123   1  /  3  页   跳转

Trojan.DL.Diyer.a谢M!!!

收藏
deathunter
头像
初生襁褓狮
  • 帖子:19
  • 注册: 2003-11-25
  • 来自:
发表于: 2006-07-20 16:24 | 只看楼主 短消息 资料
字号: 1楼

Trojan.DL.Diyer.a谢M!!!

这个木马病毒为什么总是删不掉,是在C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper里的2022程序中发现的!!!在瑞星的病毒库里没找到阿,请问是否是它导致不断弹出窗口???谢谢
最后编辑2006-07-25 17:08:04.153000000
分享到:
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-07-20 16:42 | 短消息 资料
字号: 2楼

http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下载HijackThis...把日志帖上来..

扫个日志看看..
gototop
 
deathunter
头像
初生襁褓狮
  • 帖子:19
  • 注册: 2003-11-25
  • 来自:
发表于: 2006-07-20 16:54 | 只看楼主 短消息 资料
字号: 3楼

引用:
【mopery的贴子】http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下载HijackThis...把日志帖上来..

扫个日志看看..
...........................


感谢!
HijackThis@Qoo的扫描日志  V1.97.7
Scan saved at 16:45:01, on 2006-07-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
c:\program files\rising\rfw\rfwsrv.exe
C:\Program Files\Rising\Rfw\RfwMain.exe
C:\WINDOWS\system32\SafeSignCertReg.exe
C:\WINDOWS\system32\Client.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Microsoft Office\Office\EXCEL.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\ONTIME6th\桌面\hijackthis1.97_qoo\HijackThis.exe

O2 - BHO: (no name) - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\PROGRA~1\DESKAD~1\deskipn.dll
O2 - BHO: (no name) - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_4611.dll
O2 - BHO: (no name) - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108}? - (no file)
O3 - Toolbar: ????? - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CertificateRegistration] SafeSignCertReg.exe
O4 - HKLM\..\Run: [MoveSearch] C:\Program Files\HuaCi\huaci\zsearch.exe
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [MenuOrder] C:\Program Files\ICBCPe~1\ICBC\BHDC(Personal)\MenuOrder\MenuOrder.exe
O4 - HKLM\..\Run: [System] C:\WINDOWS\system32\Client.exe
O4 - HKLM\..\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\..\Run: [Desktop] C:\WINDOWS\system32\rundll32.exe "C:\Program Files\DeskAdTop\Run.dll" ,Rundll
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: 1152537770-USBMOT2000.INF
O4 - Startup: 1152537770-USBMOT2000.PNF
O4 - Startup: 1152537770-USB_A668_2000.INF
O4 - Startup: 1152537770-USB_A668_2000.PNF
O4 - Startup: Clear_HDD
O4 - Startup: Motorola_Driver_Log.txt
O4 - Startup: ntuser.dat
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: option.local
O4 - Startup: USBMOT2000.INF
O4 - Startup: USBMOT2000XP.INF
O4 - Startup: usbsermpt.sys
O4 - Startup: usbsermptxp.sys
O4 - Startup: USB_CMCS_2000.INF
O4 - Global Startup: NTUSER.DAT
O4 - Global Startup: NTUSER.DAT.LOG
O10 - Unknown file in Winsock LSP: c:\windows\system32\cdnns.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.lenovo.com
O16 - DPF: {012F24D4-6A26-11D3-AA0F-0000E8212478} (WisImage Class) - http://www.artron.net/wisimage.dll
O16 - DPF: {072039AB-2117-4ED5-A85F-9B9EB903E021} - http://www.clubbox.co.kr/neo.fld/NowStarter.cab
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {3A4C8311-C151-4462-BDE9-F777ABEE0063} (InputPassWd Class) - https://www.chinastock.com.cn/webtrade/WebDll.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{373221E5-B40A-4D3B-8958-2A45AD6C741B}: NameServer = 202.99.8.1,211.154.46.80
O17 - HKLM\System\CS1\Services\Tcpip\..\{373221E5-B40A-4D3B-8958-2A45AD6C741B}: NameServer = 202.99.8.1,211.154.46.80
O17 - HKLM\System\CS2\Services\Tcpip\..\{373221E5-B40A-4D3B-8958-2A45AD6C741B}: NameServer = 202.99.8.1,211.154.46.80
gototop
 
deathunter
头像
初生襁褓狮
  • 帖子:19
  • 注册: 2003-11-25
  • 来自:
发表于: 2006-07-20 16:57 | 只看楼主 短消息 资料
字号: 4楼

瑞星听诊信息和这个是否一样,太大粘不上来阿!
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-07-20 16:59 | 短消息 资料
字号: 5楼

O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
需要用LSPFix 来修复..
LSPFix(汉化版) 下载地址:http://forum.ikaka.com/topic.asp?board=67&artid=5188931
(8楼...)
同时下载WinsockXPFix.exe...(2楼...)
----------------------------------------------------------------
先运行LSPFix ... 勾上 我确定要进行修复操作 ...
然后将quartz32.dll移到右边...点下完成...
----------------------------------------------------------------
如果在操作之后不能上网...请用WinsockXPFix.exe 修复一下即可...安全模式下..

修复
O2 - BHO: (no name) - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_4611.dll
O2 - BHO: (no name) - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108}? - (no file)
O4 - Startup: 1152537770-USBMOT2000.INF
O4 - Startup: 1152537770-USBMOT2000.PNF
O4 - Startup: 1152537770-USB_A668_2000.INF
O4 - Startup: 1152537770-USB_A668_2000.PNF
O4 - Startup: Clear_HDD
O4 - Startup: Motorola_Driver_Log.txt
O4 - Startup: ntuser.dat
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: option.local
O4 - Startup: USBMOT2000.INF
O4 - Startup: USBMOT2000XP.INF
O4 - Startup: usbsermpt.sys
O4 - Startup: usbsermptxp.sys
O4 - Startup: USB_CMCS_2000.INF
O4 - Global Startup: NTUSER.DAT
O4 - Global Startup: NTUSER.DAT.LOG
删除
C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_4611.dll
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-07-20 16:59 | 短消息 资料
字号: 6楼

并没有发现那个文件..
gototop
 
deathunter
头像
初生襁褓狮
  • 帖子:19
  • 注册: 2003-11-25
  • 来自:
发表于: 2006-07-20 17:16 | 只看楼主 短消息 资料
字号: 7楼

引用:
【mopery的贴子】并没有发现那个文件..
...........................

不能啊,每删一遍病毒都重新出现,客服说没删干净。

附件附件:

下载次数:295
文件类型:image/pjpeg
文件大小:
上传时间:2006-7-20 17:16:49
描述:
gototop
 
deathunter
头像
初生襁褓狮
  • 帖子:19
  • 注册: 2003-11-25
  • 来自:
发表于: 2006-07-20 17:18 | 只看楼主 短消息 资料
字号: 8楼

引用:
【mopery的贴子】O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\quartz32.dll
需要用LSPFix 来修复..
LSPFix(汉化版) 下载地址:http://forum.ikaka.com/topic.asp?board=67&artid=5188931
(8楼...)
同时下载WinsockXPFix.exe...(2楼...)
----------------------------------------------------------------
先运行LSPFix ... 勾上 我确定要进行修复操作 ...
然后将quartz32.dll移到右边...点下完成...
----------------------------------------------------------------
如果在操作之后不能上网...请用WinsockXPFix.exe 修复一下即可...安全模式下..

修复
O2 - BHO: (no name) - {16A770A0-0E87-4278-B748-2460D64A8386} - C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_4611.dll
O2 - BHO: (no name) - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108}? - (no file)
O4 - Startup: 1152537770-USBMOT2000.INF
O4 - Startup: 1152537770-USBMOT2000.PNF
O4 - Startup: 1152537770-USB_A668_2000.INF
O4 - Startup: 1152537770-USB_A668_2000.PNF
O4 - Startup: Clear_HDD
O4 - Startup: Motorola_Driver_Log.txt
O4 - Startup: ntuser.dat
O4 - Startup: ntuser.dat.LOG
O4 - Startup: ntuser.ini
O4 - Startup: option.local
O4 - Startup: USBMOT2000.INF
O4 - Startup: USBMOT2000XP.INF
O4 - Startup: usbsermpt.sys
O4 - Startup: usbsermptxp.sys
O4 - Startup: USB_CMCS_2000.INF
O4 - Global Startup: NTUSER.DAT
O4 - Global Startup: NTUSER.DAT.LOG
删除
C:\Documents and Settings\All Users\Application Data\Microsoft\IEHelper\IEHelper_4611.dll
...........................


内什么,看了有点晕,有没有给菜鸟的简单点的方法?要不只能等瑞星的回复邮件了
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-07-20 17:31 | 短消息 资料
字号: 9楼

进那个路径里 把那个文件删除掉看看..

上面那些IQ比较低的都能解决..
gototop
 
deathunter
头像
初生襁褓狮
  • 帖子:19
  • 注册: 2003-11-25
  • 来自:
发表于: 2006-07-20 17:49 | 只看楼主 短消息 资料
字号: 10楼

---------------------------
删除文件或文件夹时出错
---------------------------
无法删除 IEHelper_4611: 访问被拒绝。

请确定磁盘未满或未被写保护
而且文件未被使用。
---------------------------
确定 
---------------------------
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT