中毒了呀 - 2006-4-7 15:45:00
Logfile of HijackThis v1.99.1
Scan saved at 22:13:37, on 2006-4-6
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\smss.exe
C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\LSASS.exe
C:\WINDOWS\WINLOGON.EXE
C:\Program Files\sfx software\svchost.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\TTPlayer\TTPlayer.exe
E:\QQ\qq\QQ.exe
E:\QQ\qq\TIMPlatform.exe
D:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\0032\LOCALS~1\Temp\Rar$EX00.484\HijackThis.exe
F2 - REG:system.ini: Shell=explorer.exe 1
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\NEWTRO\IEXPLORE.COM
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: NewWeb Controller - {9ACEEE30-143F-471A-AA45-72B061FE7D60} - C:\WINDOWS\system32\AdvSC64.dll
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - D:\PROGRA~1\KuGoo3\KUGOO3~1.OCX
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [shoket] C:\WINDOWS\system32\SHELLEXT\svchs0t.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\smss.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - D:\Program Files\新建文件夹\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Program Files\新建文件夹\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\QQ\qq\AddToNetDisk.htm
O8 - Extra context menu item: 使用KuGoo3下载(&K) - D:\Program Files\KuGoo3\KuGoo3DownX.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\QQ\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\QQ\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\QQ\qq\SendMMS.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1E93C94D-BE3F-4E71-901E-25828E6C9FCD}: NameServer = 202.96.128.86 202.96.128.166
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DB58BF4-8D41-4BD4-8FE5-B61848A82001}: NameServer = 192.168.64.32,192.168.14.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{1E93C94D-BE3F-4E71-901E-25828E6C9FCD}: NameServer = 202.96.128.86 202.96.128.166
O20 - AppInit_DLLs: KB9193311.LOG
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
QQ无缘无故上线呀...
不言放弃 - 2006-4-7 15:48:00
【回复“中毒了呀”的帖子】
应该是龙字传奇木马
搜索了下baohe的贴子
中毒了呀 - 2006-4-7 15:50:00
我昨晚已经打包给版主了.....现在还没有回应.....惨呀!!!!!!!!!!!!
轩辕小聪 - 2006-4-7 15:58:00
版主还没有回应的话,先参考
http://forum.ikaka.com/topic.asp?board=28&artid=7495863
还有
http://forum.ikaka.com/topic.asp?board=28&artid=7678628
试着解决。让你打包给版主是希望能得到比较有针对性的解决措施。
zq77 - 2006-4-7 16:01:00
O4 - HKLM\..\Run: [shoket] C:\WINDOWS\system32\SHELLEXT\svchs0t.exe
结束svchs0t.exe进程
删除C:\WINDOWS\system32\SHELLEXT\svchs0t.exe
删除注册表项
[HKEY_USERS\S-1-5-21-1220945662-1935655697-725345543-1000\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\system32\\SHELLEXT\\svchs0t.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\\WINNT\\system32\\SHELLEXT\\svchs0t.exe"
中毒了呀 - 2006-4-7 16:11:00
请问重装系统木马还在的吗?我看过好多相关的贴子...好像很麻烦呀
轩辕小聪 - 2006-4-7 16:13:00
格式化系统盘再装的话,应该没问题。的确很麻烦,所以之前跟你说过要有心理准备。
轩辕小聪 - 2006-4-7 16:17:00
【回复“zq77”的帖子】
C:\WINDOWS\smss.exe
C:\WINDOWS\LSASS.exe
C:\WINDOWS\WINLOGON.EXE
用你的方法,也能一起解决这些的问题吗?
中毒了呀 - 2006-4-7 16:21:00
我的系统是上个星期才重装的.....唉...一时未装杀毒软件,,就搞成这样....唉
zq77 - 2006-4-7 16:23:00
【回复“轩辕小聪”的帖子】
可以 它们都会跑到注册表里 其中C:\WINDOWS\LSASS.exe会生成lsass.exe和exert.exe两个病毒文件 还会在D盘根目录下产生command.com和autorun.inf两个文件
轩辕小聪 - 2006-4-7 16:26:00
既然如此,楼主可以先用这个方法试试。
ps:如果要重装的话,建议用系统安装盘装,不要用在市场上买的别人制作的Ghost盘,因为你根本不清楚它里面有没有问题,搞不好会带来意想不到的麻烦。最好安装完后自己做一下Ghost备份,把备份刻盘,以后要重装的时候就可以用这个备份,这样比用市场上买的盘安全。
中毒了呀 - 2006-4-7 16:43:00
会不会是我的安装盘里自带的呀...我重装后不到三天就发现了
© 2000 - 2026 Rising Corp. Ltd.