救命啊!电脑变的好慢了,怎么了??? - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛救命啊!电脑变的好慢了,怎么了???

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

救命啊!电脑变的好慢了,怎么了???

网络菜鸟88 初生襁褓狮帖子:19 注册: 2006-07-03 来自:	发表于： 2006-11-12 08:35 \| 只看楼主短消息资料字号：小中大 1楼救命啊!电脑变的好慢了,怎么了??? Logfile of HijackThis v1.99.1 Scan saved at 8:22:18, on 2006-11-12 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\瑞星\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe d:\瑞星\rising\rfw\rfwsrv.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE d:\瑞星\rising\rfw\RfwMain.exe C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE C:\WINDOWS\system32\cisrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\svchost.exe c:\windows\system32\wbem\lsass.exe c:\windows\pmsgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\rundll32.exe D:\我的播~1\Kuree\kpupdate.exe H:\杀毒专用\HijackThis.exe O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - (no file) O2 - BHO: IEMonitor Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\Program Files\DeskAdTop\deskipn.dll O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush0.dll O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\Program Files\Yahoo!\Assistant\Assist\yphtb.dll O2 - BHO: (no name) - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - H:\电骡\QQ\QQIEHelper.dll O2 - BHO: CdnForIE Class - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - H:\超级兔子\MagicSet\haokanbar.dll O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\迅雷\Thunder\ComDlls\XunLeiBHO_002.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: IEHlprObj Class - {DE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\POPNT.DLL O2 - BHO: update wnwb - {ED8DFC5C-10EF-45AB-9DC2-0639AFF5A270} - C:\PROGRA~1\COMMON~1\Wnwb\wnwbio.dll O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O3 - Toolbar: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\system32\KakaTool.dll O3 - Toolbar: Magic Toolbar - {EEBF3426-9F54-4CCF-ADF4-FEE24C111FF6} - C:\Program Files\MAGIC TOOLBAR\MAGIC TOOLBAR.dll O3 - Toolbar: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - H:\超级兔子\MagicSet\haokanbar.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [IMSCMig] C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RavTask] "D:\瑞星\Rising\Rav\RavTask.exe" -system O4 - HKLM\..\Run: [DAEMON Tools-2052] "E:\NBA\daemon.exe" -lang 2052 O4 - HKLM\..\Run: [Thunder] "D:\迅雷\Thunder\Thunder.exe" /s O4 - HKLM\..\Run: [Super Rabbit SafeEdit] H:\超级兔子\MagicSet\SRFC.EXE /Load O4 - HKLM\..\Run: [Desktop] C:\WINDOWS\system32\rundll32.exe "C:\Program Files\DeskAdTop\Run.dll" ,Rundll O4 - HKLM\..\Run: [CdnCtr] C:\Program Files\CNNIC\Cdn\cdnup.exe O4 - HKLM\..\Run: [service] C:\WINDOWS\system32\service.exe O4 - HKLM\..\Run: [System] C:\Program Files\Common Files\System\Update.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Super Rabbit IEPro] H:\超级兔子\MagicSet\SRIECLI.EXE /LOAD O4 - HKCU\..\Run: [eMuleAutoStart] H:\电骡\eMule\eMule.exe -AutoStart O4 - HKCU\..\Run: [updatereal] C:\WINDOWS\realupdate.exe other O4 - HKCU\..\Run: [msnnt] C:\WINDOWS\winampi.exe O4 - Startup: 腾讯QQ.lnk = ? O8 - Extra context menu item: &使用迅雷下载 - D:\迅雷\Thunder\Program\GetUrl.htm O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\迅雷\Thunder\Program\GetAllUrl.htm O8 - Extra context menu item: Google 搜索(&G) - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: 上传到QQ网络硬盘 - H:\电骡\QQ\AddToNetDisk.htm O8 - Extra context menu item: 添加到QQ自定义面板 - H:\电骡\QQ\AddPanel.htm O8 - Extra context menu item: 添加到QQ表情 - H:\电骡\QQ\AddEmotion.htm O8 - Extra context menu item: 用QQ彩信发送该图片 - H:\电骡\QQ\SendMMS.htm O8 - Extra context menu item: 访问通用网址 - C:\Program Files\CNNIC\Cdn\cnnic.htm O9 - Extra button: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - D:\迅雷\Thunder\Thunder.exe O9 - Extra 'Tools' menuitem: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - D:\迅雷\Thunder\Thunder.exe O9 - Extra button: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll O9 - Extra 'Tools' menuitem: 中文上网 - {5C3853CF-C7E0-4946-B3FA-1ABDB6F48108} - C:\PROGRA~1\CNNIC\Cdn\cdnforie.dll O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - H:\电骡\QQ\QQ.EXE O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - H:\电骡\QQ\QQ.EXE O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - H:\电骡\QQ\QQIEHelper.dll O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - H:\电骡\QQ\QQIEHelper.dll O11 - Options group: [CDNCLIENT] 中文上网 O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} - http://cache10.itv.mop.com/pCastCtl-1.0.0.88_signed.cab O18 - Protocol: qyl - {C79BF22F-25C4-4D3D-8183-14149EAB9C0C} - (no file) O21 - SSODL: MediaCheck - {D1F73845-4BAB-4061-A46B-FCF7ECC19217} - D:\我的播~1\Kuree\MService.dll O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Network Logons (NetWorkLogons) - Unknown owner - rundll32.exe (file missing) O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\瑞星\rising\rfw\rfwsrv.exe O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\瑞星\Rising\Rav\CCenter.exe 2006-11-12 09:18:16
网络菜鸟88 初生襁褓狮帖子:19 注册: 2006-07-03 来自:	分享到：

红夜鬼1 横据古稀狮帖子:8602 注册: 2006-10-18 来自:	发表于： 2006-11-12 08:38 \| 短消息资料字号：小中大 2楼运行Hijackthis，把下面的选中打上钩，修复 O2 - BHO: IEHlprObj Class - {DE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\WINDOWS\POPNT.DLL O4 - HKLM\..\Run: [Desktop] C:\WINDOWS\system32\rundll32.exe "C:\Program Files\DeskAdTop\Run.dll" ,Rundll O4 - HKCU\..\Run: [updatereal] C:\WINDOWS\realupdate.exe other O4 - HKCU\..\Run: [msnnt] C:\WINDOWS\winampi.exe 结束进程删除 c:\windows\pmsgr.exe C:\WINDOWS\SYSTEM32\RUNDLLFROMWIN2000.EXE C:\WINDOWS\realupdate.exe C:\Program Files\DeskAdTop\Run.dll C:\WINDOWS\POPNT.DLL 请下载SREng2（最新版），使用“智能扫描”，按下“扫描”按钮进行扫描，扫描完成后按下“保存报告”按钮保存报告日志文件（SREng.LOG），把保存的报告日志文件内容复制-粘贴上来,,日志一次粘不完，分次粘完，请不要修改。下载地址 http://www.kztechs.com/sreng/sreng2.zip
红夜鬼1 横据古稀狮帖子:8602 注册: 2006-10-18 来自:

有毒必问锋芒艾服狮帖子:1653 注册: 2005-02-13 来自:廣東	发表于： 2006-11-12 08:41 \| 短消息资料字号：小中大 3楼在安全模式下删除 c:\windows\system32\wbem\lsass.exe C:\WINDOWS\system32\cisrv.exe c:\windows\pmsgr.exe C:\Program Files\Common Files\System\Update.exe C:\WINDOWS\winampi.exe C:\WINDOWS\realupdate.exe 启动 O4 - HKLM\..\Run: [service] C:\WINDOWS\system32\service.exe O4 - HKLM\..\Run: [System] C:\Program Files\Common Files\System\Update.exe O4 - HKCU\..\Run: [updatereal] C:\WINDOWS\realupdate.exe other O4 - HKCU\..\Run: [msnnt] C:\WINDOWS\winampi.exe 修复 O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - (no file) O4 - Startup: 腾讯QQ.lnk = ?
有毒必问锋芒艾服狮帖子:1653 注册: 2005-02-13 来自:廣東

有毒必问锋芒艾服狮帖子:1653 注册: 2005-02-13 来自:廣東	发表于： 2006-11-12 08:42 \| 短消息资料字号：小中大 4楼 pmsgr.exe和cisrv.exe的清除说实话，这个办法我并不能保证百分百清除病毒，但是进程管理器里是没有pmsgr和cisrv了。开始运行regedit，HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\删除IndexingService 然后控制面板－服务停止Indexing Service服务然后删除 C:\WINDOWS\pmsgr.exe C:\WINDOWS\system32\cisrv.exe 两个文件。这样就没有pmsgr和cisrv两个进程了。但是最好完成后在安全模式下用杀毒软件杀一次。。 http://www.wlswy.com/blog/article.asp?id=11
有毒必问锋芒艾服狮帖子:1653 注册: 2005-02-13 来自:廣東

有毒必问锋芒艾服狮帖子:1653 注册: 2005-02-13 来自:廣東	发表于： 2006-11-12 08:42 \| 短消息资料字号：小中大 5楼 http://bbs.cfanhome.com/printpage.asp?BoardID=2&id=726477 -- 手工删除service.exe病毒！ Service.exe病毒的手工清除方法： Service.exe属于Trinoo病毒, 从注册表中删除值: 对系统注册表进行任何修改之前，建议最好先替注册表进行一次备份。对注册表的修改如果有任何差错，严重时将会导致数据遗失或档案受损。只修改指定的注册表键。单击“开始”，然后单击“运行”。（将出现“运行”对话框。）键入 regedit 然后单击“确定”。（将打开注册表编辑器。）导航至以下键： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 在右窗格中，删除指向该蠕虫文件的所有值（在步骤 4 中检测到）。导航至以下键： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 并重复步骤 d。导航至以下键： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services 单击“编辑”，然后单击“查找”。搜索值： -service 如果找到这样的值，请确保它们的格式为： <key name> = "%System%\<the filename of the worm>" -service （其中键名与步骤 d 中的 run 键相同。）例如： "Configuration Loader" = "C:\WINNT\SYSTEM32\Service.exe" -service 如果是这种情况，请删除包含该值的子键。例如： HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\a3 注意：该蠕虫的所有变种都不创建这样的键。退出注册表编辑器。搞定！
有毒必问锋芒艾服狮帖子:1653 注册: 2005-02-13 来自:廣東

有毒必问锋芒艾服狮帖子:1653 注册: 2005-02-13 来自:廣東	发表于： 2006-11-12 08:43 \| 短消息资料字号：小中大 6楼乱弹网页(realupdate.exe/winampa.exe)的分析和解决样本程序名称：8004AVPA.EXE 症状：中了这个后，你的电脑将不停的弹出各种网页，让你手忙脚乱，直至抓狂，如果哪位不信，我可以把这个样本发给你。打开的网址有（只观察了2个小时，可能还有别的）： hxxp://zi.uitv.com hxxp://www.1717kan.cn hxxp://1.a.kal.cn hxxp://family.u2unet.com hxxp://www.17587.com hxxp://www.caiqiyue.com hxxp://www.maohehe.com hxxp://www.52tw.net hxxp://movie2.98joy.com hxxp://fuwu.76y.com hxxp://t.dofus.com.cn hxxp://www.aitu.com.c hxxp://www.ttmp3.com/ hxxp://www.travoo.com.cn 运行过程：执行8004AVPA.EXE后，首先在windows目录下生成： realupdate.exe winampa.exe 添加注册表启动项： HKCU\Software\Microsoft\Windows\CurrentVersion\Run updatereal C:\WINDOWS\realupdate.exe other msnnt C:\WINDOWS\winampa.exe 生成C:\WINDOWS\system32\0848\baisoa目录，生成的文件见下图，其中的UPDATE文件夹中除没有NOVEL.EXE和DLLHOSTA.DLL外其它与父级目录文件相同。调用rundll32.exe，并将DLLHOSTA.DLL插入rundll32.exe进程。然后执行realupdate.exe和winampa.exe连接207.46.19.30：80下载Del8.tmp和Del9.tmp并复制到C:\Documents and Settings\yourname\Local Settings\Temp\中。然后winampa.exe调用Del8.tmp，realupdate.exe调用Del9.tmp，开启本机N个端口N次连接以下地址80端口： 207.46.19.30 202.102.249.62 207.46.225.60 207.46.20.30 203.171.236.204 下载文件： avpa.exe novel.exe 到C:\WINDOWS\system32\0848\baisoa目录。由于急于看到结果，上面的过程与实际可能会有出入。最后是avpa.exe调用系统的rundll32.exe，rundll32.exe调用explorer.exe及novel.exe打开不同网页。解决步骤：虽然以上过程看起来可怕，但处理起来还是比较简单的。 1、开始-运行，输入regedit打开注册表编辑器，定位到HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，删除以下启动项： updatereal C:\WINDOWS\realupdate.exe other msnnt C:\WINDOWS\winampa.exe 2、重起电脑，删除以下文件和文件夹： C:\WINDOWS\realupdate.exe other C:\WINDOWS\winampa.exe C:\WINDOWS\system32\0848目录 http://www.pc30000.com/dispbbs.asp?boardid=10&id=890&page=1
有毒必问锋芒艾服狮帖子:1653 注册: 2005-02-13 来自:廣東

网络菜鸟88 初生襁褓狮帖子:19 注册: 2006-07-03 来自:	发表于： 2006-11-12 09:26 \| 只看楼主短消息资料字号：小中大 7楼谢谢各位大侠
网络菜鸟88 初生襁褓狮帖子:19 注册: 2006-07-03 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT