baohe - 2005-9-21 22:26:00
【回复“颜君儿”的帖子】
一般顺序:
1、扫HIJACKTHIS1.99.1日志。
2、请人辨认日志中的灰鸽子启动加载项或服务项。
3、按日志信息手工杀毒。如果自己不会操作,可以争取别人帮助、指导。
baohe - 2005-9-21 22:35:00
| 引用: |
【颜君儿的贴子】老大,第三项怎么做?
........................... |
你连第一项都没做,我怎么知道第三项该怎么做?请别人帮助,需要你提供基本信息——如:HIJACKTJIS日志、杀软报告的病毒所在路径等。
颜君儿 - 2005-9-21 22:41:00
郁闷,第一和第二我都做了啊。而且按照天天泡泡的贴子把那东西上传了。提取码也告诉网事如风梦了。但是现在他还没告诉我杀毒的方法。
颜君儿 - 2005-9-21 22:45:00
Logfile of HijackThis v1.99.1
Scan saved at 17:38:29, on 2005-09-21
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\system32\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINNT\system32\Explorer.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Program Files\SkyNet\FireWall\PFWmain.exe
C:\Program Files\DriverDownload\DriverDownloader.exe
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\wsearch\Search.exe
C:\WINNT\system32\Rundll32.exe
C:\WINNT\system32\BCUP.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
C:\WINNT\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\Program Files\Microsoft Office\Office\WINWORD.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
E:\My Documents\新建文件夹\155847200541134207\HijackThis.exe
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINNT\system32\xunleibho_v4.dll
O2 - BHO: WebMiscItem Class - {3CD4296F-6CC3-11D9-B888-000C299AA719} - C:\WINNT\system32\WebMisc.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Program Files\QQ\QQIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: 博采 - {4DA2EE61-6399-4C39-AEB9-0D990E610D29} - C:\WINNT\system32\BoCaiToolbar.dll
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: (no name) - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - (no file)
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\Kingsoft\FASTAI~1\IEBand.dll
O3 - Toolbar: 卡卡安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINNT\system32\KakaTool.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Alitalk] E:\安装程序\贸易通\贸易通\AliTalk.EXE -hideframe
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFWmain.exe
O4 - HKLM\..\Run: [Install Alitalk] C:\WINNT\temp\alitalk\alitalk.exe -hideframe
O4 - HKLM\..\Run: [MINI_MYDRIVERS] C:\Program Files\DriverDownload\DriverDownloader.exe
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [CAP3ON] C:\WINNT\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [MoveSearch] C:\Program Files\wsearch\Search.exe
O4 - HKLM\..\Run: [ExFilter] Rundll32.exe C:\WINNT\system32\hookdll.dll,ExecFilter solo
O4 - HKLM\..\Run: [CAPON] C:\WINNT\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [BCUpdate] C:\WINNT\system32\BCUP.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - Startup: 腾讯QQ.lnk = D:\Program Files\QQ\QQ.exe
O4 - Global Startup: Canon LASER SHOT LBP-1120-statusvenster.LNK = C:\WINNT\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Canon LBP-810 状态窗口.LNK = C:\WINNT\system32\spool\drivers\w32x86\3\CAPPSWK.EXE
O8 - Extra context menu item: !搜一搜 - res://C:\WINNT\DOWNLO~1\CnsMinEx.dll/1003
O8 - Extra context menu item: &使用驱动下载专家下载 - C:\Program Files\DriverDownload\geturl.htm
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 收藏此页到ViVi - http://vivi.sina.com.cn/collect/click.php?agent=ddt
O8 - Extra context menu item: 新浪搜索 - http://cha.sina.com.cn/ddt.html
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\QQ\SendMMS.htm
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://hot.3721.com/rd/shop_btn.htm (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program Files\QQ\QQ.EXE
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - D:\Program Files\QQ\QQIEHelper.dll
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O15 - Trusted Zone: easyabc.95599.cn
O15 - Trusted Zone: www.95599.cn
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://5151c.wz16300.com/plugin/PowerPlr3200.ocx
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{50D5A597-F61E-4311-B6E8-244D1087D605}: NameServer = 61.153.177.197 61.153.177.201
O18 - Protocol: koboo - {7DEE9D05-FA0A-4416-A6F3-6537D0EAB6A6} - C:\WINNT\system32\mbprot.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\Explorer.exe" /service (file missing)
其中
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\Explorer.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXE这两条就是病毒对不对?
baohe - 2005-9-21 22:49:00
【回复“颜君儿”的帖子】
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINNT\system32\Explorer.exe" /service (file missing)————文件已经被删除了。关闭所有应用程序,用HIJACKTHIS修复这项。
C:\WINNT\system32\drivers\CDAC11BA.EXE————是什么东西?还不好说。请将这个文件打包,发到我的邮箱:baohelin@yahoo.com.cn
baohe - 2005-9-21 22:51:00
【回复“颜君儿”的帖子】
O4 - HKLM\..\Run: [MINI_MYDRIVERS] C:\Program Files\DriverDownload\DriverDownloader.exe
不知道是什么
颜君儿 - 2005-9-21 22:58:00
文件已经发过去了。请查收。不过我没打包而是直接找到这个程序添加到附件里的。不知道这样做对不对?我用HIJACKTHIS修复后,那些日志就不见了,这是正常的吗?
baohe - 2005-9-21 23:08:00
| 引用: |
【颜君儿的贴子】文件已经发过去了。请查收。不过我没打包而是直接找到这个程序添加到附件里的。不知道这样做对不对?我用HIJACKTHIS修复后,那些日志就不见了,这是正常的吗?
........................... |
晕!不可以这样做。倒不是我怕中毒,如果是病毒,你不打包就直接附加文件,雅虎邮箱的诺顿会把你的附件杀掉!!我根本就收不到你提供的样本。这都是常识啊!!!!
颜君儿 - 2005-9-21 23:12:00
那怎么才能打包啊。。不要骂偶啊。。偶真的是电脑白痴啊。。。555555555555这是事实你也不要讲出来啊。。55555555555
baohe - 2005-9-21 23:27:00
【回复“颜君儿”的帖子】
如何将病毒样本上传到论坛——写给请求帮助的新手
http://forum.ikaka.com/topic.asp?board=28&artid=6267232
baohe - 2005-9-21 23:36:00
| 引用: |
【颜君儿的贴子】晕倒啊。。系统说文件类型不对。。
........................... |
那个帖子,你只看打包那部分。不要传到论坛。论坛现在不让传病毒样本了。打包,发到我的邮箱。少说一句话,你就出问题!!
颜君儿 - 2005-9-21 23:42:00
呵呵,发过去了。我就知道我对这个一窍不懂所以把所有的事都说白一点啊。
baohe - 2005-9-21 23:51:00
| 引用: |
【颜君儿的贴子】呵呵,发过去了。我就知道我对这个一窍不懂所以把所有的事都说白一点啊。
........................... |
收到
1/ 卡巴斯基扫过——无毒。
2/文件有名有姓(macrovision公司的)。可以肯定+不是病毒。
附件:
1558472005921235142.jpg
颜君儿 - 2005-9-21 23:53:00
耶耶,,那说明我这台电脑没病毒喽。。。
对了,下午的时候我用网上银行汇了几笔款子。。。会不会被盗啊?
颜君儿 - 2005-9-21 23:54:00
那为什么我打开有些程序后还是出现“……产生错误,要被……关闭”之类的呢?
baohe - 2005-9-21 23:58:00
| 引用: |
【颜君儿的贴子】耶耶,,那说明我这台电脑没病毒喽。。。
对了,下午的时候我用网上银行汇了几笔款子。。。会不会被盗啊?
........................... |
你还没解释我7楼的疑问。不要高兴得太早。
颜君儿 - 2005-9-22 0:01:00
七楼啥问题?老大,说白点可以不??我看不懂英文字啊。。
不要老泼我冷水,,会感冒的。
baohe - 2005-9-22 0:02:00
| 引用: |
【颜君儿的贴子】七楼啥问题?老大,说白点可以不??我看不懂英文字啊。。
不要老泼我冷水,,会感冒的。
........................... |
O4 - HKLM\..\Run: [MINI_MYDRIVERS] C:\Program Files\DriverDownload\DriverDownloader.exe
我不知道这项。是什么你知道吗?
颜君儿 - 2005-9-22 0:06:00
不知道。很抱歉没帮上什么忙。我对电脑这些一窍不通。看到英文字都会跳过去的。。老大,你跟别人商量一下可以不?
baohe - 2005-9-22 0:08:00
【回复“颜君儿”的帖子】
抱歉哈!! 和你说了半天,没注意你是个女生。
伤你自尊了。抱歉!
C:\Program Files\DriverDownload\DriverDownloader.exe
请把这个文件打包,发到我的邮箱。帮你看看。
颜君儿 - 2005-9-22 0:13:00
你啥意思摸。。女生就一定看不懂啊?只是大家的专业不一样啊!!!老大!!!!
邮件发过去了
颜君儿 - 2005-9-22 0:43:00
怎么还没好啊。。老大,我想睡觉了。。明天起来长痘痘了。。。5555555555555
爱我就跟我走 - 2005-9-22 1:29:00
| 引用: |
【颜君儿的贴子】
哈哈 你不是要把斑竹累坏了吧 那我们大家可不同意啊 
颜君儿 - 2005-9-22 1:33:00 我也很累啊。。你怎么不关心关心我啊。。。
颜君儿 - 2005-9-22 7:40:00 顺便把我看看,这日志里面有没有中灰鸽子病毒,谢谢!!
Logfile of HijackThis v1.99.1
Scan saved at 7:16:52, on 2005-09-22
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINNT\system32\stisvc.exe
c:\u8soft\gdp\web\bin\taskservice.exe
C:\WINNT\system32\CAPRPCSK.EXE
C:\WINNT\system32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINNT\system32\internat.exe
C:\Program Files\Sharp\Sharpdesk\SharpTray.exe
C:\WINNT\system32\UfSvrMgr.exe
C:\Program Files\SHARP\Button Manager A\btnman.exe
C:\WINNT\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
C:\WINNT\SYSTEM32\SPOOL\DRIVERS\W32X86\3\CAP3SWK.EXE
C:\WINNT\system32\U8SMSSrv.exe
C:\WINNT\system32\ServerNT.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\AlertService.exe
F:\155847200541134207\HijackThis.exe
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: 金山快译(&K) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - C:\PROGRA~1\Kingsoft\FASTAI~1\IEBand.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [CAPON] C:\WINNT\system32\Spool\Drivers\w32x86\3\CAPONN.EXE
O4 - HKLM\..\Run: [CAP3ON] C:\WINNT\system32\spool\drivers\w32x86\3\CAP3ONN.EXE
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [SharpTray] "C:\Program Files\Sharp\Sharpdesk\SharpTray.exe"
O4 - Global Startup: U8管理服务.lnk = C:\WINNT\system32\UfSvrMgr.exe
O4 - Global Startup: Canon LASER SHOT LBP-1120-statusvenster.LNK = C:\WINNT\system32\spool\drivers\w32x86\3\CAP3LAK.EXE
O4 - Global Startup: Button Manager A.lnk = C:\Program Files\SHARP\Button Manager A\btnman.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: 合并报表队列服务 (TaskService) - - c:\u8soft\gdp\web\bin\taskservice.exe
O23 - Service: UFSoft SMS Platform (U8SmsSrv) - Unknown owner - C:\WINNT\system32\U8SMSSrv.exe
O23 - Service: 用友U8预警调度服务 (UFALERTSERVICE) - Unknown owner - C:\WINNT\system32\AlertService.exe
O23 - Service: U8管理软件 (UFNet) - Unknown owner - C:\WINNT\system32\ServerNT.EXE
baohe - 2005-9-22 8:42:00 【回复“颜君儿”的帖子】
收到DriverDownloader.exe
是迅雷的东东。没问题。
颜君儿 - 2005-9-22 11:11:00 那我上面所贴的日志有没有中毒啊?还有昨晚说的有的程序打不开后来重启后就可以了。今早过来杀毒把灰鸽子杀掉后再杀一次就没毒了。真是谢谢你喽。老大
© 2000 - 2026 Rising Corp. Ltd.
|
