救命啊！高手快来帮忙看下日志！ bbs.ikaka.com

雨枫宁静 - 2006-2-25 12:28:00

当前运行的进程：
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\windows\System32\svchost.exe
C:\windows\system32\rundll32.exe
C:\windows\system32\spoolsv.exe
C:\windows\Explorer.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\windows\QmlsbGdhdGVz\command.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\windows\System32\mssvcc.exe
C:\windows\System32\lup.exe
C:\windows\System32\winsystems.exe
C:\windows\winsysban11.exe
C:\windows\System32\winusers.exe
C:\backup.exe
E:\Program Files\security suite\ewidoctrl.exe
C:\Program Files\Network Monitor\netmon.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\windows\System32\svchost.exe
C:\windows\krnl386.exe
C:\Program Files\racer-henan-cnc\racer.exe
C:\Program Files\racer-henan-cnc\RacerKp.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\Tencent\TT\TTraveler.exe
C:\windows\system32\cmd.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe
C:\Program Files\Microsoft AntiSpyware\GIANTAntiSpywareMain.exe
C:\Documents and Settings\cc\桌面\HijackThis1991zww.exe

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - 启动项HKLM\\Run: [Microsoft Update Loaders 2005] winusers.exe
O4 - 启动项HKLM\\RunServices: [Microsoft Update Loaders 2005] winusers.exe
O8 - IE右键菜单中的新增项目: 雅虎搜索 - res://C:\PROGRA~1\Yahoo!\Assistant\Assist\yasbar.dll/246
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
O20 - Winlogon Notify: SharedDLLs - C:\WINDOWS\system32\n4r20e9oeh.dll
O23 - NT 服务: Command Service (cmdService) - Unknown owner - C:\windows\QmlsbGdhdGVz\command.exe
O23 - NT 服务: ewido security suite control - ewido networks - E:\Program Files\security suite\ewidoctrl.exe
O23 - NT 服务: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - NT 服务: nvidGUIv (nvidGUIv2) - Unknown owner - C:\windows\nvidGUIv.exe (file missing)
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: SndDRV (MS Sound Driver) (SndDRV) - Unknown owner - C:\windows\system32\snddrv.exe (file missing)
O23 - NT 服务: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe
O23 - NT 服务: windows kernel 386 (windows kernel) - Unknown owner - C:\windows\krnl386.exe

雨枫宁静 - 2006-2-25 12:44:00

高手快来帮帮忙啊！小弟万分感激！

影子110 - 2006-2-25 12:46:00

打开我的电脑》工具》文件夹选项》查看》显示所有文件，不隐藏受保护的操作系统文件》确定

C:\windows\QmlsbGdhdGVz\command.exe
C:\windows\System32\mssvcc.exe
C:\windows\System32\lup.exe
C:\windows\System32\winsystems.exe
C:\windows\winsysban11.exe
C:\windows\System32\winusers.exe
C:\windows\krnl386.exe
结束上面进程的运行~~
修复下面的项~~
O4 - 启动项HKLM\\Run: [Microsoft Update Loaders 2005] winusers.exe
O4 - 启动项HKLM\\RunServices: [Microsoft Update Loaders 2005] winusers.exe

O23 - NT 服务: Command Service (cmdService) - Unknown owner - C:\windows\QmlsbGdhdGVz\command.exe
O23 - NT 服务: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - NT 服务: nvidGUIv (nvidGUIv2) - Unknown owner - C:\windows\nvidGUIv.exe (file missing)

O23 - NT 服务: SndDRV (MS Sound Driver) (SndDRV) - Unknown owner - C:\windows\system32\snddrv.exe (file missing

O23 - NT 服务: windows kernel 386 (windows kernel) - Unknown owner - C:\windows\krnl386.exe

查找并删除下面的文件
C:\Program Files\Network Monitor\netmon.exe

C:\windows\QmlsbGdhdGVz\command.exe
C:\windows\System32\mssvcc.exe
C:\windows\System32\lup.exe
C:\windows\System32\winsystems.exe
C:\windows\winsysban11.exe
C:\windows\System32\winusers.exe
C:\windows\krnl386.exe
C:\windows\QmlsbGdhdGVz
删除文件的小工具（如下~）
KillBox 的下载地址：http://forum.ikaka.com/topic.asp?board=67&artid=5188931

影子110 - 2006-2-25 12:47:00

另，你怎么招上那么多病毒的？？？
安全意识也太差了吧~~

不言放弃 - 2006-2-25 12:48:00

晕死
这是什么机器啊
简直是木马窝
但是楼主安装的安全软件倒是不少啊
专业杀软
专业反木马
专业反间谍
样样全啊
苦笑中

操作参考:
结束如下进程：
C:\windows\QmlsbGdhdGVz\command.exe
C:\windows\System32\mssvcc.exe
C:\windows\System32\lup.exe
C:\windows\System32\winsystems.exe
C:\windows\winsysban11.exe
C:\windows\System32\winusers.exe
C:\backup.exe
C:\windows\krnl386.exe

用HIJACKTHIS修复
O4 - 启动项HKLM\\Run: [Microsoft Update Loaders 2005] winusers.exe
O4 - 启动项HKLM\\RunServices: [Microsoft Update Loaders 2005] winusers.exe
O20 - Winlogon Notify: SharedDLLs - C:\WINDOWS\system32\n4r20e9oeh.dll
O23 - NT 服务: Command Service (cmdService) - Unknown owner - C:\windows\QmlsbGdhdGVz\command.exe
O23 - NT 服务: windows kernel 386 (windows kernel) - Unknown owner - C:\windows\krnl386.exe

开始－－控制面板－－管理工具－－服务
禁用如下两个服务：
nvidGUIv (nvidGUIv2)
SndDRV (MS Sound Driver) (SndDRV)
(其它的023项也不能使用HIJACKTHIS修复的话，也可以采用这个方法来操作)

进入注册表
依次搜索nvidGUIv.exe和snddrv.exe
找到后全部删除

删除
C:\windows\QmlsbGdhdGVz\command.exe
C:\windows\System32\mssvcc.exe
C:\windows\System32\lup.exe
C:\windows\System32\winsystems.exe
C:\windows\winsysban11.exe
C:\windows\System32\winusers.exe
C:\backup.exe
C:\windows\krnl386.exe
C:\WINDOWS\system32\n4r20e9oeh.dll
C:\windows\QmlsbGdhdGVz文件夹

文件无法删除或找不到文件请参考
http://www.xfilt.com/tech/trojan-horse.htm

或参考图片设置

附件: 3640522006225124815.JPG

雨枫宁静 - 2006-2-25 16:44:00

当前运行的进程：
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\rundll32.exe
C:\windows\Explorer.EXE
C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
C:\windows\System32\conime.exe
E:\Program Files\security suite\ewidoctrl.exe
C:\windows\System32\svchost.exe
C:\Program Files\racer-henan-cnc\racer.exe
C:\Program Files\racer-henan-cnc\RacerKp.exe
C:\Program Files\BitComet\BitComet.exe
C:\Program Files\Internet Explorer\iexplore.exe
D:\Program Files\RealPlay.exe
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\Documents and Settings\cc\桌面\HijackThis1991zww.exe

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\assist\yasbar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O8 - IE右键菜单中的新增项目: 雅虎搜索 - res://C:\PROGRA~1\Yahoo!\Assistant\Assist\yasbar.dll/246
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/ravkill/rsonline.cab
O20 - Winlogon Notify: StillImage - C:\WINDOWS\system32\azaulg1916.dll
O23 - NT 服务: ewido security suite control - ewido networks - E:\Program Files\security suite\ewidoctrl.exe
O23 - NT 服务: nvidGUIv (nvidGUIv2) - Unknown owner - C:\windows\nvidGUIv.exe (file missing)
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: SndDRV (MS Sound Driver) (SndDRV) - Unknown owner - C:\windows\system32\snddrv.exe (file missing)
O23 - NT 服务: windows kernel 386 (windows kernel) - Unknown owner - C:\windows\krnl386.exe (file missing)

这是现在的日志，那位再帮我看看，好象还弹网页，有什么问题没？

瑞星卡卡安全论坛