瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 以为自己细个高手,忙活了2天还没搞定,大侠帮忙看下!!!

1234   2  /  4  页   跳转

以为自己细个高手,忙活了2天还没搞定,大侠帮忙看下!!!

收藏
西门吹胡子
头像
初生襁褓狮
  • 帖子:24
  • 注册: 2006-09-11
  • 来自:
发表于: 2006-09-11 22:51 | 只看楼主 短消息 资料
字号: 11楼

HijackThis_815汉化版扫描日志 V1.99.1
保存于      下午 10:38:02, 日期 2006/9/11
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\tp4serv.exe
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Program Files\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Temp\iparmor\iparmor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\jj4\jjsvr4.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\lotus\notes\ntmulti.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\Program Files\Cisco Systems\VPN Client\vpngui.exe
C:\Program Files\Kingsoft\PowerWord 2005\XDICT.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\slbrwiad.exe
C:\WINDOWS\system32\wuapx9tt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Temp\hijackthis1[1].99.1汉化第二版(new).exe
C:\Program Files\333\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - URLSearchHook: (no name) - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)
O3 - IE工具栏增项: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O3 - IE工具栏增项: 縐縐奻厙假?翑忒 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [TrackPointSrv] tp4serv.exe
O4 - 启动项HKLM\\Run: [ATIModeChange] Ati2mdxx.exe
O4 - 启动项HKLM\\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - 启动项HKLM\\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - 启动项HKLM\\Run: [BMMLREF] C:\Program Files\ThinkPad\Utilities\BMMLREF.EXE
O4 - 启动项HKLM\\Run: [TP4EX] tp4ex.exe
O4 - 启动项HKLM\\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - 启动项HKLM\\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - 启动项HKLM\\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - 启动项HKLM\\Run: [BMMGAG] RunDll32 C:\PROGRA~1\ThinkPad\UTILIT~1\pwrmonit.dll,StartPwrMonitor
O4 - 启动项HKLM\\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - 启动项HKLM\\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - 启动项HKLM\\Run: [S3TRAY2] S3Tray2.exe
O4 - 启动项HKLM\\Run: [iparmor] C:\Temp\iparmor\iparmor.exe mini
O4 - 启动项HKLM\\Run: [pdfFactory Pro 分配器 v2] ; C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe
O4 - 启动项HKLM\\Run: [yassistse] ; "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O4 - 启动项HKLM\\Run: [YLive.exe] ; C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [pyjj] C:\Program Files\jj4\jjsvr4.exe
O9 - 浏览器额外的按钮: (no name) - {D6E814A0-E0C5-11d4-8D29-0050BA6940E4}? - C:\WINDOWS\system32\shdocvw.dll
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - http://61.222.107.211/iNotes6W.cab
O16 - DPF: {52DF16E3-6C4F-4B22-8BAF-09263E463B48} - http://zs.kingsoft.com/KOSInit.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124347276515
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{873CCEC2-E7C3-4E35-9D7A-197012A73EC7}: NameServer = 61.177.7.1,10.214.3.10
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF7EFFBC-AAA2-4E5F-A029-EECE6CECDEBF}: Domain = westwd.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF7EFFBC-AAA2-4E5F-A029-EECE6CECDEBF}: NameServer = 10.10.10.8
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = westwd.com,westwd.com,westwd.com,westwd.com,kspcb.nanyapcb.com.tw,fpg.com.tw
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: SearchList = westwd.com,westwd.com,westwd.com,kspcb.nanyapcb.com.tw,fpg.com.tw
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = westwd.com,westwd.com,westwd.com,westwd.com,kspcb.nanyapcb.com.tw,fpg.com.tw
O20 - AppInit_DLLs:  msji449c14b7.dll daniwshb.dll msv1nv4_.dll
O20 - Winlogon Notify: acac - C:\WINDOWS\system32\acac.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O20 - Winlogon Notify: PCANotify - C:\WINDOWS\SYSTEM32\PCANotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: wuapx9tt - C:\WINDOWS\system32\wuapx9tt.dll
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服务: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Program Files\Symantec\pcAnywhere\awhost32.exe
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - NT 服务: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - NT 服务: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\Cisco Systems\VPN Client\cvpnd.exe
O23 - NT 服务: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - NT 服务: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - NT 服务: Multi-user Cleanup Service - IBM Corp - C:\Program Files\lotus\notes\ntmulti.exe
O23 - NT 服务: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - NT 服务: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - NT 服务: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - NT 服务: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\WINDOWS\System32\S24EvMon.exe
O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - NT 服务: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
O23 - NT 服务: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe
gototop
 
西门吹胡子
头像
初生襁褓狮
  • 帖子:24
  • 注册: 2006-09-11
  • 来自:
发表于: 2006-09-11 23:02 | 只看楼主 短消息 资料
字号: 12楼

引用:
【baohe的贴子】【回复“西门吹胡子”的帖子】
C:\WINDOWS\tsrv.exe s

C:\WINDOWS\system32\wuapx9tt.exe

找到这两个文件,打包,加密(解压密码用virus),发到:baohelin@yahoo.com.cn。帮你看看。


………………



已发送,请查阅,谢谢!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 23:06 | 短消息 资料
字号: 13楼

引用:
【西门吹胡子的贴子】

好咧,呵呵,谢谢,请看!

………………

咔吧宰了一个(邮件病毒)
另一个,我看看在说。

附件附件:

下载次数:154
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-11 23:06:15
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-11 23:24 | 短消息 资料
字号: 14楼

【回复“西门吹胡子”的帖子】
另外一个——C:\WINDOWS\system32\wuapx9tt.exe,在我的系统中无法运行。
卡巴斯基不报毒。
但我觉得它不是什么好东西。
gototop
 
西门吹胡子
头像
初生襁褓狮
  • 帖子:24
  • 注册: 2006-09-11
  • 来自:
发表于: 2006-09-12 08:52 | 只看楼主 短消息 资料
字号: 15楼

引用:
【baohe的贴子】【回复“西门吹胡子”的帖子】
另外一个——C:\WINDOWS\system32\wuapx9tt.exe,在我的系统中无法运行。
卡巴斯基不报毒。
但我觉得它不是什么好东西。
………………


大哥,这个玩意还有那个wuapx9tt。dll我再安全模式下删不掉,更改文件权限天杀的居然不让我更改,重启进入adminstrators居然又找不到着俩文件了,真晕,请继续指教。
那4个tsrv文件很容易就删除了。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-12 08:57 | 短消息 资料
字号: 16楼

引用:
【西门吹胡子的贴子】

大哥,这个玩意还有那个wuapx9tt。dll我再安全模式下删不掉,更改文件权限天杀的居然不让我更改,重启进入adminstrators居然又找不到着俩文件了,真晕,请继续指教。
那4个tsrv文件很容易就删除了。
………………

请用SSM禁止C:\WINDOWS\system32\wuapx9tt.exe加载运行。将SSM设置为“自动运行”。
然后重启系统,再删除C:\WINDOWS\system32\wuapx9tt.exe。
试试看。
gototop
 
西门吹胡子
头像
初生襁褓狮
  • 帖子:24
  • 注册: 2006-09-11
  • 来自:
发表于: 2006-09-12 09:05 | 只看楼主 短消息 资料
字号: 17楼

弱弱的问一下,SSM是什么?。。。
gototop
 
西门吹胡子
头像
初生襁褓狮
  • 帖子:24
  • 注册: 2006-09-11
  • 来自:
发表于: 2006-09-12 09:16 | 只看楼主 短消息 资料
字号: 18楼

再请问一下,木马克星扫出来的这些信息又价值吗,谢谢!

C:\WINDOWS\webwork\webwork.nls文件被系统注入: C:\WINDOWS\Explorer.EXE 程序
C:\WINDOWS\webwork\webwork.nls文件被系统注入: C:\WINDOWS\Explorer.EXE 程序
C:\WINDOWS\tsrv.dll文件被系统注入: [System Process] 程序
C:\WINDOWS\tsrv.dll文件被系统注入: C:\Program Files\lotus\notes\NLNOTES.EXE 程序
C:\WINDOWS\system32\decdnet.dll文件被系统注入: C:\Program Files\Kingsoft\PowerWord 2005\XDICT.EXE 程序
C:\WINDOWS\system32\ra32dnet.dll文件被系统注入: C:\Program Files\Kingsoft\PowerWord 2005\XDICT.EXE 程序
C:\WINDOWS\tsrv.dll文件被系统注入: C:\Program Files\Kingsoft\PowerWord 2005\XDICT.EXE 程序
C:\WINDOWS\system32\msvfjspr.dll文件被系统注入: C:\Program Files\lotus\notes\NLNOTES.EXE 程序
C:\WINDOWS\system32\msvfjspr.dll文件被系统注入: C:\Program Files\Kingsoft\PowerWord 2005\XDICT.EXE 程序
C:\WINDOWS\system32\Flash.ocx文件被系统注入: C:\Program Files\Internet Explorer\iexplore.exe 程序
C:\WINDOWS\system32\PYJJ4.IME文件被系统注入: C:\Program Files\Internet Explorer\iexplore.exe 程序
C:\WINDOWS\system32\PYJJ4.IME文件被系统注入: C:\Program Files\lotus\notes\NLNOTES.EXE 程序
C:\WINDOWS\system32\Flash.ocx文件被系统注入: C:\Program Files\Internet Explorer\iexplore.exe 程序


C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\NavLogon.dll怀疑为流氓软件2229或者系统文件,测试期间请将此信息发送到木马克星论坛
C:\WINDOWS\SYSTEM32\WgaLogon.dll怀疑为流氓软件2229或者系统文件,测试期间请将此信息发送到木马克星论坛
C:\WINDOWS\SYSTEM32\C:\WINDOWS\system32\wuapx9tt.dll怀疑为流氓软件2229或者系统文件,测试期间请将此信息发送到木马克星论坛
发现可疑系统服务:C:\WINDOWS\SYSTEM32\TPKMPSVC.EXE

以上又个问题:“C:\WINDOWS\tsrv.dll文件被系统注入: [System Process] 程序
C:\WINDOWS\tsrv.dll文件被系统注入: C:\Program Files\lotus\notes\NLNOTES.EXE 程序”

又没有搞错,terv不是被干了吗,注册表也找不到,怎么还能加注,我靠,webwork也卸载了阿,怎么回事阿
gototop
 
西门吹胡子
头像
初生襁褓狮
  • 帖子:24
  • 注册: 2006-09-11
  • 来自:
发表于: 2006-09-12 09:18 | 只看楼主 短消息 资料
字号: 19楼

大哥阿,在线等阿
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-09-12 09:22 | 短消息 资料
字号: 20楼

引用:
【西门吹胡子的贴子】弱弱的问一下,SSM是什么?。。。
………………

使用参考:
http://forum.ikaka.com/topic.asp?board=28&artid=7781820
http://forum.ikaka.com/topic.asp?board=28&artid=8010460

附件附件:

下载次数:186
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-12 9:22:47
描述:
预览信息:EXIF信息
gototop
 
<<上一主题|下一主题>>
1234   2  /  4  页   跳转
页面顶部
Powered by Discuz!NT