瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 病毒在windows\system32下生成几个图片,开机在桌面显示

1234   1  /  4  页   跳转

病毒在windows\system32下生成几个图片,开机在桌面显示

收藏
fan2fan
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2005-12-06
  • 来自:
发表于: 2005-12-07 10:40 | 只看楼主 短消息 资料
字号: 1楼

病毒在windows\system32下生成几个图片,开机在桌面显示

大侠,小弟我中病毒,在windows\system32下生成 6个广告图片,并在开机时在桌面显示。点击其中一个会关闭。问是什么病毒。急啊,请告知。
昨天曾查出灰鸽子,但是按照说的办法杀不掉。

请大侠们帮看看还需要怎么杀!!!

多谢多谢多谢
下面是用hijack this扫描的结果


当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Intel\Wireless\Bin\ZcfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Sierra Wireless Inc\Network Adapter Manager\Network Adapter Manager.exe
C:\Program Files\Apoint\Apoint.exe
C:\Program Files\Apoint\Apntex.exe
C:\WINDOWS\System32\conime.exe
E:\others\System Safety Monitor\ssm\SYSSAFE.exe
D:\others\softwares\greenBrown\GreenBrowser.exe
E:\others\hijackthis\HijackThis1991汉化版\HijackThis1991zww.exe

O4 - 启动项HKLM\\Run: [IntelWireless] C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless
O4 - 启动项HKLM\\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - 启动项HKLM\\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - 启动项HKLM\\Run: [AirCardEnabler] C:\Program Files\Sierra Wireless Inc\Network Adapter Manager\Network Adapter Manager.exe
O4 - 启动项HKLM\\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe
O4 - HKCU\..\Run: [SystemSafetyMonitor] E:\others\System Safety Monitor\ssm\SYSSAFE.exe
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - E:\others\hf\GameClient.exe
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ds.mot.com
O17 - HKLM\Software\..\Telephony: DomainName = ds.mot.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{D96B228B-D7E2-4B55-899A-372367B01CDA}: NameServer = 10.204.4.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ds.mot.com
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = jcei.gov.cn
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ds.mot.com
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = jcei.gov.cn
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = jcei.gov.cn
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: IntelWireless - C:\Program Files\Intel\Wireless\Bin\LgNotify.dll
O23 - NT 服务: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - NT 服务: Hummingbird Inetd (HCLInetd) - Hummingbird Communications Ltd. - C:\WINDOWS\System32\Hummbird\inetd32.exe
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - NT 服务: Kingsoft Personal Firewall Service (KPfwSvc) - Kingsoft Corporation - C:\KAV2006\KPfwSvc.EXE
O23 - NT 服务: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - NT 服务: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - NT 服务: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
最后编辑2005-12-10 15:27:02
分享到:
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-07 10:45 | 短消息 资料
字号: 2楼

日志里看不出问题

把图片直接删除试试
gototop
 
fan2fan
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2005-12-06
  • 来自:
发表于: 2005-12-07 10:57 | 只看楼主 短消息 资料
字号: 3楼

删掉文件后重新开机就会有。会不会是灰鸽子的一种变形?昨天曾经查出来过灰鸽子。
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-07 10:59 | 短消息 资料
字号: 4楼

用Autoruns保存一个日志发上来
日志保存方法:选择File->Save菜单项
保存日志时注意选择Options->Hide Microsoft Entries菜单项(设置了这项后点工具栏的刷新按钮)

工具的下载、使用参考http://forum.ikaka.com/topic.asp?board=28&artid=7318038
gototop
 
fan2fan
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2005-12-06
  • 来自:
发表于: 2005-12-07 11:10 | 只看楼主 短消息 资料
字号: 5楼

发上去了。多谢你啊,真是好人!

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run           

+ AirCardEnabler    Network Adapter Manager    Sierra Wireless Inc.    c:\program files\sierra wireless inc\network adapter manager\network adapter manager.exe

+ Apoint    Alps Pointing-device Driver    Alps Electric Co., Ltd.    c:\program files\apoint\apoint.exe

+ Dell QuickSet    QuickSet MFC Application        c:\program files\dell\quickset\quickset.exe

+ HotKeysCmds    hkcmd Module    Intel Corporation    c:\windows\system32\hkcmd.exe

+ IgfxTray    igfxTray Module    Intel Corporation    c:\windows\system32\igfxtray.exe

+ IntelWireless    Intel Framework MFC Application    Intel Corporation    c:\program files\intel\wireless\bin\ifrmewrk.exe

HKCU\Software\Microsoft\Windows\CurrentVersion\Run           

+ SystemSafetyMonitor    Master Module    System Safety    e:\others\system safety monitor\ssm\syssafe.exe

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved           

+ Display Panning CPL Extension            File not found: deskpan.dll

+ HyperTerminal Icon Ext    HyperTerminal Applet Library    Hilgraeve, Inc.    c:\windows\system32\hticons.dll

+ Panasonic Data Connections    Panasonic Mobile DUN Shell    Panasonic    c:\program files\panasonic\data connection assistant\pscdunshu.dll

+ PicaView    PicaView 系统扩展 DLL    ACD Systems, Ltd.    d:\others\softwares\acdsee\picaview.dll

+ WinRAR shell extension            d:\others\softwares\winrar\rarext.dll

HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved           

+ Web Folders            c:\program files\common files\microsoft shared\web folders\msonsext.dll

+ 金山毒霸2006    Kingsoft Antivirus Explorer Integration    Kingsoft Corporation    c:\kav2006\kavext.dll

HKLM\Software\Microsoft\Internet Explorer\Extensions           

+ 浩方对战平台    浩方对战平台    上海浩方在线信息技术有限公司    e:\others\hf\gameclient.exe

HKLM\System\CurrentControlSet\Services           

+ EvtEng    Intel Event Trace Manager    Intel Corporation    c:\program files\intel\wireless\bin\evteng.exe

+ HCLInetd    Windows Inet Daemon    Hummingbird Communications Ltd.    c:\windows\system32\hummbird\inetd32.exe

+ KPfwSvc    金山网镖网络实时监控服务程序    Kingsoft Corporation    c:\kav2006\kpfwsvc.exe

+ NICCONFIGSVC    Configure your Internal Network Card power management settings.    Dell Inc.    c:\program files\dell\nicconfigsvc\nicconfigsvc.exe

+ RegSrvc    Intel Registry Service    Intel Corporation    c:\program files\intel\wireless\bin\regsrvc.exe

+ S24EventMonitor    Handles the Spectrum24 NDIS Traffic    Intel Corporation     c:\program files\intel\wireless\bin\s24evmon.exe

HKLM\System\CurrentControlSet\Services           

+ AegisP    AEGIS Protocol (IEEE 802.1x) v3.1.0.1    Meetinghouse Data Communications    c:\windows\system32\drivers\aegisp.sys

+ AIR555    Sierra Wireless AirCard 555 NDIS Driver    Sierra Wireless Inc.    c:\windows\system32\drivers\air555.sys

+ ApfiltrService    Alps Touch Pad Driver    Alps Electric Co., Ltd.    c:\windows\system32\drivers\apfiltr.sys

+ APPDRV    App Support Driver    Dell Inc    c:\windows\system32\drivers\appdrv.sys

+ d347bus    PnP BIOS Extension         c:\windows\system32\drivers\d347bus.sys

+ d347prt    SCSI miniport         c:\windows\system32\drivers\d347prt.sys

+ E100B    Intel(R) PRO/100 Adapter NDIS 5.1 driver    Intel Corporation    c:\windows\system32\drivers\e100b325.sys

+ HSF_DP    HSF_DP driver    Conexant Systems, Inc.    c:\windows\system32\drivers\hsf_dp.sys

+ HSFHWICH    HSFHWICH WDM driver    Conexant Systems, Inc.    c:\windows\system32\drivers\hsfhwich.sys

+ ialm    Intel Graphics Miniport Driver    Intel Corporation    c:\windows\system32\drivers\ialmnt5.sys

+ IWCA    Intel Wireless Connection Agent    Intel Corporation    c:\windows\system32\drivers\iwca.sys

+ KSCDMAN    KingSoft Virtual CDRom Driver    KingSoft Corp.    c:\windows\system32\drivers\kscdman.sys

+ L8042pr2    Logitech PS/2 Mouse Filter Driver.    Logitech, Inc.    c:\windows\system32\drivers\l8042pr2.sys

+ LHidFlt2    Logitech HID Filter Driver.    Logitech, Inc.    c:\windows\system32\drivers\lhidflt2.sys

+ LMouFlt2    Logitech Filter Driver for Mouse Class.    Logitech, Inc.    c:\windows\system32\drivers\lmouflt2.sys

+ mdmxsdk    Diagnostic Interface DRIVER    Conexant    c:\windows\system32\drivers\mdmxsdk.sys

+ NetworkX            c:\windows\system32\ckldrv.sys

+ Ptilink    Direct Parallel Link Driver    Parallel Technologies, Inc.    c:\windows\system32\drivers\ptilink.sys

+ s24trans    WLAN Transport    Intel Corporation    c:\windows\system32\drivers\s24trans.sys

+ safemon    System Safety Monitor 2.0 extension for Windows security layer    System Safety    c:\windows\system32\drivers\safemon.sys

+ Secdrv    SafeDisc driver    Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.    c:\windows\system32\drivers\secdrv.sys

+ SMCIRDA    SMC IrCC NDIS 5.0 IrDA FIR Device Driver    SMC    c:\windows\system32\drivers\smcirda.sys

+ SONYPVU1    Sony USB Lower Filter driver    Sony Corporation    c:\windows\system32\drivers\sonypvu1.sys

+ STAC97    SigmaTel Audio Driver (WDM)    SigmaTel, Inc.    c:\windows\system32\drivers\stac97.sys

+ StyleXPHelper            File not found: C:\Program Files\TGTSoft\StyleXP\StyleXPHelper.exe

+ TrojanFindDriverNT            File not found: C:\WINDOWS\System32\NtDriver.sys

+ w29n51    Intel? Wireless LAN Driver    Intel? Corporation    c:\windows\system32\drivers\w29n51.sys

+ winachsf    HSF_CNXT driver    Conexant Systems, Inc.    c:\windows\system32\drivers\hsf_cnxt.sys

+ ZPMODEMSYSNTDRVNT            c:\windows\system32\drivers\zpmodemnt.sys

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify           

+ igfxcui    igfxsrvc Module    Intel Corporation    c:\windows\system32\igfxsrvc.dll

+ IntelWireless    LogonNotify DLL    Intel Corporation    c:\program files\intel\wireless\bin\lgnotify.dll

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors           

+ HCL LPR Monitor    HCLLPR    Hummingbird Communications Ltd.    c:\windows\system32\hummbird\hcllpr.dll
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-07 11:16 | 短消息 资料
字号: 6楼

日志看不出问题

你做了什么操作后机子出现这种现象的
gototop
 
fan2fan
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2005-12-06
  • 来自:
发表于: 2005-12-07 11:22 | 只看楼主 短消息 资料
字号: 7楼

不知道啊,莫名其妙的就出现了,前几天有几次开机开到加载启动项时候就没有相应,我等不及,就重新启动,一般一次两次后都有会好。昨天使用过程中死机,然后在重新启动就成这样子了。

服务 NetworkX c:\windows\system32\ckldrv.sys
和+ ZPMODEMSYSNTDRVNT c:\windows\system32\drivers\zpmodemnt.sys
挺可疑的,你看看是不是这两个?
gototop
 
fan2fan
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2005-12-06
  • 来自:
发表于: 2005-12-07 11:32 | 只看楼主 短消息 资料
字号: 8楼

老大你有qq吗?我们拿qq交流把
gototop
 
BlackStone
头像
叱咤花甲狮
  • 帖子:2616
  • 注册: 2005-09-27
  • 来自:
发表于: 2005-12-07 11:41 | 短消息 资料
字号: 9楼

引用:
【fan2fan的贴子】不知道啊,莫名其妙的就出现了,前几天有几次开机开到加载启动项时候就没有相应,我等不及,就重新启动,一般一次两次后都有会好。昨天使用过程中死机,然后在重新启动就成这样子了。

服务 NetworkX c:\windows\system32\ckldrv.sys
和+ ZPMODEMSYSNTDRVNT c:\windows\system32\drivers\zpmodemnt.sys
挺可疑的,你看看是不是这两个?
...........................


你把那两个文件改个名字,重启试试
gototop
 
fan2fan
头像
初生襁褓狮
  • 帖子:27
  • 注册: 2005-12-06
  • 来自:
发表于: 2005-12-07 11:56 | 只看楼主 短消息 资料
字号: 10楼

现在还有个情况是点开始--所有程序之后的下一级菜单都不可以点了,包括状态栏上分组显示的文件夹在点一下后不能再点击选择。
也有可能是killbox昨天删了某个文件引起的。你遇到过这个情况吗?
我先改名试试。
gototop
 
<<上一主题|下一主题>>
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT