瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 请帮忙看看,这是什么病毒?
长今 - 2006-2-13 21:53:00
我开机一段时间后会自动启动WINDOWS帮助文件,不断重复这个动作一直消耗到系统无法动弹,瑞星也查不出来


以下就是我用Autoruns扫的日志信息

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ DAEMON Tools-1033Virtual DAEMON ManagerDAEMON'S HOMEd:\program files\d-tools\daemon.exe

+ RavTaskRavTimerBeijing Rising Technology Co., Ltd.d:\program files\rising\rav\ravtask.exe

+ WinampAgentFile not found: D:\Program Files\Winamp3\winampa.exe

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

+ Windows 安装 - 链接栏c:\windows\command\sulfnbk.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

+ Rising Execute File Exts hookRising Shell Ext ModuleBeijing Rising Technology Co., Ltd.c:\windows\system\ravext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Nero Shell Extension Property SheetNero MultiMounterahead software gmbh

im stoeckmaedle 6

76307 karlsbad, germany

Fax: ++49-7248-911-888

e-mail: info@ahead.ded:\program files\ahead\nero\neroshx.dll

+ RISINGRising Shell Ext ModuleBeijing Rising Technology Co., Ltd.c:\windows\system\ravext.dll

+ Web 文件夹c:\program files\common files\microsoft shared\web 文件夹\msonsext.dll

+ WinRAR shell extensiond:\program files\winrar\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ IeCatch2 Classjccatch ModuleAmaze Softd:\program files\flashget\jccatch.dll

HKLM\Software\Microsoft\Internet Explorer\Toolbar

+ FlashGet BarFlashGet IE BarAmaze Softd:\program files\flashget\fgiebar.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions

+ &FlashGetFlashGetAmaze Softd:\program files\flashget\flashget.exe

+ @shdoclc.dll,-864c:\windows\web\related.htm
阿拉伯伯 - 2006-2-13 21:56:00
扫个日志上来看看吧!
长今 - 2006-2-13 21:59:00
论坛上有没提供HijackThis的下载?
长今 - 2006-2-13 22:25:00
扫完,帮忙看看
阿拉伯伯 - 2006-2-13 22:29:00
不是吧,下面的呢?还有很多,你没贴上来!
长今 - 2006-2-13 22:33:00
下面已经没有,这就是日志的全部
阿拉伯伯 - 2006-2-13 22:36:00
你连017都没有?
长今 - 2006-2-13 22:49:00
没有017
长今 - 2006-2-14 10:23:00
昨晚突然又闹得很凶,每次开机不到1分钟就发作,重启后机子不正常得发出咯咯咯咯的响声,一直到进入系统后响声才停止。今早开机才稍微平静,不知道什么时候又发作,瑞星的监控一点都反应都没有
BlackStone - 2006-2-14 10:26:00
Autoruns保存一个日志发上来
日志保存方法:选择File->Save菜单项保存日志时注意选择Options->Hide Microsoft Entries菜单项(设置了这项后点工具栏的刷新按钮)

工具的下载、使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7318038
长今 - 2006-2-14 11:12:00
以下就是我用Autoruns扫的日志信息

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

+ DAEMON Tools-1033Virtual DAEMON ManagerDAEMON'S HOMEd:\program files\d-tools\daemon.exe

+ RavTaskRavTimerBeijing Rising Technology Co., Ltd.d:\program files\rising\rav\ravtask.exe

+ WinampAgentFile not found: D:\Program Files\Winamp3\winampa.exe

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

+ Windows 安装 - 链接栏c:\windows\command\sulfnbk.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

+ Rising Execute File Exts hookRising Shell Ext ModuleBeijing Rising Technology Co., Ltd.c:\windows\system\ravext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved

+ Nero Shell Extension Property SheetNero MultiMounterahead software gmbh

im stoeckmaedle 6

76307 karlsbad, germany

Fax: ++49-7248-911-888

e-mail: info@ahead.ded:\program files\ahead\nero\neroshx.dll

+ RISINGRising Shell Ext ModuleBeijing Rising Technology Co., Ltd.c:\windows\system\ravext.dll

+ Web 文件夹c:\program files\common files\microsoft shared\web 文件夹\msonsext.dll

+ WinRAR shell extensiond:\program files\winrar\rarext.dll

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

+ IeCatch2 Classjccatch ModuleAmaze Softd:\program files\flashget\jccatch.dll

HKLM\Software\Microsoft\Internet Explorer\Toolbar

+ FlashGet BarFlashGet IE BarAmaze Softd:\program files\flashget\fgiebar.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions

+ &FlashGetFlashGetAmaze Softd:\program files\flashget\flashget.exe

+ @shdoclc.dll,-864c:\windows\web\related.htm

BlackStone - 2006-2-14 12:27:00
OS是98?
长今 - 2006-2-14 12:38:00
是98SE
BlackStone - 2006-2-14 12:41:00
日志里看不出来

你用procexp看看是那个进程启动的WINDOWS帮助文件

工具的下载、使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7318038
长今 - 2006-2-14 13:15:00
我用procexp扫了一下,但并未发现可疑的进程启动WINDOWS帮助文件,也许还未发作。对了,它发作的时候还有个特征,如果我正打开IE,它就不断启动IE的帮助文件,如果我在调试音量,它就不断启动音量控制的帮助文件,如果我什么都不干,它就不断启动WINDOWS帮助文件。下面是我用procexp扫的日志,麻烦看一看


PID    CPU    Description    Company Name
0x0    29.52    System Idle Process   
0xFFFEBB77        CCenter    Beijing Rising Technology Co., Ltd.
0xFFFE8ED7    0.69    RavMon    Beijing Rising Technology Co., Ltd.
0xFFFEB677    7.31    RavMond    Beijing Rising Technology Co., Ltd.
0xFFFB5D23        RavTimer    Beijing Rising Technology Co., Ltd.
0xFFFB6ED7        Virtual DAEMON Manager    DAEMON'S HOME
0xFFEFB633        Microsoft DirectX Helper    Microsoft Corporation
0xFFFD0507    0.30    Windows Explorer    Microsoft Corporation
0xFFFD254B        HID Audio Service    Microsoft Corporation
0xFFF90C1F    51.43    Internet Explorer    Microsoft Corporation
0xFFFB1AA7    0.10    Internat    Microsoft Corporation
0xFFEFBBE3    0.20    Win32 Kernel core component    Microsoft Corporation
0xFFFEC803        Multimedia background task support module    Microsoft Corporation
0xFFFFEBF7        WIN32 Network Interface Service Process    Microsoft Corporation
0xFFFFFA23        Windows 32-bit VxD Message Server    Microsoft Corporation
0xFFFE4F67        Task Scheduler Engine    Microsoft Corporation
0xFFFDD2B7        Distributed COM Services    Microsoft Corporation
0xFFFB25CF        System Tray Applet    Microsoft Corporation
0xFFFB2D23        Task Monitor    Microsoft Corporation
0xFFFA2903        WMI service exe housing    Microsoft Corporation
0xFFFA607F    0.69       
0xFFF83D77    9.77    Sysinternals Process Explorer    Sysinternals
BlackStone - 2006-2-14 13:35:00
日志里怎么没有进程名啊
长今 - 2006-2-14 14:32:00
截个图更直观一下吧,
进程中的UltraSnapPRO是个截图软件

附件: 5912962006214143231.jpg
BlackStone - 2006-2-14 14:43:00
没啥可疑的程序
长今 - 2006-2-14 14:57:00
糟糕,等它发作后可能来不及扫描系统就已经崩溃
BlackStone - 2006-2-14 14:59:00
你一直开着procexp
1
查看完整版本: 请帮忙看看,这是什么病毒?
© 2000 - 2026 Rising Corp. Ltd.