瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 金山毒霸报告l0000.BBC
dragon_pan - 2009-6-2 12:43:00
我的金山老是弹出有个病毒被杀,名称是:Win32.Troj.OnlineGamesT.ty.106635,感染文件是10000.BBC.请各位大侠帮我看看啊,教我怎么做,详细点.我是菜鸟!感激不尽!金山清理专家的诊断报告是
==============================================================
        金山清理专家系统诊断报告
该诊断报告由金山清理专家提供 http://www.duba.net
==============================================================
诊断时间:            2009-06-02, 12:27
诊断平台:            Windows XP [5.1.2600] Service Pack 3
IE版本:              Internet Explorer V6.0.5512.2900
计算机物理内存:      2045(MB)
当前可用内存:        1344(MB)
硬盘总大小:          229(GB)
硬盘可用空间:        154(GB)
清理专家版本:        2009.02.13.759
恶意软件库版本:      2009.05.11.1
漏洞库版本:          2008.12.18.4


==============================================================
        启动文件夹位置
==============================================================
Common Startup:      C:\Documents and Settings\All Users\「开始」菜单\程序\启动
Startup:            C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
Common Startup:      %ALLUSERSPROFILE%\「开始」菜单\程序\启动
==============================================================
        Host File
==============================================================
127.0.0.1      localhost
127.0.0.1 858656.com
127.0.0.1 my123.com
127.0.0.1 8749.com
127.0.0.1 4199.com
127.0.0.1 7379.com
127.0.0.1 7255.com
127.0.0.1 3448.com
127.0.0.1 7939.com
127.0.0.1 8009.com
127.0.0.1 piaoxue.com
127.0.0.1 kzdh.com
127.0.0.1 about.blank.la
127.0.0.1 6781.com
127.0.0.1 7322.com
==============================================================
        驱动程序
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
        [ATSpy] [已启用]              <\??\C:\WINDOWS\system32\ATSpy.sys>

==============================================================
        当前进程
==============================================================
名称:    l0000.BBC  [已启用]
命令行:  l0000.BBC
文件路径: C:\Documents and Settings\Administrator\l0000.BBC  [病毒程序] (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\ntdll.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\kernel32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\USER32.DLL                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\GDI32.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\IMM32.DLL                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\ADVAPI32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\RPCRT4.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\Secur32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\LPK.DLL                  (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\USP10.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\OLEAUT32.DLL              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\msvcrt.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\ole32.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\SHELL32.DLL              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\SHLWAPI.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\comctl32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\wininet.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\CRYPT32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\MSASN1.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\wsock32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\WS2_32.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\WS2HELP.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\NTMARTA.DLL              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\SAMLIB.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\WLDAP32.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\SETUPAPI.dll              (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\uxtheme.dll              (Microsoft Corporation)
模块文件: D:\Program Files\360safe\safemon\safemon.dll  (360.CN)
模块文件: C:\WINDOWS\system32\PSAPI.DLL                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\urlmon.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\VERSION.dll              (Microsoft Corporation)
模块文件: D:\Program Files\金山毒霸\KMailOEBand.DLL        (Kingsoft Corporation)
模块文件: D:\Program Files\金山毒霸\kis.dll                (Kingsoft Corporation)
模块文件: D:\Program Files\金山毒霸\MFC80U.DLL              (Microsoft Corporation)
模块文件: D:\Program Files\金山毒霸\MSVCR80.dll            (Microsoft Corporation)
模块文件: D:\Program Files\金山毒霸\MSVCP80.dll            (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\MSCTF.dll                (Microsoft Corporation)
模块文件: C:\WINDOWS\system32\msctfime.ime              (Microsoft Corporation)

==============================================================
        其他安全区域
==============================================================
该项来源: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
        [显示摇曳 CPL 扩展]        <deskpan.dll>
帅哥阿福 - 2009-6-2 12:47:00
扫SRENG日志后,将扫描结果以附件形式发这论坛来
下载SRENG2.6版工具:http://www.kztechs.com/sreng/download.html
SRENG工具的扫描日志操作,看这贴2楼:http://bbs.ikaka.com/showtopic-8442813.aspx
byxxdrls - 2009-6-2 12:49:00
全盘搜索ws2help.dll文件(要选择隐藏文件),除去系统目录内的,全部删除
dragon_pan - 2009-6-2 12:56:00
谢谢帮忙!!!

附件: SREngLOG.log
dragon_pan - 2009-6-2 13:03:00
谢谢,ws2help.dll 已经删了,可是还是金山毒霸还是报:kaka4:
byxxdrls - 2009-6-2 13:09:00
嗯,估计是QQ和毒霸进程中的病毒模块没被删除。
给个工具让你处理吧。
不过,得找到病毒文件ws2help.dll ,方可操作
byxxdrls - 2009-6-2 13:12:00
http://bbs.ikaka.com/attachment.aspx?attachmentid=466522用这个工具
byxxdrls - 2009-6-2 13:16:00
使用说明http://bbs.ikaka.com/showtopic-8576327.aspx
天月来了 - 2009-6-2 14:07:00
大致看了一下,你日志显示这两处还有病毒文件存在,愿意的话,就去用解压工具WinRAR打开那位置,去找文件压缩后发来。
C:\Program Files\Kingsoft\KAC\Service\WS2HELP.dll
D:\Program Files\狂人QQ2008\WS2HELP.dll
maradonaisme - 2009-6-3 6:55:00
我的情况和他是一样一样的!~请问是吧C:\Program Files\Kingsoft\KAC\Service\WS2HELP.dll
D:\Program Files\狂人QQ2008\WS2HELP.dll  这两个文件压缩发过来么??
天月来了 - 2009-6-3 7:07:00
你情况虽然和他一样

难道你的系统内也有一样的文件夹路径??
C:\Program Files\Kingsoft\KAC\Service\WS2HELP.dll
D:\Program Files\狂人QQ2008\WS2HELP.dll

你难道也是D盘内有个狂人QQ2008的相同目录???

如果有的话,那你就找吧:kaka6:
dragon_pan - 2009-6-3 10:40:00
谢谢 byxxdrls 的热心帮忙.你说的那个工具还是不行.
天月来了说的那个文件我全盘搜索了,只有C:\WINDOWS\system32里面有
最后没办法我只有一键还原了.
天月来了 - 2009-6-3 10:47:00
随便你了

那文件不是你以为的搜索搜索了事的

得用工具搜索才行呢

:kaka6:

下载这个工具,确实搜索不出那46kb的假冒病毒文件才可以呢:

http://bbs.ikaka.com/attachment.aspx?attachmentid=491090
maradonaisme - 2009-6-3 17:42:00
我的D盘也有QQ但不是狂人2008的呵呵!~我下了http://bbs.ikaka.com/attachment.aspx?attachmentid=491090  这个 搜索后除去C:\WINDOWS\system32目录下的还有5个!!是不是都要删除掉啊??
maradonaisme - 2009-6-3 17:45:00
哇靠!!删还删不掉哦!说什么写满保护!!怎么办啊??
天月来了 - 2009-6-3 17:48:00
C:\WINDOWS\system32目录下的不能删除

但是其他目录下的,只要是46kb的,就可以删除

删除不了的,我置顶删除工具很多

建议你先下载这个免疫批处理运行一下

然后看能否解决问题

附件: ws2help免疫.rar
lichun005 - 2009-6-4 17:03:00
最近发现我运行后在system32下会产生10000,bbc
不能够直接删除,需要用工具,并且该文件不能拷贝,如果修改日期和中毒相仿可以用工具删除掉
byxxdrls - 2009-6-4 18:17:00
那就免疫重启后再删除。
1
查看完整版本: 金山毒霸报告l0000.BBC
© 2000 - 2025 Rising Corp. Ltd.