４１０５３９

雪山铁骑 - 2005-9-17 11:34:00

下面也要修复
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - (no file)
O2 - BHO: IE - {DDDE2452-AF9E-4577-AE6C-465DBCB54D49} - C:\WINDOWS\System32\obdc16tg.dll
O4 - 启动项HKLM\\Run: [MoveSearch] C:\Program Files\wsearch\Search.exe
O4 - 启动项HKLM\\Run: [MicroCQ0] C:\Program Files\explorer.exe
O4 - 启动项HKLM\\RunServices: [SVCHOST] C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
删除文件
C:\Program Files\wsearch
C:\WINDOWS\System32\obdc16tg.dll
C:\WINDOWS\SYSTEM32\SVCH0ST.EXE

命运里の金色 - 2005-9-17 12:19:00

病毒报的路径以及文件?

绿色通道 - 2005-9-17 12:26:00

真是长见识啊!

虎哥老大 - 2005-9-17 17:39:00

O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - (no file)
O2 - BHO: IE - {DDDE2452-AF9E-4577-AE6C-465DBCB54D49} - C:\WINDOWS\System32\obdc16tg.dll
O4 - 启动项HKLM\\Run: [MoveSearch] C:\Program Files\wsearch\Search.exe
O4 - 启动项HKLM\\Run: [MicroCQ0] C:\Program Files\explorer.exe
O4 - 启动项HKLM\\RunServices: [SVCHOST] C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
删除文件
C:\Program Files\wsearch
C:\WINDOWS\System32\obdc16tg.dll
C:\WINDOWS\SYSTEM32\SVCH0ST.EXE

这些确实也需要修复吗？

虎哥老大 - 2005-9-17 17:42:00

引用:

【命运里の金色的贴子】病毒报的路径以及文件?
...........................

详细内容2005-09-17 11:26:46, explorer.exe>>C:\Program Files\explorer.exe ->Trojan.PSW.Lineage.fb
详细内容2005-09-17 11:26:42, Explorer.EXE>>C:\WINDOWS\System32\CQ0dll.dll ->Trojan.PSW.LMir.adr

虎哥老大 - 2005-9-17 17:45:00

我按路径找不到病毒文件啊，郁闷．．．．．．．

命运里の金色 - 2005-9-17 18:15:00

引用:

【虎哥老大的贴子】我按路径找不到病毒文件啊，郁闷．．．．．．．
...........................

在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项，点击“确定”按钮。

虎哥老大 - 2005-9-17 18:24:00

在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项，点击“确定”按钮。
没这两项啊？

虎哥老大 - 2005-9-17 18:30:00

引用:

【虎哥老大的贴子】在“文件夹选项”的“查看”面板中勾选“显示系统文件”、“显示所有的文件和文件夹”两项，点击“确定”按钮。
没这两项啊？

...........................

找到了！

虎哥老大 - 2005-9-17 18:45:00

引用:

找到了！

虎哥老大 - 2005-9-17 19:49:00

删除了C:\Program Files\explorer.exe 之后，
＂详细内容2005-09-17 17:34:52, explorer.exe>>C:\Program Files\explorer.exe ->Trojan.PSW.Lineage.fb
详细内容2005-09-17 17:34:50, Explorer.EXE>>C:\WINDOWS\System32\CQ0dll.dll ->Trojan.PSW.LMir.adr＂
这两个问题都解决了．开机也没有毒了，是不是问题彻底解决了呢？望各位高手帮我分析分析，小弟在这儿谢了．

虎哥老大 - 2005-9-17 20:32:00

各位大侠还没团圆归来啊？．．．．．．．．．．．．．．．

虎哥老大 - 2005-9-18 16:23:00

怎么了，这个问题没人明白吗？真晕．．．．．．．．．．．

命运里の金色 - 2005-9-18 16:41:00

引用:

【虎哥老大的贴子】删除了C:\Program Files\explorer.exe 之后，
＂详细内容2005-09-17 17:34:52, explorer.exe>>C:\Program Files\explorer.exe ->Trojan.PSW.Lineage.fb
详细内容2005-09-17 17:34:50, Explorer.EXE>>C:\WINDOWS\System32\CQ0dll.dll ->Trojan.PSW.LMir.adr＂
这两个问题都解决了．开机也没有毒了，是不是问题彻底解决了呢？望各位高手帮我分析分析，小弟在这儿谢了．
...........................

应该说是杀软已知到的病毒文件已经删除

baohe - 2005-9-18 16:46:00

引用:

【虎哥老大的贴子】怎么了，这个问题没人明白吗？真晕．．．．．．．．．．．
...........................

7楼的日志显示：还有一个木马——C:\WINDOWS\SYSTEM32\SVCH0ST.EXE

注意文件名中的“0”是数字。正常的SVCHOST.EXE，文件名中的“O”是大写英文字母。

虎哥老大 - 2005-9-18 16:50:00

引用:

【命运里の金色的贴子】应该说是杀软已知到的病毒文件已经删除
...........................

多谢多谢

命运里の金色 - 2005-9-18 16:54:00

引用:

【baohe的贴子】
7楼的日志显示：还有一个木马——C:\WINDOWS\SYSTEM32\SVCH0ST.EXE

注意文件名中的“0”是数字。正常的SVCHOST.EXE，文件名中的“O”是大写英文字母。
...........................

的确是,难道楼主还没删除?斑竹看来瑞星查不出,可以上报了

虎哥老大 - 2005-9-18 16:54:00

引用:

怎么治疗？

瑞星卡卡安全论坛