瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛求救!!!瑞星总是杀不掉的毒,反复出现,请高手帮忙!!!

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第五十次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12 3 4

1 / 4 页

跳转页

求救!!!瑞星总是杀不掉的毒,反复出现,请高手帮忙!!!

黄金搭档12 初生襁褓狮帖子:80 注册: 2006-11-13 来自:	发表于： 2007-10-31 20:57 \| 只看楼主短消息资料字号：小中大 1楼求救!!!瑞星总是杀不掉的毒,反复出现,请高手帮忙!!! 总是不断的提示有不明应用程序连接网络,经常自动弹广告网页出来,地址栏底下多了个ALEXA,并且系统日期经常被篡改,一会改成2000年一会改成2090年，用瑞星杀毒以后照样没有改善,下次重起机器仍然有毒,要崩溃了，请高手帮忙! HijackThis_zww汉化版扫描日志 V1.99.1 保存于 20:41:09, 日期 2007-10-31 操作系统： Windows XP SP2 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\Program Files\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\PROGRAM FILES\RISING\RAV\Ravmond.exe C:\WINDOWS\Explorer.EXE D:\PROGRAM FILES\RISING\RAV\RavStub.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe D:\Program Files\Rising\Rav\RavTask.exe D:\Program Files\Rising\Rav\Ravmon.exe C:\WINDOWS\system32\ctfmon.exe D:\Program Files\Rising\Rav\RsAgent.exe C:\WINDOWS\msagent\AgentSvr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe d:\program files\rising\rfw\rfwproxy.exe d:\program files\rising\rfw\rfwsrv.exe d:\program files\rising\rfw\rfwstub.exe d:\program files\rising\rfw\RfwMain.exe d:\program files\rising\rfw\RfwCfg.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe D:\终结者\扫描\HijackThis1991zww.exe F2 - REG:system.ini: UserInit=userinit.exe, O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush.dll (file missing) O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\迅雷\TT\ComDlls\XunLeiBHO_002.dll O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:\WINDOWS\system32\AlxTB1.dll O3 - IE工具栏增项: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - 启动项HKLM\\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - 启动项HKLM\\Run: [RfwMain] "D:\Program Files\Rising\Rfw\rfwmain.exe" -Startup O4 - 启动项HKLM\\Run: [RavTask] "D:\Program Files\Rising\Rav\RavTask.exe" -system O4 - 启动项HKLM\\Run: [WangWang] ; "D:\alww\tw\WangWang.EXE" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\迅雷\TT\Program\GetUrl.htm O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\迅雷\TT\Program\GetAllUrl.htm O8 - IE右键菜单中的新增项目: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html O8 - IE右键菜单中的新增项目: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\QQ2005\AddEmotion.htm O9 - 浏览器额外的按钮: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - D:\迅雷\TT\Thunder.exe O9 - 浏览器额外的“工具”菜单项: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - D:\迅雷\TT\Thunder.exe O9 - 浏览器额外的按钮: 新浪UC - {2253922F-1B26-4C74-8B57-E3AEE748DBB8} - D:\迅雷\uc\uc.exe O16 - DPF: {0EB487C8-E9AC-43A6-8C4C-083999B0622F} (InfosecCertInstall Class) - https://mybank.icbc.com.cn/icbc/perbank/certInStall.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {276BF72D-CA22-4237-9BCF-593B4E490DE9} (DownLoad Class) - http://img.china.alibaba.com/club/upload/cy2101/onlinesetupimg/atdownload.cab O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/1101/aliedit.cab O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (PasswordEditCtrl Class) - https://www.tenpay.com/download/qqedit.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A3C7FA92-220C-4C1F-B904-A533A920545C}: NameServer = 61.236.159.99 61.144.56.100 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - NT 服务: Event System - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSInfo\Server.exe O23 - NT 服务: 操作系统内部进程 (netservice) - Unknown owner - C:\Documents and Settings\All Users\Favorites\netservice.exe (file missing) O23 - NT 服务: Provisioning Transaction Service (pangupan) - Unknown owner - C:\WINDOWS\system32\aa.exe (file missing) O23 - NT 服务: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwproxy.exe O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\CCenter.exe O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Alexa Toolbar) 2007-11-02 14:56:37.670000000
黄金搭档12 初生襁褓狮帖子:80 注册: 2006-11-13 来自:	分享到：

tianxunmycool 叱咤花甲狮帖子:6674 注册: 2005-06-06 来自:博爱数字旗舰店	发表于： 2007-10-31 21:44 \| 短消息资料字号：小中大 2楼看起来一切都比较正常啊
tianxunmycool 叱咤花甲狮帖子:6674 注册: 2005-06-06 来自:博爱数字旗舰店

技术战士初生襁褓狮帖子:10 注册: 2007-10-29 来自:	发表于： 2007-10-31 21:49 \| 短消息资料字号：小中大 3楼这么长的日志先看哪一个？
技术战士初生襁褓狮帖子:10 注册: 2007-10-29 来自:

涅磐86970 快乐黄口狮帖子:207 注册: 2005-12-12 来自:	发表于： 2007-10-31 22:00 \| 短消息资料字号：小中大 4楼流氓软件 pctools.dll O23 - NT 服务: Event System - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSInfo\Server.exe 貌似鸽子上sreng2日志
涅磐86970 快乐黄口狮帖子:207 注册: 2005-12-12 来自:

黄金搭档12 初生襁褓狮帖子:80 注册: 2006-11-13 来自:	发表于： 2007-10-31 22:02 \| 只看楼主短消息资料字号：小中大 5楼我也觉得看起来正常..可是使用起来就不正常了，快疯了..刚才机器又被改成2090年了
黄金搭档12 初生襁褓狮帖子:80 注册: 2006-11-13 来自:

初生襁褓狮

帖子:80
注册: 2006-11-13
来自:

发表于： 2007-10-31 22:04 | 只看楼主 短消息资料

字号：小中大 6楼

引用:

【涅磐86970的贴子】流氓软件 pctools.dll

O23 - NT 服务: Event System - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSInfo\Server.exe 貌似鸽子

上sreng2日志
………………

终于有人看出问题了，泪．．好感动，这里有ＳＲＥ日志，我发的另一个贴http://forum.ikaka.com/topic.asp?board=28&artid=8385937

社区嘉宾

帖子:21666
注册: 2001-06-22
来自:江湖

发表于： 2007-10-31 22:24 | 短消息资料

字号：小中大 7楼

引用:

【黄金搭档12的贴子】
终于有人看出问题了，泪．．好感动，这里有ＳＲＥ日志，我发的另一个贴http://forum.ikaka.com/topic.asp?board=28&artid=8385937
………………

O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - 启动项HKLM\\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
这两个启动项可以删除！可以算是垃圾吧！

O23 - NT 服务: Event System - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSInfo\Server.exe
O23 - NT 服务: 操作系统内部进程 (netservice) - Unknown owner - C:\Documents and Settings\All Users\Favorites\netservice.exe (file missing)
O23 - NT 服务: Provisioning Transaction Service (pangupan) - Unknown owner - C:\WINDOWS\system32\aa.exe (file missing)
异常服务！建议禁用——重启——删除！
应该是后门木马程序服务端！

附件:

文件名:2938920071031221345.gif

下载次数:460

文件类型:image/pjpeg

文件大小:

上传时间:2007-10-31 22:24:48

描述:

ADL 社区嘉宾帖子:21666 注册: 2001-06-22 来自:江湖	发表于： 2007-10-31 22:27 \| 短消息资料字号：小中大 8楼 ALEXA 普通用户可以作为流氓删除！
ADL 社区嘉宾帖子:21666 注册: 2001-06-22 来自:江湖

ADL 社区嘉宾帖子:21666 注册: 2001-06-22 来自:江湖	发表于： 2007-10-31 22:31 \| 短消息资料字号：小中大 9楼自贡距我不太远，可以考虑申请远程处理！
ADL 社区嘉宾帖子:21666 注册: 2001-06-22 来自:江湖

火影忍者横据古稀狮帖子:7855 注册: 2006-06-29 来自:火星	发表于： 2007-10-31 23:21 \| 短消息资料字号：小中大 10楼下载 System Repair Engineer， http://www.kztechs.com/sreng/download.html 1 解压缩sreng2.zip 2 运行SREngPS.exe 3 智能扫描=》扫描=》保存报告 4 把日志中的报告完整拷贝贴上来，不要修改
火影忍者横据古稀狮帖子:7855 注册: 2006-06-29 来自:火星

<<上一主题|下一主题>>

12 3 4

1 / 4 页

跳转页

黄金搭档12 初生襁褓狮帖子:80 注册: 2006-11-13 来自:	发表于： 2007-10-31 20:57 \| 只看楼主短消息资料字号：小中大 1楼求救!!!瑞星总是杀不掉的毒,反复出现,请高手帮忙!!! 总是不断的提示有不明应用程序连接网络,经常自动弹广告网页出来,地址栏底下多了个ALEXA,并且系统日期经常被篡改,一会改成2000年一会改成2090年，用瑞星杀毒以后照样没有改善,下次重起机器仍然有毒,要崩溃了，请高手帮忙! HijackThis_zww汉化版扫描日志 V1.99.1 保存于 20:41:09, 日期 2007-10-31 操作系统： Windows XP SP2 (WinNT 5.01.2600) 浏览器： Internet Explorer v6.00 SP2 (6.00.2900.2180) 当前运行的进程： C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\Program Files\Rising\Rav\CCenter.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe D:\PROGRAM FILES\RISING\RAV\Ravmond.exe C:\WINDOWS\Explorer.EXE D:\PROGRAM FILES\RISING\RAV\RavStub.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Common Files\Real\Update_OB\realsched.exe D:\Program Files\Rising\Rav\RavTask.exe D:\Program Files\Rising\Rav\Ravmon.exe C:\WINDOWS\system32\ctfmon.exe D:\Program Files\Rising\Rav\RsAgent.exe C:\WINDOWS\msagent\AgentSvr.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe d:\program files\rising\rfw\rfwproxy.exe d:\program files\rising\rfw\rfwsrv.exe d:\program files\rising\rfw\rfwstub.exe d:\program files\rising\rfw\RfwMain.exe d:\program files\rising\rfw\RfwCfg.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Internet Explorer\iexplore.exe D:\终结者\扫描\HijackThis1991zww.exe F2 - REG:system.ini: UserInit=userinit.exe, O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll O2 - BHO: AdPopup - {11F09AFD-75AD-4E51-AB43-E09E9351CE16} - C:\Program Files\Common Files\CPUSH\cpush.dll (file missing) O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - D:\迅雷\TT\ComDlls\XunLeiBHO_002.dll O2 - BHO: AlxTB BHO - {F1FABE79-25FC-46de-8C5A-2C6DB9D64333} - C:\WINDOWS\system32\AlxTB1.dll O3 - IE工具栏增项: Alexa - {3CEFF6CD-6F08-4e4d-BCCD-FF7415288C3B} - C:\WINDOWS\system32\SHDOCVW.DLL O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - 启动项HKLM\\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto O4 - 启动项HKLM\\Run: [RfwMain] "D:\Program Files\Rising\Rfw\rfwmain.exe" -Startup O4 - 启动项HKLM\\Run: [RavTask] "D:\Program Files\Rising\Rav\RavTask.exe" -system O4 - 启动项HKLM\\Run: [WangWang] ; "D:\alww\tw\WangWang.EXE" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O8 - IE右键菜单中的新增项目: &使用迅雷下载 - D:\迅雷\TT\Program\GetUrl.htm O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - D:\迅雷\TT\Program\GetAllUrl.htm O8 - IE右键菜单中的新增项目: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html O8 - IE右键菜单中的新增项目: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\QQ2005\AddEmotion.htm O9 - 浏览器额外的按钮: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - D:\迅雷\TT\Thunder.exe O9 - 浏览器额外的“工具”菜单项: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - D:\迅雷\TT\Thunder.exe O9 - 浏览器额外的按钮: 新浪UC - {2253922F-1B26-4C74-8B57-E3AEE748DBB8} - D:\迅雷\uc\uc.exe O16 - DPF: {0EB487C8-E9AC-43A6-8C4C-083999B0622F} (InfosecCertInstall Class) - https://mybank.icbc.com.cn/icbc/perbank/certInStall.dll O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {276BF72D-CA22-4237-9BCF-593B4E490DE9} (DownLoad Class) - http://img.china.alibaba.com/club/upload/cy2101/onlinesetupimg/atdownload.cab O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (EditCtrl Class) - https://img.alipay.com/download/1101/aliedit.cab O16 - DPF: {8D9E0B29-563C-4226-86C1-5FF2AE77E1D2} (AxSubmitControl Class) - https://mybank.icbc.com.cn/icbc/perbank/AxSafeControls.cab O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (PasswordEditCtrl Class) - https://www.tenpay.com/download/qqedit.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{A3C7FA92-220C-4C1F-B904-A533A920545C}: NameServer = 61.236.159.99 61.144.56.100 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\ O23 - NT 服务: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - NT 服务: Event System - Unknown owner - C:\Program Files\Common Files\Microsoft Shared\MSInfo\Server.exe O23 - NT 服务: 操作系统内部进程 (netservice) - Unknown owner - C:\Documents and Settings\All Users\Favorites\netservice.exe (file missing) O23 - NT 服务: Provisioning Transaction Service (pangupan) - Unknown owner - C:\WINDOWS\system32\aa.exe (file missing) O23 - NT 服务: Rising Proxy Service (RfwProxySrv) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwproxy.exe O23 - NT 服务: Rising Personal Firewall Service (RfwService) - Beijing Rising Technology Co., Ltd. - d:\program files\rising\rfw\rfwsrv.exe O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - D:\Program Files\Rising\Rav\CCenter.exe O23 - NT 服务: Rising RealTime Monitor (RsRavMon) - Beijing Rising Technology Co., Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe [用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Alexa Toolbar) 2007-11-02 14:56:37.670000000
黄金搭档12 初生襁褓狮帖子:80 注册: 2006-11-13 来自:	分享到：

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 求救!!!瑞星总是杀不掉的毒,反复出现,请高手帮忙!!!

求救!!!瑞星总是杀不掉的毒,反复出现,请高手帮忙!!!

求救!!!瑞星总是杀不掉的毒,反复出现,请高手帮忙!!!

附件:

文件名:2938920071031221345.gif 下载次数:460 文件类型:image/pjpeg 文件大小: ShowFormatBytesStr(10063); 上传时间:2007-10-31 22:24:48 描述:

瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛求救!!!瑞星总是杀不掉的毒,反复出现,请高手帮忙!!!

文件名:2938920071031221345.gif

下载次数:460

文件类型:image/pjpeg

文件大小:

上传时间:2007-10-31 22:24:48

描述: