大家帮忙看下`` bbs.ikaka.com

vikicool - 2008-7-27 9:12:00

帮忙看下日志看看有什么问题不? 还有那个搜狐彩电网页版删不掉啊怎么彻底删除??? 谢谢``

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59 from: http://bsalsa.com/ ; .NET CLR 2.0.50727; .NET CLR 1.1.4322)

附件: rizhi.log

aaccbbdd - 2008-7-27 9:22:00

流氓软件嘛
完美卸载-专业卸载工具
干掉它

删除服务
[hpdj / hpdj][Stopped/Auto Start]
<><(File is missing)>

删除浏览器加载项
[]
{7E853D72-626A-48EC-A868-BA8D5E23E045} <, >
[]
{02BCC737-B171-4746-94C9-0D8A0B2C0089} <, >
[]
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} <, >
[]
{09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <, >
[]
{0A155D3C-68E2-4215-A47A-E800A446447A} <, >
[]
{166B1BCA-3F9C-11CF-8075-444553540000} <, >
[]
{348AA067-D6BC-4385-A833-08E308D35782} <, >
[]
{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} <, >
[]
{6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <, >
[]
{7E853D72-626A-48EC-A868-BA8D5E23E045} <, >
[]
{C661F36D-DF85-4EF4-83C7-E107B83D04B1} <, >
[]
{D18A0B52-D63C-4ED0-AFC6-C1E3DC1AF43A} <, >

可疑文件
C:\WINDOWS\System32\bubbles.scr
C:\WINDOWS\system32\XDva115.sys
C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\wdcertm_ccb.exe
自己测下http://www.virscan.org/
http://www.virustotal.com/zh-cn/

A小可 - 2008-7-27 9:31:00

小狮子好勤奋～

秦人J - 2008-7-27 9:36:00

主要是浏览器挟持，主要有 {7E853D72-626A-48EC-A868-BA8D5E23E045} <, >
[]
{02BCC737-B171-4746-94C9-0D8A0B2C0089} <, >
[]
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} <, >
[]
{09BA8F6D-CB54-424B-839C-C2A6C8E6B436} <, >
[]
{0A155D3C-68E2-4215-A47A-E800A446447A} <, >
[]
{166B1BCA-3F9C-11CF-8075-444553540000} <, >
[]
{348AA067-D6BC-4385-A833-08E308D35782} <, >
[]
{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} <, >
[]
{6096E38F-5AC1-4391-8EC4-75DFA92FB32F} <, >
[]
{7E853D72-626A-48EC-A868-BA8D5E23E045} <, >
[]
{C661F36D-DF85-4EF4-83C7-E107B83D04B1} <, >
[]
{D18A0B52-D63C-4ED0-AFC6-C1E3DC1AF43A}
建议你用window清理大师，还用sreng修复api

天仁 - 2008-7-27 9:45:00

C:\WINDOWS\System32\bubbles.scr
应该是仿vista的泡泡屏保
C:\WINDOWS\system32\XDva115.sys
内核(Kernel)驱动程序，有相关木马查杀程序认为是可疑项目
C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\wdcertm_ccb.exe
wdcertm_ccb
进程名称: wdcertm_ccb.exe
英文描述: N/A
进程分析: 建设银行提供的UsbKey的后台管理程序
进程位置: X:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2
程序用途: 检测你的电脑是否安全，是否可以进行网上交易
作者: Beijing WatchData System Co., Ltd.
属于: [Beijing WatchData System Co., Ltd.]

vikicool - 2008-7-27 10:24:00

谢谢各位

aaccbbdd - 2008-7-27 10:27:00

引用:

原帖由 秦人J 于 2008-7-27 9:36:00 发表
主要是浏览器挟持，主要有 {7E853D72-626A-48EC-A868-BA8D5E23E045} <, >
[]
{02BCC737-B171-4746-94C9-0D8A0B2C0089} <, >
[]
{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} <, >
[]
{09B......

API是瑞星搞的
不要管

瑞星卡卡安全论坛