瑞星卡卡安全论坛

应该是病毒，帮我看看吧，谢谢了！

日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 2:00:54,2008-12-6
操作系统: Windows XP SP3 (WinNT 5.01.2600)
IE版本: Internet Explorer v7.00 (7.00.6000.16735)
启动模式: 正常

正在运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\Program Files\CMBCHINA\WebProtect\WPService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRAM FILES\RISING\RAV\RavMon.exe
C:\Program Files\Rising\Rav\RavTask.exe
E:\360safe\safemon\360tray.exe
E:\360safe\antiarp\antiarp.exe
C:\WINDOWS\system32\ctfmon.exe
E:\AliWangWang\aliim.exe
E:\PPStream.AD\ppsap.exe
E:\QQ\QQ.exe
E:\QQ\TXPlatform.exe
E:\AliWangWang\AliUpdate.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rising\AntiSpyware\rstray.exe
C:\WINDOWS\system32\conime.exe
E:\AliWangWang\plugins\11460\wwMail.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\notepad.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\user\桌面\HijackThis 汉化版\HijackThis.exe

O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - E:\迅雷5\ComDlls\TDAtOnce_Now.dll
O2 - BHO: njna.cpuieg - {1AA41CA6-0876-4438-BB40-083B2FCF93A9} - C:\WINDOWS\system32\pqidsag.dll
O2 - BHO: WebProtect.IEHlpObj - {53763D1D-9CA8-4C7C-9756-A8E6B8FC063B} - C:\Program Files\CMBCHINA\WebProtect\WebProtect.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - E:\迅雷5\ComDlls\xunleiBHO_Now.dll
O2 - BHO: SafeMon Class - {B69F34DD-F0F9-42DC-9EDD-957187DA688D} - E:\360safe\safemon\safemon.dll
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [NvCplDaemon] ; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] ; nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] ; RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [360Safetray] E:\360safe\safemon\360tray.exe /start
O4 - HKLM\..\Run: [360Antiarp] E:\360safe\antiarp\antiarp.exe /start
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [runeip] "C:\Program Files\Rising\AntiSpyware\rstray.exe" /startup
O4 - HKLM\..\RunOnce: [KKDelay] C:\Program Files\Rising\AntiSpyware\RunOnce.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [aliim] E:\AliWangWang\aliim.exe
O4 - HKCU\..\Run: [PPS Accelerator] E:\PPStream.AD\ppsap.exe
O4 - HKCU\..\Run: [Live800.exe] E:\易趣通\易趣通.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: 百度Hi.lnk = E:\Baidu Hi\BaiduHi.exe
O8 - 扩展右键菜单项: 使用迅雷下载 - E:\迅雷5\Program\geturl.htm
O8 - 扩展右键菜单项: 使用迅雷下载全部链接 - E:\迅雷5\Program\getallurl.htm
O8 - 扩展右键菜单项: 添加到天极收藏夹 - C:\WINDOWS\system32\YeskyComponents\AddFavorite.htm
O9 - 额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 额外的“工具”菜单项目: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://site.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {1E0DFFCF-27FF-4574-849B-55007349FEDA} (iTrusPTA Class) -
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{E591F982-51BA-4DD6-A3BB-481A4FB433CB}: NameServer = 202.99.96.68
O20 - AppInit_DLLs: kmon.dll
O23 - NT 服务:  Cmb WebProtect Support (CMBWPS) - China Merchants Bank - C:\Program Files\CMBCHINA\WebProtect\WPService.exe
O23 - NT 服务:  Network IPSEC Connections (DATEING) - Unknown owner - C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE(文件不存在)
O23 - NT 服务:  EQService - EQSecure - E:\MagicSet\EQService.exe
O23 - NT 服务:  Error Reporting Service (ERSvc) - Unknown owner - C:\WINDOWS\system32\foungnu.exe
O23 - NT 服务:  Net Logon (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe(文件不存在)
O23 - NT 服务:  NT LM Security Support Provider (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe(文件不存在)
O23 - NT 服务:  NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务:  IPSEC Services (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe(文件不存在)
O23 - NT 服务:  Protected Storage (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe(文件不存在)
O23 - NT 服务:  Ql1sssrnch - Parallel Technologies, Inc. - (没有文件)
O23 - NT 服务:  Rising Proxy  Service (RfwProxySrv) - Beijing Rising Information Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - NT 服务:  Rising Personal Firewall Service (RfwService) - Beijing Rising Information Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务:  Rising Process Communication Center (RsCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务:  Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - NT 服务:  Security Accounts Manager (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe(文件不存在)

--
文件结束 - 5765 字节         

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59  from: http://bsalsa.com/ )

BHO: njna.cpuieg - {1AA41CA6-0876-4438-BB40-083B2FCF93A9} - C:\WINDOWS\system32\pqidsag.dll
建议处理

HJ日志不全
请上传SRENG的

请严格按照以下步骤操作

1.扫日志前建议清理助手清理系统
清理助手下载
升级清理助手，全盘扫描，只清理报为病毒的高危险项目,其他项目请自己判断
同时观察清理助手是否报告系统文件被替换。(注：如发现系统文件被替换，请将情况报上来，勿自己随意操作。如自己私自替换的，导致不能进系统，责任自负)
如清理无效

2.扫日志前关闭无用进程，如QQ，迅雷及播放器程序
3.Sreng官方下载
SREng/智能扫描(记得勾选“检查进程的数字签名)
等扫描完成,保存日志(LOG格式)
PS：如主程序SREng**.exe无法运行,导致无法扫描日志
将主程序改名为小狮子.bat
或小狮子.scr
4.金山清理专家官方下载  | 免安装版直接运行版金山清理专家下载
金山清理专家-在线系统诊断（隐藏安全项）-导出诊断报告-（全选）-导出报告
5.2份日志/报告以附件上传（点击我回的贴的右下角的“引用”，然后就应该知道怎么以附件发了），贴到反病毒/反流氓软件论坛.如已发帖的请跟贴，勿另开新帖。

建议2份日志同时上传，起到互补的作用（原因：金山和SRENG都能扫出另一个不能扫出的内容）！！

可疑服务文件 Unknown owner - C:\WINDOWS\system32\lsass.exe(文件不存在)
可疑BHO  O2 - BHO: njna.cpuieg - {1AA41CA6-0876-4438-BB40-083B2FCF93A9} - C:\WINDOWS\system32\pqidsag.dll

请先使用WINDOWS清理助手清理一下系统
  (点击下载)
再上传SRENG扫描的报告

我一直想

C:\WINDOWS\system32\lsass.exe(文件不存在)
咋就文件不存在了？:default3:

:default6: C:\WINDOWS\system32\lsass.exe已经光荣牺牲了，呵呵。

我在论坛上发现一个帖子，说的病毒和我一样，他的 HijackThis扫描报告中有C:\WINDOWS\system32\bak\lsass.exe (大概)这个文件，删掉对方就没事了，我没找到那个文件夹，但找到这个C:\WINDOWS\system32\lsass.exe文件了，所以自作聪明给删了。:default3:


感谢各位的热心帮助，我正在按照要求去做哦，谢谢大家了！

C:\WINDOWS\system32\lsass.exe
是系统关键程序:default3:

:default2: 刚才重启了一下，结果进不来系统了，55555，结果把硬盘接到另一个机器上复制了这个文件，OK了，哈哈。

用清理助手发现一个高危的木马，可能就是这个“程序1”，下面是清理助手的报告：

[2.8.2.8.1115 - 2.8.38.8.1204]
2008-12-06 20:21
[Trojan]
E:\SYSTEM VOLUME INFORMATION\_RESTORE{85B90686-9891-449F-B9B2-18BB828F9352}\RP198\A0045692.EXE

[2.8.2.8.1115 - 2.8.38.8.1204]
2008-12-06 20:21
[uusee]
C:\WINDOWS\SYSTEM32\GTAPI.DLL
HKEY_CLASSES_ROOT\CLSID\{70A2E5FE-981E-4518-83C7-9324DC957DA4}
HKEY_CLASSES_ROOT\CLSID\{8BBB5505-250D-486D-BB49-F74141880490}
HKEY_CLASSES_ROOT\CLSID\{BB22E7B6-54E1-4C4D-ABF7-99193550A3F4}
HKEY_CLASSES_ROOT\CLSID\{C384681A-6F8B-4A20-B0FC-BDB080F51603}
HKEY_CLASSES_ROOT\CLSID\{CE8ED243-0078-41A2-B56C-EC9CF0E887C2}
HKEY_CLASSES_ROOT\CLSID\{F0E7BAF1-655E-4899-ACD4-10D055414CFB}
HKEY_CLASSES_ROOT\INTERFACE\{03536919-5F7D-4506-80DF-144C74CB5B45}
HKEY_CLASSES_ROOT\INTERFACE\{F39804DC-F2B5-4E8B-92F1-45F7B5349C4C}
HKEY_CLASSES_ROOT\TYPELIB\{BC85539C-48EA-4222-B6EE-8DA6897175DA}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{70A2E5FE-981E-4518-83C7-9324DC957DA4}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{8BBB5505-250D-486D-BB49-F74141880490}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{BB22E7B6-54E1-4C4D-ABF7-99193550A3F4}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{C384681A-6F8B-4A20-B0FC-BDB080F51603}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{CE8ED243-0078-41A2-B56C-EC9CF0E887C2}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\CLSID\{F0E7BAF1-655E-4899-ACD4-10D055414CFB}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE\{03536919-5F7D-4506-80DF-144C74CB5B45}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\INTERFACE\{F39804DC-F2B5-4E8B-92F1-45F7B5349C4C}
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\TYPELIB\{BC85539C-48EA-4222-B6EE-8DA6897175DA}

[Trojan]
E:\SYSTEM VOLUME INFORMATION\_RESTORE{85B90686-9891-449F-B9B2-18BB828F9352}\RP198\A0045692.EXE
不是系统还原目录么

日志呢

启动10分钟了，那个“程序1”还没有出来，不知道还有没有问题，
但是BHO  O2 - BHO: njna.cpuieg - {1AA41CA6-0876-4438-BB40-083B2FCF93A9} - C:\WINDOWS\system32\pqidsag.dll还在，不知道怎么办。

这个木马导致系统很慢，总是假死，对网速影响最大，经常打不开网页，还影响到局域网其它机器的网速，谁知道这个木马是起什么破坏作用的？

用清理助手清理完毕后，所有要求的扫描日志我都已经上传，请各位再帮我看看，非常感谢大家的帮助，谢谢了！

附件: SREngLOG.log

附件: 清理专家诊断报告.txt

附件: hijackthis.log

金山清理专家-安在线系统诊断
隐藏安全项后
清除该项：   
    [njna.cpuieg]
        {1AA41CA6-0876-4438-BB40-083B2FCF93A9}  <C:\WINDOWS\system32\pqidsag.dll>
      [lim.mqakk]
        <{298E8B5E-2B2E-4AED-93C8-F9F7812F247D}>        <C:\WINDOWS\system32\ynl.dll>
        文件路径: C:\WINDOWS\system32\ynl.dll [未知]

金山清理专家-安全百宝箱-文件粉碎器
粉碎文件：
C:\WINDOWS\system32\pqidsag.dll
C:\WINDOWS\system32\ynl.dll

好了，我按照要求做了，C:\WINDOWS\system32\pqidsag.dll这个文件搜索不到了，C:\WINDOWS\system32\ynl.dll 已经粉碎了，谢谢aaccbbdd 帮助，:default6:

网速是否正常了？

网速已经基本正常了，那个木马把我的局域网共享搞没了，现在看不到另一台机器了，要命呀。

命令提示符里运行
sfc /scannow
试试

要求windouws安装盘，我手底下没有，我刚才仔细看了看，工作组里边可以看到2台机器，估计不是什么大问题，现在可以PING到对方，也可以共享，重新做个共享文件应该没事了。

我是不是要重做系统才是比较安全的呀？

重装系统其实是最不安全的

刚刚重装系统的系统
全是漏洞:default2:

:default1: 那台机器不能访问这个，我这个可以访问对方，将就用了，呵呵。

过几天有时间了，重装系统了，我一般装好后先安装杀毒，升级，查一遍没问题后打补丁。然后下载各种软件（尽量是绿色版的，省事），最后超级兔子把垃圾文件清理一下，GHOST,收工:default6:

再次谢谢你今天帮我这么多，:default7: