瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 熊猫 图表没变 GHO文件被删 注册表打不开^^^^^^^

123   1  /  3  页   跳转

熊猫 图表没变 GHO文件被删 注册表打不开^^^^^^^

收藏
绝对自由
头像
初生襁褓狮
  • 帖子:42
  • 注册: 2004-10-29
  • 来自:
发表于: 2006-12-31 12:55 | 只看楼主 短消息 资料
字号: 1楼

熊猫 图表没变 GHO文件被删 注册表打不开^^^^^^^

农夫的专杀没找到
超级巡警之熊猫烧香病毒专杀1.4也没找到
程序都打不开
在安全模式下有些能打开有些打不开
最后编辑2006-12-31 16:26:12.827000000
分享到:
gototop
 
最爱烤鸽子
头像
初生襁褓狮
  • 帖子:35
  • 注册: 2006-12-29
  • 来自:
发表于: 2006-12-31 13:02 | 短消息 资料
字号: 2楼

置顶农夫专杀
gototop
 
安全防卫
头像
飘泊而立狮
  • 帖子:699
  • 注册: 2006-01-14
  • 来自:
发表于: 2006-12-31 13:08 | 短消息 资料
字号: 3楼

扫日志上来.
gototop
 
绝对自由
头像
初生襁褓狮
  • 帖子:42
  • 注册: 2004-10-29
  • 来自:
发表于: 2006-12-31 13:13 | 只看楼主 短消息 资料
字号: 4楼

Logfile of HijackThis v1.99.1
Scan saved at 13:01:22, on 2006-12-31
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Colorful SmartVGA\Colordesk.exe
C:\WINDOWS\system32\drivers\spoclsv.exe
C:\WINDOWS\system32\sistray.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\maoxiandao.exe
C:\WINDOWS\system32\cimemli.exe
I:\Downloads\ha_hijackthis_1991\HijackThis.exe

O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\kakatool.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [fzg] C:\Program Files\Config\svhost32.exe
O4 - HKLM\..\Run: [cimemli] C:\WINDOWS\system32\cimemli.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [colorful] C:\Program Files\Colorful SmartVGA\Colordesk.exe
O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\spoclsv.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: 使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: 使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.tomatolei.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E26FAF0-C919-4CC5-BA59-8430FF10CCA1}: NameServer = 202.96.69.38
O17 - HKLM\System\CS1\Services\Tcpip\..\{4E26FAF0-C919-4CC5-BA59-8430FF10CCA1}: NameServer = 202.96.69.38
O17 - HKLM\System\CS2\Services\Tcpip\..\{4E26FAF0-C919-4CC5-BA59-8430FF10CCA1}: NameServer = 202.96.69.38
gototop
 
绝对自由
头像
初生襁褓狮
  • 帖子:42
  • 注册: 2004-10-29
  • 来自:
发表于: 2006-12-31 13:21 | 只看楼主 短消息 资料
字号: 5楼

在线等^^^
gototop
 
绝对自由
头像
初生襁褓狮
  • 帖子:42
  • 注册: 2004-10-29
  • 来自:
发表于: 2006-12-31 13:41 | 只看楼主 短消息 资料
字号: 6楼

还生成desktop_.ini文件
图表变模糊
能找的专杀我都找了一个都不好用!!!!
gototop
 
栈道上的狼
头像
拙长孩提狮
  • 帖子:81
  • 注册: 2006-12-18
  • 来自:
发表于: 2006-12-31 13:46 | 短消息 资料
字号: 7楼

先删进程:
C:\WINDOWS\system32\drivers\spoclsv.exe
然后清理:
O4 - HKLM\..\Run: [fzg] C:\Program Files\Config\svhost32.exe
O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\spoclsv.exe
再用专杀工具杀。
置顶有农夫的专杀,超级巡警的专杀地址http://killer.9i3g.cn/download/Pandakiller.rar
gototop
 
最爱烤鸽子
头像
初生襁褓狮
  • 帖子:35
  • 注册: 2006-12-29
  • 来自:
发表于: 2006-12-31 13:50 | 短消息 资料
字号: 8楼

级别低就是没人理……
gototop
 
afkp4e7
头像
叱咤花甲狮
  • 帖子:2684
  • 注册: 2006-12-01
  • 来自:
发表于: 2006-12-31 13:59 | 短消息 资料
字号: 9楼

C:\WINDOWS\maoxiandao.exe
冒险岛?
扫个http://www.kztechs.com/sreng/sreng2.zip
System Repair Engineer的日志
不是吓唬你病毒很难搞
发个样本给版主好更新专杀


下边是别人分析的
进程:
路径: E:\setup.exe
PID: 1972
用户名: 6A73C775C1434B6@iyciff
注册表群组: User AutoRun
对象:
注册表键: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
注册表值: svcshare
类型: REG_SZ
值: C:\WINDOWS\system32




进程:

路径: C:\WINDOWS\system32\services.exe
PID: 792
用户名: NT AUTHORITY@SYSTEM
信息: Services and Controller app (Microsoft Corporation)
注册表群组: Services
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters



进程:
路径: C:\WINDOWS\system32\services.exe
PID: 792
用户名: NT AUTHORITY@SYSTEM
信息: Services and Controller app (Microsoft Corporation)
注册表群组: Services
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Security



进程:
路径: C:\WINDOWS\system32\services.exe
PID: 792
用户名: NT AUTHORITY@SYSTEM
信息: Services and Controller app (Microsoft Corporation)
注册表群组: Services
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\wscsvc\Enum



进程:
路径: C:\WINDOWS\system32\services.exe
PID: 792
用户名: NT AUTHORITY@SYSTEM
信息: Services and Controller app (Microsoft Corporation)
注册表群组: Services
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\wscsvc




服务:\\? ? rity Center 移除 ? ? rity Center 已停止 (禁用) 2006-12-20 15:44:32



父级进程:
路径: E:\setup.exe
PID: 1972
用户名: 6A73C775C1434B6@iyciff
子级进程:
路径: C:\WINDOWS\system32\cmd.exe
信息: Windows Command Processor (Microsoft Corporation)
命令行:cmd.exe /c net share A$ /del /y




父级进程:
路径: E:\setup.exe
PID: 1972
用户名: 6A73C775C1434B6@iyciff
子级进程:
路径: C:\WINDOWS\system32\cmd.exe
信息: Windows Command Processor (Microsoft Corporation)
命令行:cmd.exe /c net share admin$ /del /y



父级进程:

路径: E:\setup.exe
PID: 1972
用户名: 6A73C775C1434B6@iyciff
子级进程:
路径: C:\WINDOWS\system32\cmd.exe
信息: Windows Command Processor (Microsoft Corporation)
命令行:cmd.exe /c net share admin$ /del /y



wl.exe

进程:
路径: C:\WINDOWS\wl.exe
PID: 1772
用户名: 6A73C775C1434B6@iyciff
注册表群组: Services
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv



进程:
路径: C:\WINDOWS\wl.exe
PID: 1772
用户名: 6A73C775C1434B6@iyciff
注册表群组: Services
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv
注册表值: Type
类型: REG_DWORD
值: 00000001


父级进程:
路径: E:\setup.exe
PID: 1972
用户名: 6A73C775C1434B6@iyciff
子级进程:
路径: C:\WINDOWS\wow.exe
命令行:C:\WINDOWS\wow.exe


进程:
路径: C:\WINDOWS\wl.exe
PID: 1772
用户名: 6A73C775C1434B6@iyciff
注册表群组: Services
对象:
注册表键: HKLM\SYSTEM\CurrentControlSet\Services\CelInDrv
注册表值: ImagePath
类型: REG_SZ
值: \??\C:\WINDOWS\system32\Drivers\CelInDriver.sys


进程:
路径: C:\WINDOWS\wl.exe
PID: 1772
驱动:
路径: C:\WINDOWS\system32\drivers\CelInDriver.sys




父级进程:
路径: E:\setup.exe
PID: 1972
用户名: 6A73C775C1434B6@iyciff
子级进程:
路径: C:\WINDOWS\mh.exe
命令行:C:\WINDOWS\mh.exe


进程:
路径: C:\WINDOWS\mh.exe
PID: 2348
驱动:
路径: C:\WINDOWS\system32\norton.sys


进程:
路径: C:\WINDOWS\wow.exe
PID: 2104
驱动:
路径: C:\WINDOWS\system32\drivers\CelInDriver.sys



进程:
路径: C:\Documents and Settings\Administrator\Local Settings\Temp\mh2\iexpl0re.EXE
PID: 2528
库文件:
路径: C:\Documents and Settings\Administrator\Local Settings\Temp\Mhgx.dll
挂钩类型:WH_MOUSE(监控鼠标).



进程:
路径: C:\WINDOWS\zt.exe
PID: 2600
用户名: 6A73C775C1434B6@iyciff
对象:
路径: C:\WINDOWS\explorer.exe
信息: Windows Explorer (Microsoft Corporation)
此项允许修改其它程序的虚拟内存,且可用以调整其它程序的性能。


进程:
路径: C:\WINDOWS\zt.exe
PID: 2600
驱动:
路径: C:\WINDOWS\system32\drivers\CelInDriver.sys



服务:\\WinXP DHCP Service 添加 WinXP DHCP Service 已停止 (自动) (系统) 2006-12-20 15:47:28
服务:\\Windows DHCP Service 添加 Windows DHCP Service 已停止 (自动) (系统) 2006-12-20 15:49:14
服务:\\Win32 DHCP Service 添加 Win32 DHCP Service 已停止 (自动) (系统) 2006-12-20 15:50:24


启动项会多出这两项:
iexpl0re.EXE
C:\WINDOWS\system32\drivers\spoclsv.exe

这是病毒加载的三个服务文件:
windhcp.dll
windhcp.ocx
xpdhcp.dll
gototop
 
最爱烤鸽子
头像
初生襁褓狮
  • 帖子:35
  • 注册: 2006-12-29
  • 来自:
发表于: 2006-12-31 14:06 | 短消息 资料
字号: 10楼

========Content========
C:\WINDOWS\maoxiandao.exe用winrar压缩发到mizukiuka@163.com
gototop
 
<<上一主题|下一主题>>
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT