12   1  /  2  页   跳转

似乎又是9505

收藏
老手冰凉
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-02-11
  • 来自:
发表于: 2007-02-11 10:13 | 只看楼主 短消息 资料
字号: 1楼

似乎又是9505

主页到是没变成9505 但是偶尔会弹出9505的网页。开始的时候 进www.360.com或者百度帖吧 地址都会被转向cn.yahoo.com,但是页面是百度的。host文件里有一堆地址,而且禁止修改、禁止删除。运行 360、瑞星卡卡都会自动关机,而且是 “您可以安全的关闭计算机了”。需手动关闭电源。进安全模式蓝屏。

  后来在网上找了个 9505的工具叫 9541_KickThemOut_v 杀了一遍。现在能进 360主页 能进百度帖吧。host文件也可以修改了。但是还是不能运行 360 和卡卡。

      注册表 HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow下有个 *.cn.yahoo.com 和 www.baidu.com 的键。删了又会自动生成。

  据说他是插入rundll32进程的,而且我的进程里有两个rundll32,我都结束之后 ,一会儿又会出现一个rundll32.exe进程。似乎还感染qq。但是不运行qq进行杀毒也没什么作用。

用netstat 查看 有个ip  219.139.58.106始终是sys_sent状态

瑞星病毒库现在已经是最新版本。
最后编辑2007-02-11 11:18:01
分享到:
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2007-02-11 10:17 | 短消息 资料
字号: 2楼

请下载SREng2(最新版) ,使用“智能扫描”,按下“扫描”按钮进行扫描,
扫描完成后按下“保存报告”按钮保存报告日志文件(SREng.LOG),把保存的报告
日志文件内容复制-粘贴上来,,日志一次粘不完,分次粘完,请不要修改。

下载地址
http://free5.ys168.com/?ufwihgu168
http://www.kztechs.com/sreng/sreng2.zip


有可疑的病毒,请发到我的邮箱:TKS
gototop
 
老手冰凉
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-02-11
  • 来自:
发表于: 2007-02-11 10:18 | 只看楼主 短消息 资料
字号: 3楼

这么快 哈哈。
gototop
 
老手冰凉
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-02-11
  • 来自:
发表于: 2007-02-11 10:29 | 只看楼主 短消息 资料
字号: 4楼

一运行sreng2就关机。。。。
gototop
 
老手冰凉
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-02-11
  • 来自:
发表于: 2007-02-11 10:43 | 只看楼主 短消息 资料
字号: 5楼

蓝天同学来看看呗
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2007-02-11 10:49 | 短消息 资料
字号: 6楼

引用:
【老手冰凉的贴子】蓝天同学来看看呗
………………




我们熟嘛!别吓我呀!好歹我们同学没几知道知道我在这里面,跟他们谈起来,丢人呀!


你把SRENG.EXE更改为:SRE.COM,再运行,不行的话,下载个HIJACKTHIS1.99.1扫描,对付病毒挺管用的,
gototop
 
老手冰凉
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-02-11
  • 来自:
发表于: 2007-02-11 10:56 | 只看楼主 短消息 资料
字号: 7楼

那就先发个这个。你放心 我会替你保密的  挖哈哈。


Logfile of HijackThis v1.99.1
Scan saved at 10:41:22, on 2007-2-11
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [runeip] C:\Program Files\Rising\AntiSpyware\runiep.exe
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\q\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用网际快车下载 - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\q\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\q\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\q\QQ\SendMMS.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) - https://www.sz1.cmbchina.com/download/CMBEdit.cab
O16 - DPF: {A3CD7F74-93C9-4BC4-B892-CCDF1514F714} (Submit Class) - https://pbank.95559.com.cn/personbank/ocx/safe.cab
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://password.qq.com/download/qqedit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{42EE29EB-4008-4079-8884-6ACFE01BB180}: NameServer = 202.99.96.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{42EE29EB-4008-4079-8884-6ACFE01BB180}: NameServer = 202.99.96.68
O17 - HKLM\System\CS2\Services\Tcpip\..\{42EE29EB-4008-4079-8884-6ACFE01BB180}: NameServer = 202.99.96.68
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINNT\
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Rising Proxy  Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2007-02-11 11:00 | 短消息 资料
字号: 8楼

日志正常


你到安全模式下给我扫描一份SRENG


我们是同学,郁闷中...............


好歹也提示一下,只不过看你刚才回复的,呵呵!好像还不认识我呢?
gototop
 
老手冰凉
头像
初生襁褓狮
  • 帖子:7
  • 注册: 2007-02-11
  • 来自:
发表于: 2007-02-11 11:03 | 只看楼主 短消息 资料
字号: 9楼

改成.com也关机。根本就进不了安全模式。
别害pia  。俺不认识你。。挖哈哈。
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2007-02-11 11:11 | 短消息 资料
字号: 10楼

引用:
【老手冰凉的贴子】改成.com也关机。根本就进不了安全模式。
别害pia  。俺不认识你。。挖哈哈。
………………



关于进入不了安全模式,看一下这个贴子:

http://forum.ikaka.com/topic.asp?board=36&artid=8215385


认识我,是不是真的哦!能不能给点提示,比如多少班,在哪读书,你现在在哪,总得提示一下,好歹也不要让我猜得出一头汗水,
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT