WNSO.exe等流氓的问题（附瑞星卡卡3.1扫描日志） - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 WNSO.exe等流氓的问题（附瑞星卡卡3.1扫描日志）

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

WNSO.exe等流氓的问题（附瑞星卡卡3.1扫描日志）

断点续传初生襁褓狮帖子:45 注册: 2006-01-19 来自:	发表于： 2006-12-19 08:49 \| 只看楼主短消息资料字号：小中大 1楼 WNSO.exe等流氓的问题（附瑞星卡卡3.1扫描日志） ogfile of Kaka v2. 0. 2. 5 Scan Module v1. 0. 3. 6 Scan saved at 08:33:38, on 2006-12-19 Platform: Microsoft Windows XP Professional (Build 2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000 (xpclient.010817-1148)) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=http://www.gochina.cn R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=http://www.google.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar=http://www.google.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=http://www.google.com/ O1 - Hosts: 222.208.183.175 www.kirinkwy.com.cn O1 - Hosts: 222.208.183.175 www.wg77169.cn O1 - Hosts: 222.208.183.175 kirinkwy.com.cn O2 - BHO: Thunder Browser Helper - {39F7E360-828A-4B5A-BCAF-5B79BFDFEA60} - D:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_006.dll O2 - BHO: BitComet Helper - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - E:\Program Files\BitComet\tools\BitCometBHO.dll O2 - BHO: (file missing) O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\kakatool.dll O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system O4 - HKLM\..\Run: [runeip] C:\Program Files\Rising\AntiSpyware\runiep.exe O4 - HKLM\..\Run: [stup.exe] C:\PROGRA~1\TENCENT\Adplus\stup.exe O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE O4 - HKLM\..\RunOnce: [KKDelay] C:\Program Files\Rising\AntiSpyware\RunOnce.exe O4 - Startup: desktop.ini = O4 - Global Startup: desktop.ini = O4 - Global Startup: WNSO.lnk = C:\Program Files\Common Files\RGGZS\WNSO.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &使用BitComet下载 - res://E:\Program Files\BitComet\BitComet.exe/AddLink.htm O8 - Extra context menu item: &使用迅雷下载 - D:\Program Files\Thunder Network\Thunder\Program\geturl.htm O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Program Files\Thunder Network\Thunder\Program\getallurl.htm O9 - Extra Button: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - D:\Program Files\Thunder Network\Thunder\Thunder.exe O9 - Extra 'Tools' menuitem: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - D:\Program Files\Thunder Network\Thunder\Thunder.exe O11 - Options group: [TBH] 搜搜地址栏搜索 O14 - IERESET.INF: START_PAGE_URL=about:blank O16 - DPF: {05C1004E-2596-48E5-8E26-39362985EEB9} (MMCPlayer Class) - http://p3p.sogou.com/MMCShell.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9E01F977-13FD-4650-AF9A-6B0D32109A63}: NameServer = 192.168.0.1 O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll O18 - Protocol: cdl - {3dd53d40-7b8b-11D0-b013-00aa0059ce02} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\System32\msvidctl.dll O18 - Protocol: file - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: ftp - {79eac9e3-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: gopher - {79eac9e4-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: http - {79eac9e2-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: https - {79eac9e5-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: ipp - (no CLSID) - (no file) O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: local - {79eac9e7-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: mailto - {3050f3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll O18 - Protocol: mhtml - {05300401-BCBC-11d0-85E3-00C04FD85AB4} - C:\WINDOWS\System32\inetcomm.dll O18 - Protocol: mk - {79eac9e6-baf9-11ce-8c82-00aa004ba90b} - C:\WINDOWS\system32\urlmon.dll O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll O18 - Protocol: msdaipp - (no CLSID) - (no file) O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\System32\mshtml.dll O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\System32\msvidctl.dll O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll O18 - Protocol: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\System32\wiascr.dll O20 - Winlogon Notify: reset5 O23 - Service: C-DillaCdaC11BA (C-DillaCdaC11BA) - Macrovision - C:\WINDOWS\System32\drivers\cdac11ba.exe O23 - Service: Human Interface Device Access (HidServ) - - C:\WINDOWS\System32\svchost.exe -k netsvcs O23 - Service: Reset 5 (Reset 5) - - C:\WINDOWS\System32\srvany.exe O23 - Service: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\CCenter.exe" O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - "C:\Program Files\Rising\Rav\Ravmond.exe"[font_color=#0] 2006-12-22 16:00:30
断点续传初生襁褓狮帖子:45 注册: 2006-01-19 来自:	分享到：

断点续传初生襁褓狮帖子:45 注册: 2006-01-19 来自:	发表于： 2006-12-19 08:55 \| 只看楼主短消息资料字号：小中大 2楼红色以及下划线部分为本人纳闷之处附言：瑞星卡卡扫描流氓软件认为：“恭喜您，您的计算机中暂时没有发现恶意及流氓软件。”
断点续传初生襁褓狮帖子:45 注册: 2006-01-19 来自:

断点续传初生襁褓狮帖子:45 注册: 2006-01-19 来自:	发表于： 2006-12-19 09:04 \| 只看楼主短消息资料字号：小中大 3楼在线等，请高手帮忙
断点续传初生襁褓狮帖子:45 注册: 2006-01-19 来自:

海生社区嘉宾帖子:21060 注册: 2003-12-06 来自:元老院	发表于： 2006-12-19 09:17 \| 短消息资料字号：小中大 4楼那些软件你用HjackThis扫描之后直接选中然后修复
海生社区嘉宾帖子:21060 注册: 2003-12-06 来自:元老院

长空一长箭叱咤花甲狮帖子:5702 注册: 2006-06-27 来自:	发表于： 2006-12-19 09:18 \| 短消息资料字号：小中大 5楼用windows清理助手试试，查杀原理看看 http://forum.ikaka.com/topic.asp?board=36&artid=8219563
长空一长箭叱咤花甲狮帖子:5702 注册: 2006-06-27 来自:

初生襁褓狮

帖子:45
注册: 2006-01-19
来自:

发表于： 2006-12-22 11:12 | 只看楼主 短消息资料

字号：小中大 6楼

引用:

【海生的贴子】那些软件你用HjackThis扫描之后直接选中然后修复
………………

呵呵
不管用。。。。。。

gototop

ltww 初生襁褓狮帖子:2 注册: 2006-12-22 来自:	发表于： 2006-12-22 16:09 \| 短消息资料字号：小中大 7楼今天中了这个“软告工作室”(万能搜索--WNSO)，删也删不掉，瑞星卡卡也报无流氓软件，上网找了许久，找到个“windows清理助手“，还不错，一下清除干净了。下面是我在网上查到的资料，也许对大家有一点帮助：最近出现一种恶意软件“软告工作室”，是包括驱动和系统服务的流氓软件，中毒会关闭主流杀软，会从网上下载木马病毒。市面的主要查杀流氓软件的工具如卡卡助手，360安全卫士，超级兔子（都是最新的病毒特征库）都不能查杀，无奈之举，只能自己试试手动删除。以下是手动删除中，总结的部分操作流程，如有遗漏，请跟帖告诉我，谢谢！工具：sreng2.0。中毒症状：瑞星防火墙和杀毒软件symantec服务被删除，系统变慢，上不了网页等大家需要注意几个地方： 1：开始—程序---启动---WNSO.lnk 2：c:\program files\common files\RGGZS 3：显示隐藏系统文件，c:\documents and settings\个人帐户\Templates\da0fas5目录，该目录下包含了a.dll，b.dll，c.dll，其属性注释描述为软告工作室。 4：c:\winnt(版本为2000)\system32\drivers目录下：font.sys，rd.sys，roreg.sys；md.sys（另外有bkexxg29.sys和hhfrwr2.sys，不知道是不是其驱动，如清楚，请告知） 5：c:\winnt\system32目录下的reporter.dll，wmpkn.dll 6：win32服务应用程序。删除步骤：启动在安全模式下 1：打开sreng2.0--启动项目--注册表，把不必要的启动删除，记住正常的WinlogonNotify的项目 2：停止win32服务应用程序：打开sreng2.0--启动项目--服务--win32服务应用程序—勾上隐藏已认证的微软项目—找到（not verified 或 N/A）Microsoft corporation的项，右键stop停止（注意部分正常程序会出现not verified或N/A，如SQL相关服务，ASP.NET，Macromedia等，不需要停止）。当然也可在控制面板—管理工具—服务关闭相关项目。 3：停止并删除驱动：这是删除软告工作室的关键一步，很多人删除不了软告工作室是因为没有先停止其驱动，再删除驱动文件。在开始—运行—输入 “devmgmt.msc”打开设备管理器—查看—显示隐藏的设备—非即插即用驱动程序，找到font.sys，rd.sys，roreg.sys； md.sys等文件右键停用驱动。重启电脑至安全模式下，卸载以上四个驱动，在c:\winnt\system32\drivers目录下，删除 font.sys，rd.sys，roreg.sys；md.sys。 4：再打开sreng2.0--启动项目—注册表—查看WinlogonNotify有没有多出来的项，删除该项并删除文件。（删除的时候没有记录下来是哪些项） 5：开始运行—输入“regedit”打开注册表，选中我的电脑—编辑—查找—输入reporter.dll，wmpkn.dll，查找下一个至删除所有找到的整个项目。 6：删除开始—程序---启动--- WNSO.lnk。 7：再次重启电脑至安全模式下：显示隐藏系统文件，c:\documents and settings\个人帐户\Templates\da0fas5目录，删除该da0fas5目录，删除c:\program files\common files\RGGZS目录。 “软告工作室”(万能搜索--WNSO)确是近期最强悍的病毒（流氓软件），偶曾试过手工查杀，但由于水平有限，驱动没有删除干净，用了7、8种强制删除工具也无法删除病毒文件。最后用windows清理助手才解决问题。windows清理助手是目前最强大的流氓软件清除工具，好象是由一些高手自发组织起来开发的。绿色版本，无需安装。我一直很奇怪，为什么这么强大的软件却没有获得与其相称的知名度。其实，前一段时间为害广泛的“飞雪”，还有个什么就是 windows清理助手最先提供查杀的，而且清理得彻底、干净。以下是其下载主页：http://www.arswp.com/
ltww 初生襁褓狮帖子:2 注册: 2006-12-22 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT