瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 大家来帮帮我.急啊.
摇滚 - 2006-5-1 16:16:00
不知道怎么回事一点瑞星.然后我的鼠标左右键都失灵啊.只有咚咚的声音.而且瑞星和防火墙监控也被关闭了.我试在在安全模式下杀过毒.但是没有用.我也重装过瑞星但是都无济于事.真的很郁闷啊.不知道中的是什么木马.大家帮帮我啊.


点别的程序可以.但是只要一点瑞星.左右键就不起作用了.
轩辕小聪 - 2006-5-1 16:20:00
晕倒,竟然重复发帖,版主正在线呢,不怕删帖吗?
http://forum.ikaka.com/topic.asp?board=28&artid=6979213第1楼下载HijackThis导出全部日志。
摇滚 - 2006-5-1 16:36:00
我晕.喊了半天没人.
摇滚 - 2006-5-1 16:43:00
没有用的.
摇滚 - 2006-5-1 16:43:00
我试过.
摇滚 - 2006-5-1 16:44:00
rundll32.exe这个进程总是关闭不了.
轩辕小聪 - 2006-5-1 16:48:00
只是这个进程吗?当然关得了!!!
日志发上来再说。
摇滚 - 2006-5-1 16:50:00
不是的啊.你有QQ没有啊.问题真的很严重.
摇滚 - 2006-5-1 16:51:00
我中的是木马.但是在安全模式下杀了后还是没有用.瑞星都被强制关闭了.防火墙都被恶意删掉了.
摇滚 - 2006-5-1 16:52:00
我现在左右键都不能用了.你让我怎么发日志.
轩辕小聪 - 2006-5-1 16:55:00
你不是说只要不点瑞星就正常吗?又不是让你发瑞星的历史记录。如果真的发不了日志,那连QQ不是也上不去吗??
摇滚 - 2006-5-1 17:01:00
Logfile of HijackThis v1.99.0
Scan saved at 16:40:35, on 2006-5-1
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NTdhcp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Internet Explorer\iexplore.exe
E:\ipqq2006\QQ\QQ.exe
D:\QQ2006\TIMPlatform.exe
C:\Program Files\Yayad\AdPop.Exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Documents and Settings\lei\桌面\HijackThis\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: Ad Engine - {077FD0C3-1291-4104-A356-41E36B252682} - C:\Program Files\Yayad\AdCore.dll
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O4 - HKLM\..\Run: [NTdhcp] C:\WINDOWS\system32\NTdhcp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: IE-BAR.lnk = ?
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - D:\BitSpirit\bsurl.htm
O9 - Extra button: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\浩方对战平台\GameClient.exe
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O9 - Extra 'Tools' menuitem: 彩E精灵设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O11 - Options group: [!ANetSpeeder]  NetSpeeder
O16 - DPF: {1C960AA3-FAEE-11D0-9262-00A0243D2412} (TegoSoft SmartLoader ActiveX Control) - http://web.cy07.com/ActiveX/TegoLoad.cab
O16 - DPF: {2354A44B-3CEB-4829-9940-545B03103538} (PowerPlr Control) - http://vnet.wuhan.net.cn/plugin/PowerPlr.ocx
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://shliao.com:1995/talk.cab
O16 - DPF: {87CCFDB0-C4BE-4BC2-A78C-9EAA7CF96667} (pcastup Class) - http://ps.itv.mop.com/dn/files/vodupdate_1.0.0.8_20051009.cab
O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab
O16 - DPF: {9242BB35-0DB0-43AC-8DFC-8EA07E63B92A} (LiveMediaOcx Control) - http://dl_dir.qq.com/qqtv/QQLiveOcxSetup.exe
O16 - DPF: {9383248A-2CA9-4321-BB64-F8E4E259FBDF} (M4VDecoder Control) - http://58.51.89.145/M4VDecoder.cab
O16 - DPF: {A96C48EA-AA88-4BBD-B58C-7B41146A6EAC} (PhotoUploadCtrl Control) - http://imgcache.qq.com/qzone/photo/QzoneMediaTools.cab
O16 - DPF: {C661F36D-DF85-4EF4-83C7-E107B83D04B1} (WebActivater Control) - http://dl_dir.qq.com/3dshow/3DShowVM.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) - http://ps.itv.mop.com/dn/files/pCastCtl_1.0.0.80_20060123.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{986802CC-F67A-47A5-9B32-B8D11A1FE024}: NameServer = 202.103.0.117,202.103.44.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{CD1D7937-E616-49D7-A841-6099C67E9500}: NameServer = 202.103.0.117 202.103.44.5
O18 - Filter: text/html - {65CBAF77-19CA-4B81-86D5-7835D59BEA85} - C:\WINDOWS\system32\intel.dll
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O23 - Service: NTService - mk music - C:\WINDOWS\system32\ntservice.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Rising Proxy  Service - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
摇滚 - 2006-5-1 17:02:00
你看看吧.小聪.
轩辕小聪 - 2006-5-1 17:05:00
C:\WINDOWS\system32\NTdhcp.exe
QQ大盗,就是它屏蔽了瑞星。正在编辑解决方案请稍等。
摇滚 - 2006-5-1 17:07:00
怎么搞.说具体点.小聪.
摇滚 - 2006-5-1 17:08:00
好的.
摇滚 - 2006-5-1 17:09:00
这个木马有点厉害.是QQ啊拉大盗.
菜鸟飞飞219 - 2006-5-1 17:10:00
小聪:见意你们几位大虾干脆把QQ留下,供我们24小时提问.嘿嘿嘿,自私了点.不过那们方便了我们了.
轩辕小聪 - 2006-5-1 17:18:00
结束进程C:\WINDOWS\system32\NTdhcp.exe
修复
O4 - HKLM\..\Run: [NTdhcp] C:\WINDOWS\system32\NTdhcp.exe

删除C:\WINDOWS\system32\NTdhcp.exe
然后参考http://forum.ikaka.com/topic.asp?board=28&artid=7866296恢复瑞星的运转。
以上是最大的问题,另外还有:
修复:
O2 - BHO: Ad Engine - {077FD0C3-1291-4104-A356-41E36B252682} - C:\Program Files\Yayad\AdCore.dll
O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O2 - BHO: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
O8 - Extra context menu item: >>彩信发送<< - res://C:\PROGRA~1\MMSASS~1\Mmsass~1.dll/mms.htm
O9 - Extra button: (no name) - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O9 - Extra 'Tools' menuitem: 彩E精灵设置 - {6671A433-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll
O18 - Filter: text/html - {65CBAF77-19CA-4B81-86D5-7835D59BEA85} - C:\WINDOWS\system32\intel.dll
O21 - SSODL: Vision - {6671A431-5C3D-463d-A7CF-5587F9B7E191} - C:\PROGRA~1\MMSASS~1\Mmsass~1.dll

卸载:
C:\Program Files\Yayad\
C:\PROGRA~1\MMSASS~1\

删除:
C:\Program Files\Yayad\
C:\PROGRA~1\MMSASS~1\
还有:
O2 - BHO: std software - {6A512BF7-EC78-4e8d-9841-6C02E8FA9838} - C:\WINDOWS\SYSTEM32\stdup.dll
这项的详细处理参考http://forum.ikaka.com/topic.asp?board=28&artid=7971417

O2 - BHO: wmpdrm - {0E674588-66B7-4E19-9D0E-2053B800F69F} - C:\WINDOWS\system32\wmpdrm.dll
O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\spoolsv\spoolsv.exe -printer
这两项的详细处理参考http://forum.ikaka.com/topic.asp?board=28&artid=7948848

O23 - Service: NTService - mk music - C:\WINDOWS\system32\ntservice.exe
这一项很可疑,有可能是木马程序。建议:
控制面板-性能与维护-管理工具-服务→找到NTService→双击→启动类型→禁止→停止→应用→确定。终止NTService这个服务。
然后在注册表中展开
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除NTService项目
然后在硬盘中删除C:\WINDOWS\system32\ntservice.exe
摇滚 - 2006-5-1 17:21:00
不管有没有用.先谢谢你了.解决不了再请教你噢.呵呵.
1
查看完整版本: 大家来帮帮我.急啊.
© 2000 - 2026 Rising Corp. Ltd.