求助，关于worm.mail.fanbot病毒 bbs.ikaka.com

孤独缥缈 - 2005-10-24 16:44:00

每次瑞星都能查到，杀掉，但是重启机子后就会又有，我已经因为这个病毒昨天做过一次系统，但是现在又出现了，我确定没有上过任何垃圾网。到底这个木马如何处理？有什么危害性？高手指点啊！！急。。。。

BlackStone - 2005-10-24 16:59:00

病毒文件的具体位置是什么

孤独缥缈 - 2005-10-24 17:06:00

位置：c:\winnt\explorer.exe

BlackStone - 2005-10-24 17:48:00

用autoruns工具发个日志上来

具体可参考
http://forum.ikaka.com/topic.asp?board=28&artid=7318038

孤独缥缈 - 2005-10-24 22:46:00

以下是我的扫描日志，请高手帮我看看到底哪里出了问题？

Logfile of HijackThis v1.99.1
Scan saved at 22:41:19, on 2005-10-24
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SYSTEM32\starter.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\Program Files\CNNIC\Cdn\cdnup.exe
C:\WINNT\system32\internat.exe
C:\Documents and Settings\Administrator\桌面\155847200541134207\HijackThis.exe

O2 - BHO: CNNIC_IDN - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\Assistant\Assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - d:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O2 - BHO: IE - {D157330A-9EF3-49F8-9A67-4141AC41ADD4} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\Assistant\Assist\yasbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [EnsoniqMixer] C:\WINNT\SYSTEM32\starter.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\..\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O4 - HKLM\..\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O8 - Extra context menu item: 使用影音传送带下载 - D:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - D:\Program Files\Xi\NetTransport 2\NTAddList.html
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} - http://sms.3721.com/ie/index.htm (file missing)
O9 - Extra button: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - Extra 'Tools' menuitem: 中文上网 - {35980F6E-A137-4E50-953D-813BB8556899} - C:\PROGRA~1\CNNIC\Cdn\cdniehlp.dll
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} - http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: 寻宝乐趣多 - {59BC54A2-56B3-44a0-93E5-432D58746E26} - http://adtaobao.allyes.com/main/adfclick?db=adtaobao&bid=138,140,18&cid=816,8,1&sid=5042&show=ignore&url=?allyesPara=816 (file missing)
O9 - Extra button: 雅虎助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://cn.zs.yahoo.com/?source=Cns (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: (no name) - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 修复浏览器 - {ECF2E268-F28C-48d2-9AB7-8F69C11CCB71} - http://assistant.3721.com/security1.htm?fb=Cns (file missing)
O9 - Extra button: (no name) - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O9 - Extra 'Tools' menuitem: 清理上网记录 - {FD00D911-7529-4084-9946-A29F1BDF4FE5} - http://assistant.3721.com/clean1.htm?fb=Cns (file missing)
O10 - Unknown file in Winsock LSP: c:\winnt\system32\cdnns.dll
O11 - Options group: [!CNS] 上网助手-地址栏搜索
O11 - Options group: [CDNCLIENT] 中文上网
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129980641375
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

孤独缥缈 - 2005-10-25 9:25:00

哪位高手帮忙看看，看看有什么问题么！

孤独缥缈 - 2005-10-26 9:17:00

没有人知道么？我在网上也查不出这个是什么病毒啊。

baohe - 2005-10-26 9:19:00

引用:

【孤独缥缈的贴子】哪位高手帮忙看看，看看有什么问题么！
...........................

C:\WINNT\SYSTEM32\starter.exe

请将此文件打包，发到我的邮箱。邮箱地址见签名档。

献身环保 - 2005-10-26 10:03:00

我也是同样的现象，请高手帮忙！

献身环保 - 2005-10-26 10:24:00

我的电脑上没有C:\WINNT\SYSTEM32\starter.exe这个文件，怎么回事啊？

wewewer - 2005-10-26 10:54:00

我也中这个毒了……
前几天刚把灰鸽子干掉阿……
郁闷
这个要怎么删阿？我的病毒位置是c:/windows?explorer.exe

linc2008 - 2005-10-26 12:17:00

我的电脑跟你是同样的问题。。。。
请求版主帮忙想出个解决的办法！

献身环保 - 2005-10-26 13:19:00

Worm.Mail.Fanbot C:\WINDOWS\Explorer.EXE
Backdoor.Gpigeon.srk C:\WINDOWSsm2ss_HOOk.DLL
这两个病毒总是一起出现，但我找不到sm2ss_HOOk.DLL这个文件。也无法删除。
请教各位高手该如何删除？
谢谢！

献身环保 - 2005-10-26 18:45:00

搞定。到http://www.skycn.com/soft/15753.html上下载这个软件，然后运行，把一些不知道的DLL统统干掉，就OK了。

wzb1981 - 2005-11-3 19:05:00

我也中了这种病毒，请高手指点！！！！！急！！！！

讨厌病毒ing - 2005-11-3 19:42:00

我也中了大家快来救命

bobo无极限 - 2005-11-3 20:02:00

百度了一下,上面说starter.exe是创新声卡相关程序

不知到底是什么

milkyway - 2005-11-6 4:31:00

Kb的启动

milkyway - 2005-11-6 4:34:00

用优化大师的粉碎机，就可以把病毒删除了。我去年杀武汉男生的时候发现的。很好用。毕竟杀毒软件不是万能的。“灰鸽子拦截了API调用，在正常模式下木马程序文件和它注册的服务项均被隐藏，也就是说你即使设置了“显示所有隐藏文件”也看不到它们。”粉碎机里面虽然也看不见那些文件但是只要知道在哪里，就可以删除，不用看见它。为什么要说这个？？？。。。。。。

milkyway - 2005-11-6 4:38:00

刚刚中了，杀毒也不难，瑞星不能中止服务阿还有服务客户端在windows文件夹中看不见瑞星也就杀不了了，非要手工删。用粉碎机。还有产生的dll文件3个全删了，最后把服务相删除就好了。这个病毒和灰鸽子是一起的啊,,,,无语......。楼主，你去下个流氓软件专杀吧，你电脑乱的可以啊！

灵心飞雪 - 2005-11-6 18:48:00

请问csrss.exe这是病毒吗??

bobone - 2005-11-6 19:03:00

病毒刚杀玩，其实非常简单，中止sm2ss。dll的服务后文件就在windows目录下可以看见，删除就行了。呵呵！不知道这个帖子能不能加分，期待中。

xinxincao6666 - 2005-11-9 10:46:00

sm2ss。dll服务在哪？怎么关啊？

xinxincao6666 - 2005-11-9 10:57:00

求救啊！worm.mail.fanbot病毒和Backdoor.GPigeon太顽固了啊！

xinxincao6666 - 2005-11-9 10:59:00

没人回复啊？高手们请帮帮忙！

bobone - 2005-11-9 21:31:00

点运行 msconfig－点服务－然后查看服务项下sm2ss服务关掉就好了。

瑞星卡卡安全论坛