wsnb8888 - 2006-2-27 15:06:00
我的电脑中了病毒,估计是木马病毒,电脑过会儿总是莫名其妙的重启,使用瑞星最新杀毒软件,在查杀内存过程中发现svchost.exe和iexplore.exe两个文件存在同样的病毒backdoor.pcclient.kc提示路径:i:\windows\system32\uyiweyfl.dll,不知这是什么病毒,瑞星杀毒也提示病毒已删除,但重启后又发现了它们,不知有无办法彻底杀掉,在安全模式下病毒又查不到了,回到正常模式又出现了,请高手指点?
HijackThis_zww汉化版扫描日志 V1.99.1
保存于 15:04:27, 日期 2006-2-27
操作系统: Windows XP SP2 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Rising\Rav\CCenter.exe
I:\WINDOWS\System32\svchost.exe
I:\Program Files\Rising\Rav\Ravmond.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\spoolsv.exe
I:\Program Files\Rising\Rav\RavStub.exe
C:\PROGRAM FILES\EASY FILE & FOLDER PROTECTOR\EFPAP.exe
I:\WINDOWS\SYSTEM32\RUNDLL32.EXE
I:\WINDOWS\system32\nvsvc32.exe
I:\WINDOWS\system32\svchost.exe
I:\Program Files\Common Files\COMM\Network.exe
I:\Program Files\Internet Explorer\IEXPLORE.EXE
I:\WINDOWS\system32\Rundll32.exe
I:\WINDOWS\SOUNDMAN.EXE
I:\PROGRA~1\SKYNET\FIREWALL\pfw.exe
I:\Program Files\Common Files\Real\Update_OB\realsched.exe
I:\WINDOWS\VM_STI.EXE
I:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
I:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
I:\Program Files\Rising\Rav\RavTask.exe
I:\Program Files\Rising\Rav\Ravmon.exe
I:\Program Files\Common Files\UPDATE\Update.exe
I:\WINDOWS\system32\ctfmon.exe
I:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
I:\Program Files\Internet Explorer\iexplore.exe
I:\WINDOWS\system32\NOTEPAD.EXE
I:\Documents and Settings\SSFN\桌面\HijackThis1991zww.exe
R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - I:\WINDOWS\system32\kakatool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "I:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] I:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] I:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [nwiz] nwiz.exe /install
O4 - 启动项HKLM\\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] I:\PROGRA~1\SKYNET\FIREWALL\pfw.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "I:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [IMSCMig] I:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - 启动项HKLM\\Run: [NeroCheck] I:\WINDOWS\system32\\NeroCheck.exe
O4 - 启动项HKLM\\Run: [BigDogPath] I:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - 启动项HKLM\\Run: [DataLayer] I:\PROGRA~1\COMMON~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - 启动项HKLM\\Run: [PCSuiteTrayApplication] I:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [RavTask] "I:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "I:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [CdnCtr] I:\Program Files\CNNIC\Cdn\cdnup.exe
O4 - 启动项HKLM\\Run: [BIE] Rundll32 I:\WINDOWS\DOWNLO~1\BDPlugin.dll,Rundll32
O4 - 启动项HKLM\\Run: [Update] I:\Program Files\Common Files\UPDATE\Update.exe
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = I:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O10 - 未知的文件在 Winsock LSP: i:\windows\system32\cdnns.dll
O11 - Options group: [CDNCLIENT] 中文上网
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F6ADDC4-CA92-4B2A-9964-6D899325B797}: NameServer = 61.153.177.196 61.153.177.198
O23 - NT 服务: Easy File & Folder Protector (ACDService) - Unknown owner - C:\PROGRAM FILES\EASY FILE & FOLDER PROTECTOR\EFPAP.exe
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - I:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - I:\Program Files\Rising\Rav\Ravmond.exe
O23 - NT 服务: Network System (Universal Disk Manager) - COMENET TECHNOLOGY - I:\Program Files\Common Files\COMM\Network.exe
O23 - NT 服务: Network Management Center Task (W32Tasks) - Unknown owner - I:\WINDOWS\system32\taskman32.exe
不言放弃 - 2006-2-27 15:10:00
结束I:\Program Files\Common Files\COMM\Network.exe进程
用HIJACKTHIS修复
R3 - 默认的URLSearchHook丢失。用HijackThis修复
O4 - 启动项HKLM\\Run: [Update] I:\Program Files\Common Files\UPDATE\Update.exe
O23 - NT 服务: Network System (Universal Disk Manager) - COMENET TECHNOLOGY - I:\Program Files\Common Files\COMM\Network.exe
O23 - NT 服务: Network Management Center Task (W32Tasks) - Unknown owner - I:\WINDOWS\system32\taskman32.exe
删除
I:\Program Files\Common Files\UPDATE文件夹
I:\Program Files\Common Files\COMM文件夹
I:\WINDOWS\system32\taskman32.exe
另外用HIJACKTHIS是不是解决插入系统的DLL木马的
需要查看这个DLL到底插入到哪些进程中
wsnb8888 - 2006-2-27 15:16:00
| 引用: |
另外用HIJACKTHIS是不是解决插入系统的DLL木马的
需要查看这个DLL到底插入到哪些进程中
........................... |
请问这句是什么意思,不好意思菜鸟一个,呵呵.
wsnb8888 - 2006-2-27 15:33:00
I:\WINDOWS\system32\taskman32.exe 这个文件找不到啊?
不言放弃 - 2006-2-27 15:35:00
| 引用: |
【wsnb8888的贴子】
请问这句是什么意思,不好意思菜鸟一个,呵呵.
........................... |
i:\windows\system32\uyiweyfl.dll已经插入了系统进程
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载System Repair Engineer 2.0.12.350
查看一下该DLL已经插入了哪些进程中
另外
用ICESWORD这个工具也可以查看
不言放弃 - 2006-2-27 15:36:00
| 引用: |
【wsnb8888的贴子】I:\WINDOWS\system32\taskman32.exe 这个文件找不到啊?
........................... |
附件:
3640522006227153622.JPG
wsnb8888 - 2006-2-27 16:10:00
| 引用: |
【不言放弃的贴子】
i:\windows\system32\uyiweyfl.dll已经插入了系统进程
http://forum.ikaka.com/topic.asp?board=28&artid=6979213
下载System Repair Engineer 2.0.12.350
查看一下该DLL已经插入了哪些进程中
另外
用ICESWORD这个工具也可以查看
........................... |
下载了System Repair Engineer,看了半天也看不出什么东西来,请问有软件的说明吗,具体怎么运用?
不言放弃 - 2006-2-27 16:12:00
【回复“wsnb8888”的帖子】
楼主可以用这个工具导出日志
自己查看一下这个DLL到底插入到哪个进程中
wsnb8888 - 2006-2-27 16:31:00
呵呵,我找到这个dll了,接下来该怎么办呢?
不言放弃 - 2006-2-27 17:34:00
| 引用: |
【wsnb8888的贴子】呵呵,我找到这个dll了,接下来该怎么办呢?
........................... |
插入到了哪些进程啊?
把进程列出来啊
wsnb8888 - 2006-2-27 17:52:00
呵呵,我刚才自己搞定了,谢谢高手的指点!!非常感谢!!
凌晨25点的爱 - 2006-2-27 18:03:00
鸽子的变种
1,进入安全模式
2,打开我的电脑--工具--文件夹选项--查看,取消 隐藏受保护的操作系统文件 并且 显示所有文件和文件夹
3,在windows文件夹下查找bnfofyrb.dll文件(这是这个变种的特点,好像一般的灰鸽子都是一个*hook.dll的文件)
4,打开注册表(运行regedit.exe),打开KEY_LOCAL_MACHINE\SYSTEM\CURRENTCONTROLSET\SERVICES
找到bnfofyrb组,把这个组全部删除
5,回到windows\system32下,把所有文件名为bnfofyrb的文件全部删除,一般有三个,一个是dll文件,一个txt(记录了自感染木马起的所有键盘操作),另外一个,俺忘了,汗—__—~~~~
此刻,杀毒成功!别忘了把文件夹选项恢复。
© 2000 - 2026 Rising Corp. Ltd.