瑞星卡卡安全论坛

附件: hijackthis.log (2010-5-14 9:41:12, 3.33 K)
该附件被下载次数 194

开机就弹出 alg.exe 无法找到入口，瑞星杀掉，重启还有，用卡卡查到是灰鸽子，下专杀也不行，还是当时杀了，重启还有，照样弹出，360也可查到是木马或高风险文件，查杀，重启还有。卡巴与金山毒霸也试过，杀掉重启还有，

所有软件可查到，都杀掉后，重启还有。重装系统N次了，甚至换了个系统盘重装还是不行。。真是受不了了，各位帮帮忙吧。

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 9:20:27,2010-5-14
操作系统: Windows XP SP3 (WinNT 5.01.2600)
IE版本: Internet Explorer v6.00 SP3 (6.00.2900.5512)
启动模式: 正常

正在运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
d:\Program Files\360\360Safe\deepscan\zhudongfangyu.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Program Files\360\360Safe\safemon\360tray.exe
D:\Program Files\360\360sd\360sd.exe
d:\Program Files\360\360sd\360rp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
d:\我的文档\桌面\hijackthis_v2.02h\HijackThis.exe

O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - d:\Program Files\Thunder Network\Thunder\ComDlls\TDAtOnce_Now.dll
O2 - BHO: XLLiteView BrowserHelper Object - {2D90D33C-DE76-42D0-9040-E4466DDC24AC} - d:\Program Files\Thunder Network\Thunder\Program\EmbedDetectNow.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - d:\Program Files\Thunder Network\Thunder\ComDlls\xunleiBHO_Now.dll
O2 - BHO: 卡卡上网安全助手 - {98B7C13A-E9CD-4959-8B46-FBEAB41E42A8} - C:\WINDOWS\system32\UrlFilter.dll
O4 - HKLM\..\Run: [360Safetray] "d:\Program Files\360\360Safe\safemon\360tray.exe" /start
O4 - HKLM\..\Run: [qQ] C:\WINDOWS\alg.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [KKDelay] D:\Program Files\Rising\AntiSpyware\RunOnce.exe
O4 - HKCU\..\Run: [360sd] "D:\Program Files\360\360sd\360sd.exe" /autorun
O8 - 扩展右键菜单项: 使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - 扩展右键菜单项: 使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - 扩展右键菜单项: 使用迅雷查看图片 - d:\Program Files\Thunder Network\Thunder\Program\repairimage.htm
O8 - 扩展右键菜单项: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - 额外的按钮: 查看网页全部图片 - {548BF84E-9665-47f9-B635-7380F8943E90} - d:\Program Files\Thunder Network\Thunder\Program\repairimage.htm
O9 - 额外的“工具”菜单项目: 查看网页全部图片 - {548BF84E-9665-47f9-B635-7380F8943E90} - d:\Program Files\Thunder Network\Thunder\Program\repairimage.htm
O9 - 额外的按钮: IE83网址导航 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.ie83.com(文件不存在)
O9 - 额外的“工具”菜单项目: IE83绿色网址导航 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.ie83.com(文件不存在)
O9 - 额外的按钮: (未命名) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - 额外的“工具”菜单项目: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - NT 服务:  360 杀毒实时防护服务 (360rp) - 360.cn - d:\Program Files\360\360sd\360rp.exe
O23 - NT 服务:  NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务:  SHDSERV - Unknown owner - C:\Program Files\Yuguo\shdserv.exe
O23 - NT 服务:  Shield Client Service (ShieldClientService) - Unknown owner - C:\Program Files\Yuguo\shieldclnt.exe
O23 - NT 服务:  主动防御 (ZhuDongFangYu) - 360.cn - d:\Program Files\360\360Safe\deepscan\zhudongfangyu.exe

--
文件结束 - 3199 字节

C:\WINDOWS\alg.exe 打包发来，再扫描一份sreng日志发来。

使用System Repair Engineer扫描日志，将日志作为附件上传上来。
下载页面：http://www.kztechs.com/sreng/download.html
操作方法：
1、下载后解压缩，运行SREngPS.EXE；
2、如果无法打开尝试把SREngPS.EXE改名为123.com，并复制到c:\windows目录下运行；
3、依次点击【智能扫描】-【扫描】，耐心等待，扫描结束后点击【保存报告】；
4、选择保存路径，文件名保持默认，直接点击【保存】；
5、打开保存的日志文件SREngLOG.log，完整复制全部内容，新建一个文本文档，将日志中的全部内容粘贴到“新建文本文档.txt”中；
6、将“新建文本文档.txt”作为附件上传，同时务必详细描述问题现象，如果有查杀不净的病毒务必提供病毒名和路径。
注意：扫描前请尽量关闭QQ、游戏、下载工具、媒体播放器等应用程序

开机就弹出 alg.exe 无法找到入口，杀软提示有病毒，瑞星杀掉，重启还有，用卡卡查到是灰鸽子，下专杀也不行，还是当时杀了，重启还有，照样弹出，360也可查到是木马或高风险文件，查杀，重启还有。卡巴与金山毒霸也试过，杀掉重启还有，

所有软件可查到，都杀掉后，重启还有。重装系统N次了，甚至换了个系统盘重装还是不行。

附件: alg.rar

附件: 新建 文本文档.txt

最近有好几个木马都挺顽固的。

为这个病毒，折腾了两天，:kaka6:

什么杀毒软件，木马专杀工具，只要是网上能找的，我全都下载试了，全都不行。实在是没办法了。只能求助各位了。:kaka12:

********************************************************************
*    PLA'S Report For Your Problem [1.1.41]
*                                        All rights Reserved by Evol
********************************************************************
* 报告分析日期：2010-5-14 - 12:42:13
* 报告分析作者：networkedition
* 作者邮件地址：
* 作者其他信息：
* 报告正文开始：
********************************************************************

★ 『建议您删除的文件』 ★
  ☆ HELP ☆1.建议使用超级巡警暴力删除工具(请勾选“删除前备份”）或smtdel删除以下文件：(超级巡警剑盟下载 smtdel下载)

C:\WINDOWS\alg.exe
★ *********************************************** ★

建议运行QQ，用sreng扫描日志发上来。

参考8楼的方法，运行qq后扫描sreng日志上来看看。

已在  smtdel删除以下文件C:\WINDOWS\alg.exe


之前有删过，重启后就会再出现。

附件: 新建 文本文档.txt

上面是运行了QQ之后的日志

新日志显示已经没有alg.exe这个启动项，现在系统还有异常嘛？

有的，重启电脑后，又弹出。查毒又会查的到，

删除只是当时删除了，再查毒查不到了，可重启动电脑就又出现了。每次都是这样，没有彻底删除干净。

麻烦了！！！谢谢，

扫描个狙剑日志来看看吧，新日志未见异常了。
http://bbs.ikaka.com/attachment.aspx?attachmentid=447115

杀过后，就查不出来了，但重新启动就又出现了，

另外重装系统也是，我重装了五六次，中间还换过两个系统盘。照样是弹出，查到木马。

硬盘160G ，这个系统用了两年，里面很多东西太大无法备份。所以不能全部都格式化了。

附件: SystemLog.txt

既然重装了五六次，中间还换过两个系统盘。照样是弹出。

那么你必须注意，看自己新系统进入后，到底做哪件事又出现

你如果是又使用其他盘文件导致出现

我们是无法帮你的

以内我们无法知道其他盘到底被什么病毒感染或影响

这需要你自己注意观察

这很重要的

还需要考虑你是否是在局域网内受其他电脑影响

重装后，我什么也没有动，自动装完所有驱动，进入系统就有弹出的。
另外我是小区光纤，不是局域网，

也就是系统盘放进去，我什么也不动，装好一会儿进入系统就出现弹出。没有调用其它盘文件，

查毒时都是查出C盘，其它盘从没有中过毒的。因下过多种杀软，全都是全盘扫苗，也从没有在C盘之外找到过什么。

随机启动只能C盘控制着。应该问题还在系统盘吧，
另外重装系统GHOST是不是覆盖的，所以病毒一直有。

真是头疼，，，如果真找不到什么问题，是不是只能全盘格式化才行了呢。

那可真有趣

你这样，重装系统后，进新系统的时候保证绝不联网

然后看是否还跳同样的情况，是否还出现那个alg.exe文件

可惜网络中一直没人愿意做个简易的引导区扫描记录工具用来查看引导区情况

唉，还真无奈

是不是，狙剑日志也看不出什么问题呢？

你们都没有办法，我还是直接全盘格式化吧，怎么格式化，才能彻底消灭病毒呢？

现在的系统盘分区，只是分区，并不格式化，

直接进入系统后格式化其它盘，然后再重装系统盘。这样可以吗？

你格式化不了的，你的有些程序安装在其它分区，比如360。你索性用系统盘删除所有分区后重分区，再安装吧。

好的，谢谢！！！

刚才有高人分析了，你是中了感染MBR的病毒了，可以修复一下MBR。用金山鬼影专杀试试。也可以用分区软件fdisk修复  fdisk /mbr  这样就可以不必重新分区了。
另外那高人让我请你回忆一下，是在什么情况下中毒的，比如下载了什么软件或是访问了哪个网站。

lz参考24楼的回复操作，请详细回忆一下，是在什么情况下中毒的，比如下载了什么软件或是访问了哪个网站。跟帖反馈一下