瑞星卡卡安全论坛

我机子中了很奇怪的毒，鼠标现在根本不受我控制，上下移动条总是上下乱颤动，请问高手们则是什么病毒？请看我的扫描日志：
Logfile of HijackThis v1.99.1
Scan saved at 11:07:59, on 2005-9-30
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\ctfmon.exe
c:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\System32\conime.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
c:\program files\rising\rav\RAVMON.EXE
D:\Program Files\TT\TTraveler.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\aa\LOCALS~1\Temp\Rar$EX00.062\HijackThis.exe

R3 - URLSearchHook: 上网助手 - {BB936323-19FA-4521-BA29-ECA6A121BC78} - C:\Program Files\3721\assist\asbar.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: update wnwb - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [helper.dll] C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\3721\helper.dll,Rundll32
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - Extra context menu item: Google 搜索(&G) - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 反向链接 - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: 导出当前页到超星阅览器(&A) - d:\Program Files\SSREADER36\ss_all.htm
O8 - Extra context menu item: 导出选中部分到超星阅览器(&S) - d:\Program Files\SSREADER36\ss_select.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program Files\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program Files\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program Files\QQ\SendMMS.htm
O8 - Extra context menu item: 类似网页 - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: 缓存的网页快照 - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: 翻译英文字词(&T) - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O16 - DPF: {3359C0B1-2363-40B3-AFCA-1ABC799AC486} (SSReaderPlug Control) - http://210.35.35.85:8000/ssreaderplug.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1AE7FF5F-F64C-4925-B7E0-0783DF01D1A4}: NameServer = 202.101.224.68,210.35.32.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{38BBFE20-5BFC-4621-97BE-23D4DC072289}: NameServer = 202.101.224.68,210.35.32.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{1AE7FF5F-F64C-4925-B7E0-0783DF01D1A4}: NameServer = 202.101.224.68,210.35.32.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{1AE7FF5F-F64C-4925-B7E0-0783DF01D1A4}: NameServer = 202.101.224.68,210.35.32.10
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

救命呀！各位高手！

日志上看不出问题。

谢谢哦！那请问这种现象是怎么回事呀！？我刚来上班时还好好的，现在突然就这样了！我敲这点子就用了十分钟，这可怎么办呀，请问你们以前碰到过类似情况吗，我以前另外一台也出过这样的问题，后来只有重装系统，惨呀！

换鼠标行不行？或将鼠标驱动重装一次。

我试一下看行不行。谢谢

还是不行呀大侠，我已经将鼠标拔掉试过了，用键盘操作，结果还是右边的移动条上下乱颤，请问还有什么高招没有！：）不过不管怎样都谢谢你的关心！感激！

?鼠标与别的东西冲突/

不清楚，如果这样的话，我拔掉鼠标它应该好了吧，但还是没有！我的鼠标在不浏览的的状态下是好的，比如桌面，可以任意精确滑动，但只要打开编辑软件如office 办公软件，网页等等，就不行了，鼠标是可以到处精确滑动的，但上下左右移动工具条就开始不停的晃动了！！！！！

不清楚，如果这样的话，我拔掉鼠标它应该好了吧，但还是没有！我的鼠标在不浏览的的状态下是好的，比如桌面，可以任意精确滑动，但只要打开编辑软件如office 办公软件，网页等等，就不行了，鼠标是可以到处精确滑动的，但上下左右移动工具条就开始不停的晃动了！！！！！

硬件方面的解决方法：先检查硬件有没有冲突(比如和Modem等其他的外设)然后试着检查你鼠标接口的针是否弯曲，断了：然后，拆开鼠标，看里面是否有脏物缠绕或反拧？将其清除再试试。或者，换到其他的电脑上试试，看是否故障依旧，有没有给出硬件故障的信息。还不行的话，只有调整故障对应方向红外发射管、红外接收组件与栅轮的相对位置，看能否恢复了。最后一招干脆买个新的算了。
  我的鼠标最近有时胡乱乱动，不听指挥。我怀疑是有病毒或木马之类，所以用金山毒霸、iparmor5.33、the cleaner查杀过，均未发现过问题。但我在“系统信息——正在运行的任务”下发现几个没有路径、版本和任何信息的任务（详见附件）。不知道和这有没有关，请问这三个任务是什么东西，能否删除，怎样删除？（2002-3-3）
答：这是一种NIMDA病毒。解决方案如下：
  A. 检测、清除
  * 检查临时文件夹是否存在MEPXXXX.tmp 和MEPXXXX.tmp.exe文件，XXXX是由字幕和数字随机组成的字符串
  * 检查C:\，D:\，E:\是否存在httpodbc.dll文件
  * 是否带宽被严重占用
  * 在Win 9x/ME系统中，\Windows\system目录下是否存在LOAD.exe文件
* 在Win NT/2K系统中，\Windows\System目录下是否存在CSRSS.exe隐藏文件
  建议您下载Symantec和Trendmicro的查杀Nimda_E病毒工具进行检测和清除
http://support.marsec.net/focus/nimda_e/FxNimdaE.com
http://support.marsec.net/focus/nimda/trend_nimda.zip
查杀步骤：
1、http://support.marsec.net/focus/nimda_e/FxNimdaE.com下载
FxNimdaE.com,存放在系统里。
2、停掉系统所有正在运行的程序。
3、如果您的系统是Windows Me，您必须停掉Windows Me的系统恢复功能，因为病毒有可能被自动保存在备份目录里。停止系统恢复功能步骤参见：
http://support.marsec.net/focus/nimdawm.php
4、双击运行FxNimdaE.com。
注意：运行此程序需要您以系统管理员帐号登录，在操作前停掉IIS服务或者拔离网线，以免在清除过程中再次感染。
5、点击Start键运行程序直到报告说系统已经清除掉病毒。
6、http://support.marsec.net/focus/nimda/trend_nimda.zip下载trend_nimda.zip，解压缩后使用命令行方式执行Fix_nimda.exe。
B. 安装操作系统补丁
如果系统仍然没有安装以下补丁，请立刻根据不同的操作系统安装微软的最新安全补丁：
1、Windows NT4 系统
Windows NT 4.0 中文版 Service Pack 6a下载
http://support.marsec.net/focus/patch/NT4sp6a/ch_sp6i386.exe
Windows NT 4.0 英文版 Service Pack 6a下载
http://support.marsec.net/focus/patch/NT4sp6a/en_sp6i386.exe
Windows NT 4.0 中文版 SP6a安全补丁集合(SRP)下载
http://support.marsec.net/focus/patch/sp6a-srp/CHSQ299444i.exe
Windows NT 4.0 英文版 SP6a安全补丁集合(SRP)下载
http://support.marsec.net/focus/patch/sp6a-srp/Q299444i.exe
2、Windows 2000 系统
Windows 2000 中文版 Service Pack 2下载
http://support.marsec.net/focus/patch/w2ksp2/w2ksp2SC.exe
Windows 2000 英文版 Service Pack 2下载
http://support.marsec.net/focus/patch/w2ksp2/W2KSP2En.exe
C. 修补含有漏洞的windows主机
将IE升级到下面三个版本之一：
Internet Explorer 5.01 Service Pack 2:
中文版补丁：
http://support.marsec.net/focus/patch/ie5.01sp2/ie5.01sp2sc.zip
英文版补丁：
http://support.marsec.net/focus/patch/ie5.01sp2/ie5.01sp2en.zip
Internet Explorer 5.5 Service Pack 2:
中文版补丁：
http://support.marsec.net/focus/patch/ie5.5sp2/ie5.5sp2sc.zip
英文版补丁：
http://support.marsec.net/focus/patch/ie5.5sp2/ie5.5sp2en.zip
Internet Explorer 6:
中文版补丁：
http://support.marsec.net/focus/patch/ie6patch/ie6sc.zip
英文版补丁：
http://support.marsec.net/focus/patch/ie6patch/ie6en.zip
D. 修补含有漏洞的IIS系统
如果系统仍然没有安装以下补丁，请立刻根据不同的操作系统安装微软的最新
安全补丁：
1、Windows NT4 系统
* IIS 4.0 中文版
UNICODE安全补丁：
http://support.marsec.net/focus/patch/iispatch/Q295534icn.exe
CodeRed安全补丁：
http://support.marsec.net/focus/patch/iispatch/Q300972i.exe
ssinc.dll安全补丁：
http://support.marsec.net/focus/patch/iispatch/Q301625iSc.exe
× IIS 4.0 英文版
UNICODE安全补丁：
http://support.marsec.net/focus/patch/iispatch/Q295534ien.exe
CodeRed安全补丁：
http://support.marsec.net/focus/patch/iispatch/Q300972i.exe
ssinc.dll安全补丁：
http://support.marsec.net/focus/patch/iispatch/Q301625i.exe
2、Windows 2000 系统
* IIS 5.0 中文版
UNICODE安全补丁：
http://support.marsec.net/focus/patch/iispatch/Q293826_W2k_SP3_x86_cn.exe
CodeRed安全补丁：
http://support.marsec.net/focus/patch/iispatch/CHSQ300972i.exe
ssinc.dll安全补丁：
http://support.marsec.net/focus/patch/iispatch/Q301625_W2k_sp3_x86_cn.exe
× IIS 5.0 英文版
UNICODE安全补丁：
http://support.marsec.net/focus/patch/iispatch/Q293826_W2K_SP3_x86_en.EXE
CodeRed安全补丁：
http://support.marsec.net/focus/patch/iispatch/Q300972_W2K_SP3_x86_en.EXE
ssinc.dll安全补丁：
http://support.marsec.net/focus/patch/iispatch/Q301625_W2K_SP3_x86_en.EXE

哇，这么长怎么记呀~~~~~~~~~~~~~