瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 新来的刚学会hijackthis。前两天中了鸽子。麻烦大家帮忙看看。谢谢!

1   1  /  1  页   跳转

新来的刚学会hijackthis。前两天中了鸽子。麻烦大家帮忙看看。谢谢!

收藏
oioio486
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2005-12-03
  • 来自:
发表于: 2005-12-04 00:10 | 只看楼主 短消息 资料
字号: 1楼

新来的刚学会hijackthis。前两天中了鸽子。麻烦大家帮忙看看。谢谢!

Logfile of HijackThis v1.99.1
Scan saved at 23:45:16, on 2005-12-3
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
e:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\system32\spoolsv.exe
E:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
E:\PROGRAM FILES\RISING\RAV\Ravmond.exe
E:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\Explorer.EXE
e:\program files\rising\rfw\RfwMain.exe
E:\Program Files\D-Tools\daemon.exe
E:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
E:\PROGRA~1\RISING\RAV\RAVMON.EXE
C:\WINDOWS\system32\ctfmon.exe
E:\Program Files\System Safety Monitor\SYSSAFE.exe
K:\工具类\装机必备\HijaclThis\ha_hijackthis_1991\HijackThis.exe

O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "E:\Program Files\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [RavTimer] E:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] E:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SystemSafetyMonitor] E:\Program Files\System Safety Monitor\SYSSAFE.exe
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/aliedit.cab
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ic32pp - {BBCA9F81-8F4F-11D2-90FF-0080C83D3571} - C:\WINDOWS\wc98pp.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\System32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\System32\wiascr.dll
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - e:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising - E:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - E:\PROGRAM FILES\RISING\RAV\Ravmond.exe

最后编辑2005-12-04 19:47:25
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-04 08:26 | 短消息 资料
字号: 2楼

【回复“oioio486”的帖子】
已经见到绕过HijackThis扫描的灰鸽子。
杀软报告的病毒文件路径?
gototop
 
oioio486
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2005-12-03
  • 来自:
发表于: 2005-12-04 09:12 | 只看楼主 短消息 资料
字号: 3楼

引用:
【baohe的贴子】【回复“oioio486”的帖子】
已经见到绕过HijackThis扫描的灰鸽子。
杀软报告的病毒文件路径?
...........................

最早发现是:  C:\WINDOWS\cdll32Key.DLL
我将此上报瑞星,后接到瑞星的邮件,并按其方法手工删除的.可这两天感到速度有些慢.并且SSM总提示以下程序C:\WINDOWS\SYSTEM32\wbem\wmiprvse.exe连接网络.我只是临时禁止了.
gototop
 
独孤豪侠
头像
横据古稀狮
  • 帖子:11896
  • 注册: 2005-08-10
  • 来自:花果山
发表于: 2005-12-04 09:21 | 短消息 资料
字号: 4楼

C:\WINDOWS\cdll32Key.exe你电脑里应该还有这个文件吧
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2005-12-04 09:23 | 短消息 资料
字号: 5楼

【回复“oioio486”的帖子】
1、打开注册表编辑器,搜索包含 C:\WINDOWS\cdll32.exe的注册表项,找到后,删除其对应的注册表键(在左栏中)。
2、重启系统。
3、显示隐藏文件,找到并删除C:\WINDOWS\cdll32.exe、cdll32.dll、cdll32_hook.dll、cdll32Key.dll等木马文件。
gototop
 
oioio486
头像
初生襁褓狮
  • 帖子:4
  • 注册: 2005-12-03
  • 来自:
发表于: 2005-12-04 09:49 | 只看楼主 短消息 资料
字号: 6楼

【回复“baohe”的帖子】
这些已经做了.现在所有带cdll32的文件一个都找不到(包括注册表中).但是我总感觉有些不对,连鼠标的指针也和以前不同,总是闪来闪去的变成一个竖棍棒.还有在打开有图片的文件夹非常慢,且CPU占用100%很长时间(在打开图片文件夹时).

另外,你上面说的"已经见到绕过HijackThis扫描的灰鸽子。"是不是说可能有没查到的?
gototop
 
反黑进行到底
头像
初生襁褓狮
  • 帖子:17
  • 注册: 2005-12-04
  • 来自:
发表于: 2005-12-04 19:47 | 短消息 资料
字号: 7楼

太可怕了。版主们要努力帮我们顶住他们啊。
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT