介个是扫的日志:
Logfile of HijackThis v1.99.1
Scan saved at 9:04:02, on 2006-8-6
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
c:\program files\rising\rfw\rfwsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Rising\Rav\RavStub.exe
c:\program files\rising\rfw\RfwMain.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
D:\Iparmor\Iparmor.exe
D:\Maxthon\maxthon.exe
c:\program files\rising\rfw\RfwCfg.exe
C:\WINDOWS\system32\svchost.exe
D:\ha_hijackthis_1991\HijackThis.exe
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\Thunder5.2.0.207迅雷\ComDlls\XunLeiBHO_002.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [RfwMain] "C:\Program Files\Rising\Rfw\rfwmain.exe" -Startup
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: &使用迅雷下载 - D:\Thunder5.2.0.207迅雷\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Thunder5.2.0.207迅雷\Program\GetAllUrl.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - D:\BitSpirit\bsurl.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\QQ\QQ.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{51AC51A9-7F00-48DF-9E05-20B2B3E47A02}: NameServer = 221.228.255.1 218.2.135.1
O20 - AppInit_DLLs: APIHookDll.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwproxy.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - c:\program files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe
大概描述一下:曾经误下过金山打字的软件,执行后发现有很多病毒。
瑞星升级后全盘杀了一下:下面是记录
Trojan.DL.Agent.kcd 删除成功 2006-08-05 11:24 定时扫描 C:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP21 A0009543.dll>>Unpack 本机
Trojan.Clicker.Agent.acw 删除成功 2006-08-05 11:24 定时扫描 C:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP21 A0009545.exe 本机
Trojan.Agent.djp 删除成功 2006-08-05 11:24 定时扫描 C:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP21 A0009552.exe>>Unpack 本机
Trojan.Clicker.Qhost.i 删除成功 2006-08-05 11:24 定时扫描 C:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP21 A0009556.dll 本机
Trojan.DL.Agent.kif 删除成功 2006-08-05 11:24 定时扫描 C:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP21 A0009563.exe 本机
Trojan.Clicker.Delf.di 删除成功 2006-08-05 11:24 定时扫描 C:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP21 A0009667.dll>>Unpack 本机
Trojan.PSW.QQPass.ppw 删除成功 2006-08-05 11:24 定时扫描 C:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP24 A0011006.SYS 本机
Trojan.PSW.XYOnline.eg 删除成功 2006-08-05 11:24 定时扫描 C:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP25 A0011068.dll 本机
Trojan.PSW.XYOnline.eg 删除成功 2006-08-05 11:24 定时扫描 C:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP25 A0011069.exe>>Unpack 本机
Trojan.PSW.Lmir.ksq 删除成功 2006-08-05 11:25 定时扫描 C:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP25 A0011086.exe 本机
Trojan.PSW.XYOnline.eg 删除成功 2006-08-05 11:25 定时扫描 C:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP25 A0011092.EXE>>Unpack 本机
Trojan.PSW.Lmir.ksq 删除成功 2006-08-05 11:25 定时扫描 C:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP25 A0011093.EXE>>svchost.exe 本机
Trojan.PSW.QQPass.gen 删除成功 2006-08-05 11:25 定时扫描 C:\System Volume Information\_restore{A43A8112-EA7F-4160-BA0F-C6406C452FE2}\RP25 A0011096.EXE>>VEUnpackFile 本机
现在用瑞星杀已经没病毒了,但是有个问题是:到了夜里某个时间系统会运行好几个假的系统进程:scvh0st.exe(英文字母“o”成了数字“0”,也不同于svctost.exe,v和c的顺序调换了),同时system32目录下有另外一个SCVH0ST.exe生成,删除后一会又出现,这是通过瑞星个人防火墙的进程信息查到的,结束进程后,有时候过一会儿会提示系统由于svchost.exe错误还是什么的记不清,反正是不可逆的关机倒记时程序。
另外提供一些信息,这些问题都是夜里某个时间过后发生,其他时间就没有过这情况,两次发生之前一段时间我都下了ppstream和pplive。
网上查资料说:打开注册表编辑器,然后找到目录HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
在这个目录下找到名字为SCVH0ST.EXE的项删除,再去删除
C:\WINDOWS\N0TEPAD.EXE
可是根本没有SCVH0ST.EXE这一项。
GG们,能不能帮忙看一下什么问题。。。
