1   1  /  1  页   跳转

求助~谢谢各位高手

收藏
吉祥财神
头像
健康舞勺狮
  • 帖子:206
  • 注册: 2006-07-12
  • 来自:
发表于: 2006-07-25 14:45 | 只看楼主 短消息 资料
字号: 1楼

求助~谢谢各位高手

扫描类型: 实时防护 扫描
事件: 已发现病毒!
病毒名称: Backdoor.Darkmoon
文件: C:\WINDOWS\System32\asdwwpeh.drv
位置:C:\WINDOWS\System32
采用的操作:清除 失败 : 隔离 失败 : 拒绝访问
发现的日期: 2006年7月25日  14:34:38


这个东西老是弹出来没办法删掉,请问各位高手如何解决?
最后编辑2006-07-25 15:47:05
分享到:
gototop
 
mopery
头像
卡卡技术团队
  • 帖子:17737
  • 注册: 2005-12-06
  • 来自:New York
卡卡名人堂论坛9周年纪念
发表于: 2006-07-25 14:48 | 短消息 资料
字号: 2楼

http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下载HijackThis...把日志帖上来..
gototop
 
吉祥财神
头像
健康舞勺狮
  • 帖子:206
  • 注册: 2006-07-12
  • 来自:
发表于: 2006-07-25 14:48 | 只看楼主 短消息 资料
字号: 3楼

C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\LSASS.exe
\Data-server\H\Hijackthis1991zww\HijackThis1991zww.exe

O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\MU\QQ\QQIEHelper.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe
O4 - 启动项HKLM\\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\MU\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AEB7C31-3F14-4B9F-8627-19D400868EA8}: NameServer = 61.29.201.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AEB7C31-3F14-4B9F-8627-19D400868EA8}: NameServer = 61.29.201.114
O17 - HKLM\System\CS2\Services\Tcpip\..\{0AEB7C31-3F14-4B9F-8627-19D400868EA8}: NameServer = 61.29.201.114
O17 - HKLM\System\CS3\Services\Tcpip\..\{0AEB7C31-3F14-4B9F-8627-19D400868EA8}: NameServer = 61.29.201.114
O20 - AppInit_DLLs: KB205910M.LOG
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - NT 服务: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
gototop
 
吉祥财神
头像
健康舞勺狮
  • 帖子:206
  • 注册: 2006-07-12
  • 来自:
发表于: 2006-07-25 14:52 | 只看楼主 短消息 资料
字号: 4楼

HijackThis_815汉化版扫描日志 V1.99.1
保存于      14:42:44 上午, 日期 2006-7-25
操作系统:  Windows XP SP1 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\LSASS.exe
\Data-server\H\Hijackthis1991zww\HijackThis1991zww.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE

O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\MU\QQ\QQIEHelper.dll (file missing)
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe
O4 - 启动项HKLM\\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\MU\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {F138084D-84D7-48CD-BEA8-04772457516E} (VqqSpeedDlProxy Class) - http://218.85.138.27/vqqsdl1009.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0AEB7C31-3F14-4B9F-8627-19D400868EA8}: NameServer = 61.29.201.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{0AEB7C31-3F14-4B9F-8627-19D400868EA8}: NameServer = 61.29.201.114
O17 - HKLM\System\CS2\Services\Tcpip\..\{0AEB7C31-3F14-4B9F-8627-19D400868EA8}: NameServer = 61.29.201.114
O17 - HKLM\System\CS3\Services\Tcpip\..\{0AEB7C31-3F14-4B9F-8627-19D400868EA8}: NameServer = 61.29.201.114
O18 - 列举现有的协议: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - 列举现有的协议: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - C:\Program Files\Common Files\Microsoft Shared\Web Folders\PKMCDO.DLL
O18 - 列举现有的协议: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\System32\msvidctl.dll
O18 - 列举现有的协议: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: ipp - (no CLSID) - (no file)
O18 - 列举现有的协议: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
O18 - 列举现有的协议: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - 列举现有的协议: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - 列举现有的协议: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\System32\inetcomm.dll
O18 - 列举现有的协议: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - 列举现有的协议: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\System32\itss.dll
O18 - 列举现有的协议: msdaipp - (no CLSID) - (no file)
O18 - 列举现有的协议: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\10\OWC10.DLL
O18 - 列举现有的协议: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - 列举现有的协议: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\System32\mshtml.dll
O18 - 列举现有的协议: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\System32\msvidctl.dll
O18 - 列举现有的协议: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\System32\mshtml.dll
O18 - 列举现有的协议: vnd.ms.radio - {3DA2AA3B-3D96-11D2-9BD2-204C4F4F5020} - C:\WINDOWS\System32\msdxm.ocx
O18 - 列举现有的协议: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\System32\wiascr.dll
O20 - AppInit_DLLs: KB205910M.LOG
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - NT 服务: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-07-25 14:53 | 短消息 资料
字号: 5楼

【回复“吉祥财神”的帖子】
O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe
用HijackThis修复这项。
重启。
删除C:\WINDOWS\LSASS.exe和 C:\WINDOWS\System32\asdwwpeh.drv。
如果HijackThis不能修复上述项目,自己打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SPFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\Run,删除右栏中的 ToP。
然后再重启系统、删除C:\WINDOWS\LSASS.exe和 C:\WINDOWS\System32\asdwwpeh.drv。
gototop
 
吉祥财神
头像
健康舞勺狮
  • 帖子:206
  • 注册: 2006-07-12
  • 来自:
发表于: 2006-07-25 14:55 | 只看楼主 短消息 资料
字号: 6楼

好的,谢谢了~感激不尽
gototop
 
吉祥财神
头像
健康舞勺狮
  • 帖子:206
  • 注册: 2006-07-12
  • 来自:
发表于: 2006-07-25 15:26 | 只看楼主 短消息 资料
字号: 7楼

【回复“baohe”的帖子】
大侠~我已经用HijackThis修复O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe这项,重起后没办法删除C:\WINDOWS\LSASS.exe;我又进到注册表删掉TOP后重起还是没办法删除,而且我在C:\WINDOWS\System32\中没有发现asdwwpeh.drv  看来要继续麻烦您了~!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-07-25 15:29 | 短消息 资料
字号: 8楼

引用:
【吉祥财神的贴子】【回复“baohe”的帖子】
大侠~我已经用HijackThis修复O4 - 启动项HKLM\\Run: [ToP] C:\WINDOWS\LSASS.exe这项,重起后没办法删除C:\WINDOWS\LSASS.exe;我又进到注册表删掉TOP后重起还是没办法删除,而且我在C:\WINDOWS\System32\中没有发现asdwwpeh.drv  看来要继续麻烦您了~!
...........................

自己打开注册表编辑器,展开HKEY_LOCAL_MACHINE\SPFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\Run,看看右栏中是否还有 ToP。如果有——删除!
重启。再删除C:\WINDOWS\LSASS.exe。
gototop
 
yanmings
头像
锋芒艾服狮
  • 帖子:1698
  • 注册: 2005-01-10
  • 来自:
发表于: 2006-07-25 15:54 | 短消息 资料
字号: 9楼

问下版主,这个C:\WINDOWS\LSASS.exe为什么你给的处理那么简单呢?我看到你曾经写过关于它的贴子,处理很复杂呀
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT