瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 帮帮忙,中毒文件mapi32.exe,病毒名称BackDoor.CodBot.1

1   1  /  1  页   跳转

帮帮忙,中毒文件mapi32.exe,病毒名称BackDoor.CodBot.1

帮帮忙,中毒文件mapi32.exe,病毒名称BackDoor.CodBot.1

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      11:11:47, 日期 2005-7-19
操作系统:  Windows 2000 SP4 (WinNT 5.00.2195)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程:         
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\mapi32.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\北京通信\宽带E~1\app\pppoeservice.exe
C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
c:\program files\rising\rfw\RfwMain.exe
C:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
C:\WINNT\system32\internat.exe
C:\PROGRA~1\北京通信\宽带E~1\app\EnterNet.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
d:\MICROS~1\MSSQL\binn\sqlservr.exe
C:\WINNT\Microsoft.NET\Framework\v1.1.4322\aspnet_wp.exe
C:\WINNT\system32\mmc.exe
D:\BitComet\BitComet.exe
C:\WINNT\system32\conime.exe
C:\Program Files\Tencent\qq\QQ.exe
C:\Program Files\Tencent\qq\TIMPlatform.exe
D:\Microsoft Visual Studio .NET 2003\Common7\IDE\devenv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\PROGRA~1\RISING\RAV\Rav.exe
E:\IE-DOWN\Hijack\HijackThis1991zww.exe

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - D:\SnagIt 7\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\FlashGet\jccatch.dll
O3 - IE工具栏增项: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\FlashGet\fgiebar.dll
O3 - IE工具栏增项: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - D:\SnagIt 7\SnagItIEAddin.dll
O4 - 启动项HKLM\\Run: [RavMon] C:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - 启动项HKLM\\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - 启动项HKLM\\Run: [RavTimer] C:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: 下载页面上的ED2(&K)链接 - d:\eMule\ed2k.html
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\FlashGet\jc_all.htm
O9 - 浏览器额外的按钮: 浩方对战平台 - {0A155D3C-68E2-4215-A47A-E800A446447A} - D:\浩方对战平台\GameClient.exe
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O9 - 浏览器额外的“工具”菜单项: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\FlashGet\flashget.exe
O16 - DPF: {3D8F74EE-8692-4F8F-B8D2-7522E732519E} (WebActivater Control) - http://game.qq.com/QQGame2.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {8569D715-FF88-44BA-8D1D-AD3E59543DDE} (ActiveReports Viewer2) - http://wdp/subaruweb/PrintRpt/arview2.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O18 - 列举现有的协议: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - NT 服务: MAPI Mail Client (MAPI) - Unknown owner - C:\WINNT\system32\mapi32.exe
O23 - NT 服务: PPPoE Service (PPPoEService) - Unknown owner - C:\PROGRA~1\北京通信\宽带E~1\app\pppoeservice.exe
O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Corporation Limited - c:\program files\rising\rfw\rfwsrv.exe
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - rising - C:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

最后编辑2005-07-19 11:57:38
分享到:
gototop
 

【回复“浪人王”的帖子】
请启动到安全模式,如果使用了系统还原,请先关闭。
开始--控制面板--管理工具--服务
停止并禁用MAPI Mail Client (MAPI) - Unknown owner
请关闭所有浏览器窗口和文件夹窗口,重新使用HijackThis扫描,在下列建议修复的项目前打上勾,然后点[修复](Fix)(如果你清楚某项是安全的,可以不处理):
终止下列进程
C:\WINNT\system32\mapi32.exe
不能终止的话用下列方法终止进程

使用HijackThis中的进程管理器来终止进程的步骤是:

  <下面的叙述以1.99.1版本为准>

  1。运行HijackThis

  2。点击“打开混合工具箱”按钮(英文版为“Open the Misc Tools section”按扭)

  3。点击“打开简易进程管理器”(英文版为“Open process Manager”按扭)

  4。单击选定要终止的进程,点击“终止进程”按钮(英文版为“Kill process”按扭)。
请关闭所有浏览器窗口和文件夹窗口,重新使用HijackThis扫描,在下列建议修复的项目前打上勾,然后点[修复](Fix)(如果你清楚某项是安全的,可以不处理):
C:\WINNT\system32\mapi32.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
删除文件(如果存在的话)
C:\WINNT\system32\mapi32.exe

gototop
 

VK7病毒木马查杀
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT