12345   1  /  5  页   跳转

救命啊!这个毒不一般!

收藏
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-09-14 14:44 | 只看楼主 短消息 资料
字号: 1楼

救命啊!这个毒不一般!

这个网站太厉害了http://ww.k662.com/index3.htm?k3。在注册表中找不到,但是却每间隔一段时间,应该说是一会儿时间会自动跳出来。
在启动计算机的时候会在进程中出现一个:start.exe进程,虽然不怎么影响,但有问题存在。另外,在启动时有一个叫spoolsv.exe的进程,占用大量CPU资源,导致系统CPU使用率为100%。更重要的是:打印机不可用!

  以下是日志,麻烦各位了!


  HijackThis_zww汉化版扫描日志 V1.99.1
保存于      14:37:34, 日期 2006-9-14
操作系统:  Windows XP SP2 (WinNT 5.01.2600)
浏览器:    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程:         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\LSASS.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\conime.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\PROGRA~1\Yahoo!\ASSIST~1\ylive.exe
C:\DOCUME~1\bacon\LOCALS~1\Temp\h4x0r.com
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\SuperSoft\RdfSnap2005\RdfSnap2005.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\bacon\LOCALS~1\Temp\Rar$EX00.156\HijackThis1991zww.exe

F2 - REG:system.ini: Shell=Explorer.exe ntio.exe
F3 - REG:win.ini: load=C:\WINDOWS\rundl132.exe
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\Program Files\Yahoo!\Assistant\Assist\yphtb.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\Program Files\Yahoo!\Assistant\Assist\yAngling.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: (no name) - {E730189A-9973-4121-B046-AD1C161EC3AF} - C:\WINDOWS\system32\37211.dll
O2 - BHO: (no name) - {F4149F9B-E707-4cc0-917F-C892652B62A3} - (no file)
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\Program Files\Yahoo!\Assistant\Assist\yasbar.dll
O4 - 启动项HKLM\\Run: [Start] Start.exe
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [Start] Start.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - IE右键菜单中的新增项目: 将选定的内容转换为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: 将选定的内容转换到现有的 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 将选定的链接转换到现有的 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - IE右键菜单中的新增项目: 将链接目标转换到现有的 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 添加到雅虎订阅(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT
O8 - IE右键菜单中的新增项目: 转换为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: 转换为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 转换到现有的 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 转换选定的链接为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - IE右键菜单中的新增项目: 转换选定的链接为 Adobe PDF  - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - IE右键菜单中的新增项目: 转换选定的链接为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - IE右键菜单中的新增项目: 转换选项为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: 转换选项为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 转换链接目标为 Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: 转换链接目标为现有 PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - 浏览器额外的按钮: 开心溜溜娱乐门户网,电影、音乐、DJ、相声、小品、FLASH等等应有尽有 - {3BB4D05E-9D5F-41A2-A214-8F69461A920A} - http://www.kx66.com/ (file missing)
O9 - 浏览器额外的按钮: 泡游戏,给你推荐最新最好玩的游戏 - {C4600FF8-4A21-43EA-B7CA-24685DCEDEA9} - http://www.paogame.com/ (file missing)
O9 - 浏览器额外的按钮: 天心传奇,国内在线人数最多的传奇 - {D21A97E0-1114-4E44-9925-D9A035B17C71} - http://www.234567.net/ (file missing)
O9 - 浏览器额外的按钮: 中文网址导航 - {FF1AE7A8-8465-4E19-8794-7601CD2D6123} - http://www.234567.com/ (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = jqjm.com
O17 - HKLM\Software\..\Telephony: DomainName = jqjm.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B5C74CE-7C10-45AD-8AF7-B6F5B947875F}: NameServer = 61.177.7.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = jqjm.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B5C74CE-7C10-45AD-8AF7-B6F5B947875F}: NameServer = 61.177.7.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - NT 服务: ASP.NET 状态服务 (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - NT 服务: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - NT 服务: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - NT 服务: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - NT 服务: Windows DDOSServer (DDOSServer) - Unknown owner - C:\WINDOWS\system32\DBS.exe
O23 - NT 服务: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - NT 服务: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - NT 服务: Network Logon (NetWorkLogon) - Unknown owner - rundll32.exe (file missing)
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - NT 服务: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - NT 服务: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - NT 服务: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - NT 服务: Windows Explorer Helper (Winehplr) - TEC Solutions Limited. - C:\Program Files\Common Files\system\winrdg32.exe
O23 - NT 服务: Update Service For Windows (winupdate) - Unknown owner - C:\WINDOWS\winupdate.exe

最后编辑2006-11-15 07:58:54
分享到:
gototop
 
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-09-14 14:50 | 只看楼主 短消息 资料
字号: 2楼

14:43分出来的,如下图所示!

附件附件:

下载次数:317
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-14 14:50:55
描述:
gototop
 
zq77
头像
雄霸杖朝狮
  • 帖子:16648
  • 注册: 2006-02-24
  • 来自:江苏
发表于: 2006-09-14 15:23 | 短消息 资料
字号: 3楼

F2 - REG:system.ini: Shell=Explorer.exe ntio.exe
F3 - REG:win.ini: load=C:\WINDOWS\rundl132.exe
O2 - BHO: (no name) - {E730189A-9973-4121-B046-AD1C161EC3AF} - C:\WINDOWS\system32\37211.dll
O2 - BHO: (no name) - {F4149F9B-E707-4cc0-917F-C892652B62A3} - (no file)
修复
删除
C:\WINDOWS\system32\37211.dll
C:\WINDOWS\rundl132.exe

O4 - 启动项HKLM\\Run: [Start] Start.exe
O4 - HKCU\..\Run: [Start] Start.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
修复
在硬盘中查找删除Start.exe

O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
下专杀
http://www.jiangmin.com/News/jiangmin/index/important/2006810172130.htm
O23 - NT 服务: Windows DDOSServer (DDOSServer) - Unknown owner - C:\WINDOWS\system32\DBS.exe
进入组册表查找删除DBS.exe
重起删除C:\WINDOWS\system32\DBS.exe

O23 - NT 服务: Network Logon (NetWorkLogon) - Unknown owner - rundll32.exe (file missing)
进入注册表查找删除Network Logon

O23 - NT 服务: Update Service For Windows (winupdate) - Unknown owner - C:\WINDOWS\winupdate.exe
进入注册表查找删除winupdate.exe
重起删除C:\WINDOWS\winupdate.exe
gototop
 
飘飘风筝
头像
初生襁褓狮
  • 帖子:76
  • 注册: 2006-09-12
  • 来自:
发表于: 2006-09-14 15:39 | 短消息 资料
字号: 4楼

你说的情况和我差多不,我的也是会自动跳出些网页来,而且你发出的图片和我的跳出来那个是同一个网页画面,只是网址不同,你去下面看下(无邪)帮我弄的方法,说不定你的可以试试,我的是删不了,也改不了,烦啊.
gototop
 
飘飘风筝
头像
初生襁褓狮
  • 帖子:76
  • 注册: 2006-09-12
  • 来自:
发表于: 2006-09-14 15:46 | 短消息 资料
字号: 5楼

http://tt66.2288.org/2.html我的是这个网战,进去内容和你的一样
gototop
 
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-09-14 17:44 | 只看楼主 短消息 资料
字号: 6楼

引用:
【飘飘风筝的贴子】你说的情况和我差多不,我的也是会自动跳出些网页来,而且你发出的图片和我的跳出来那个是同一个网页画面,只是网址不同,你去下面看下(无邪)帮我弄的方法,说不定你的可以试试,我的是删不了,也改不了,烦啊.
………………


好的,感谢了,我马上就去试试看。
gototop
 
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-09-14 17:50 | 只看楼主 短消息 资料
字号: 7楼

DeviceDesc这个东西杀不掉啊!
如下图:

附件附件:

下载次数:270
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-14 17:50:43
描述:
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2006-09-14 18:17 | 短消息 资料
字号: 8楼

运行Hijackthis,把下面的选中打上钩,修复
O4 - 启动项HKLM\\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE   这一项可以直接修复掉


按楼上修复后,请下载SREng2 ,使用“智能扫描”,按下“扫描”按钮进行扫描,
扫描完成后按下“保存报告”按钮保存报告日志文件(SREng.LOG),把保存的报告
日志文件内容复制-粘贴上来,,日志一次粘不完,分次粘完,请不要修改。

下载地址
http://free5.ys168.com/?ufwihgu168
gototop
 
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-09-14 18:59 | 只看楼主 短消息 资料
字号: 9楼

再帮我看下我开机后的进程。

附件附件:

下载次数:304
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-14 18:59:00
描述:
gototop
 
秋日里的蓝天
头像
卡卡技术团队
  • 帖子:7349
  • 注册: 2004-09-30
  • 来自:
发表于: 2006-09-14 19:02 | 短消息 资料
字号: 10楼

打印机进程占用了CPU,请重新扫描上来
gototop
 
<<上一主题|下一主题>>
12345   1  /  5  页   跳转
页面顶部
Powered by Discuz!NT