12   1  /  2  页   跳转

瑞星提取说像QQ病毒

收藏
永恒传说
头像
强壮不惑狮
  • 帖子:934
  • 注册: 2006-02-07
  • 来自:
发表于: 2006-07-10 11:38 | 只看楼主 短消息 资料
字号: 1楼

瑞星提取说像QQ病毒

我一直删连注册表多删了 文件全删就是删不掉 病毒已经打包 谁要帮我研究一下啊 留个油箱好吗
最后编辑2006-07-11 09:51:07
分享到:
gototop
 
永恒传说
头像
强壮不惑狮
  • 帖子:934
  • 注册: 2006-02-07
  • 来自:
发表于: 2006-07-10 11:40 | 只看楼主 短消息 资料
字号: 2楼

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      11:31:16, 日期 2006-7-10
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system\ciozpyfau.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Adobe\Photoshop 7.0\Photoshop.exe
C:\Program Files\Corel\Graphics9\Programs\coreldrw.exe
C:\Program Files\Internet Explorer\iexplore.exe
F:\杂乱\杀毒工具\HijackThis1991zww.exe

O2 - BHO: (no name) - {0C7C23EF-A848-485B-873C-0ED954731014}? - (no file)
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [SoundMan] SOUNDMAN.EXE
O4 - 启动项HKLM\\Run: [ciozpyfau.exe] C:\WINDOWS\system\ciozpyfau.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: EPSON Online Register.lnk = ?
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683}? - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AXSafeControls.cab
O16 - DPF: {C661F36D-DF85-4EF4-83C7-E107B83D04B1} (WebActivater Control) - http://dl_dir.qq.com/3dshow/3DShowVM.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4DFFE59B-B370-4935-9318-BBA0F3371305}: NameServer = 202.101.107.55,202.101.98.55
O17 - HKLM\System\CS1\Services\Tcpip\..\{4DFFE59B-B370-4935-9318-BBA0F3371305}: NameServer = 202.101.107.55,202.101.98.55
O17 - HKLM\System\CS2\Services\Tcpip\..\{4DFFE59B-B370-4935-9318-BBA0F3371305}: NameServer = 202.101.107.55,202.101.98.55
O23 - NT 服务: Kingsoft Personal Firewall Service (KPfwSvc) - Unknown owner - C:\KAV2006\KPfwSvc.EXE (file missing)
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-07-10 12:07 | 短消息 资料
字号: 3楼

【回复“永恒传说”的帖子】
C:\WINDOWS\system\ciozpyfau.exe——打包,加密(解压密码用virus),发到:baohelin@yahoo.com.cn
gototop
 
710207
头像
叱咤花甲狮
  • 帖子:2341
  • 注册: 2006-02-06
  • 来自:
发表于: 2006-07-10 12:38 | 短消息 资料
字号: 4楼

修复
O2 - BHO: (no name) - {0C7C23EF-A848-485B-873C-0ED954731014}? - (no file)
gototop
 
710207
头像
叱咤花甲狮
  • 帖子:2341
  • 注册: 2006-02-06
  • 来自:
发表于: 2006-07-10 12:41 | 短消息 资料
字号: 5楼

引用:
【baohe的贴子】【回复“永恒传说”的帖子】
C:\WINDOWS\system\ciozpyfau.exe——打包,加密(解压密码用virus),发到:baohelin@yahoo.com.cn
...........................

ciozpyfau.exe是一个木马......
gototop
 
永恒传说
头像
强壮不惑狮
  • 帖子:934
  • 注册: 2006-02-07
  • 来自:
发表于: 2006-07-10 13:30 | 只看楼主 短消息 资料
字号: 6楼

ciozpyfau.exe是QQ木马好象  但就是删不掉 删了重起2次左右又出现 哎 郁闷 baohelin@yahoo.com.cn
已经发了 不知道为什么加密不了  所以就没加了
gototop
 
我无邪
头像
高贵耄耋狮
  • 帖子:20720
  • 注册: 2004-06-10
  • 来自:广西玉林
发表于: 2006-07-10 13:45 | 短消息 资料
字号: 7楼

请下载 System Repair Engineer,使用“智能扫描”,按下“扫描”按钮进行扫描,扫描完成后按下“保存报告”按钮保存报告日志文件(SREng.LOG),把保存的报告日志文件内容复制-粘贴上来
下载网址
http://www.kztechs.com/sreng/sreng2.zip
http://forum.ikaka.com/topic.asp?board=67&artid=5188931
日志一次粘不完,分次粘完,请不要修改。
gototop
 
永恒传说
头像
强壮不惑狮
  • 帖子:934
  • 注册: 2006-02-07
  • 来自:
发表于: 2006-07-11 09:53 | 只看楼主 短消息 资料
字号: 8楼

不得了真删不掉 删了重起3次左右 又出现 BAOHE邮件有收到吗帮我看下 谢谢
gototop
 
永恒传说
头像
强壮不惑狮
  • 帖子:934
  • 注册: 2006-02-07
  • 来自:
发表于: 2006-07-11 09:56 | 只看楼主 短消息 资料
字号: 9楼

好久没得病毒,没想到一得 哎 麻烦 有什么专杀工具吗
gototop
 
永恒传说
头像
强壮不惑狮
  • 帖子:934
  • 注册: 2006-02-07
  • 来自:
发表于: 2006-07-11 09:58 | 只看楼主 短消息 资料
字号: 10楼

未知家族病毒分析
扫描结果:
C:\WINDOWS\system\ciozpyfau.exe --> 与 Trojan.QQ.Boker 100%相似.


系统活动进程
C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\ALG.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\PROGRAM FILES\ADOBE\PHOTOSHOP 7.0\PHOTOSHOP.EXE
F:\杂乱\杀毒工具\RSDETECT.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\SYSTEM\CIOZPYFAU.EXE
C:\WINDOWS\SYSTEM32\CTFMON.EXE
C:\PROGRAM FILES\COREL\GRAPHICS9\PROGRAMS\CORELDRW.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE

普通自启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
IMJPMIG8.1 = "C:\WINDOWS\IME\IMJP8_1\IMJPMIG.EXE" /SPOIL /REMADVDEF /MIGRATION32
PHIME2002ASync = C:\WINDOWS\SYSTEM32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A = C:\WINDOWS\SYSTEM32\IME\TINTLGNT\TINTSETP.EXE /IMENAME
SoundMan = SOUNDMAN.EXE
ciozpyfau.exe = C:\WINDOWS\SYSTEM\CIOZPYFAU.EXE

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ctfmon.exe = C:\WINDOWS\SYSTEM32\CTFMON.EXE


系统文件关联
.exe ==> exefile = "%1" %*
.com ==> comfile = "%1" %*
.cmd ==> cmdfile = "%1" %*
.bat ==> batfile = "%1" %*
.txt ==> txtfile = N0TEPAD.EXE %1
.scr ==> scrfile = "%1" /S
.reg ==> regfile = regedit.exe "%1"
.doc ==> Word.Document.8 = "C:\Program Files\Microsoft Office\Office\WINWORD.EXE" /n

其它启动项
WIN.INI
无信息

SYSTEM.INI
SHELL = Explorer.exe
SCRNSAVE.EXE = C:\WINDOWS\system32\ssmypics.scr


Winlogon 启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
crypt32chain = CRYPT32.DLL
cryptnet = CRYPTNET.DLL
cscdll = CSCDLL.DLL
ScCertProp = WLNOTIFY.DLL
Schedule = WLNOTIFY.DLL
sclgntfy = SCLGNTFY.DLL
SensLogn = WLNOTIFY.DLL
termsrv = WLNOTIFY.DLL
wlballoon = WLNOTIFY.DLL

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\WINDOWS\SYSTEM32\USERINIT.EXE,
shell = EXPLORER.EXE


IE - BHO
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
{0C7C23EF-A848-485B-873C-0ED954731014}? = 空


Winsock SPI
MSAFD Tcpip [TCP/IP] = C:\WINDOWS\SYSTEM32\MSWSOCK.DLL
MSAFD Tcpip [UDP/IP] = C:\WINDOWS\SYSTEM32\MSWSOCK.DLL
MSAFD Tcpip [RAW/IP] = C:\WINDOWS\SYSTEM32\MSWSOCK.DLL
RSVP UDP Service Provider = C:\WINDOWS\SYSTEM32\RSVPSP.DLL
RSVP TCP Service Provider = C:\WINDOWS\SYSTEM32\RSVPSP.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{E2769134-5438-488E-9EC6-AB9CE2848CDE}] SEQPACKET 3 = C:\WINDOWS\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{E2769134-5438-488E-9EC6-AB9CE2848CDE}] DATAGRAM 3 = C:\WINDOWS\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{4DFFE59B-B370-4935-9318-BBA0F3371305}] SEQPACKET 0 = C:\WINDOWS\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{4DFFE59B-B370-4935-9318-BBA0F3371305}] DATAGRAM 0 = C:\WINDOWS\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{C5AB1022-D1C7-4138-A052-09AAF1ADF3FA}] SEQPACKET 1 = C:\WINDOWS\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{C5AB1022-D1C7-4138-A052-09AAF1ADF3FA}] DATAGRAM 1 = C:\WINDOWS\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{BFBBD827-F8C0-4524-9CAA-C067BC828947}] SEQPACKET 2 = C:\WINDOWS\SYSTEM32\MSWSOCK.DLL
MSAFD NetBIOS [\Device\NetBT_Tcpip_{BFBBD827-F8C0-4524-9CAA-C067BC828947}] DATAGRAM 2 = C:\WINDOWS\SYSTEM32\MSWSOCK.DLL
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT