123   2  /  3  页   跳转

救命啊!这个毒不一般!

收藏
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-09-18 13:17 | 显示全部 短消息 资料
字号: 11楼

引用:
【我无邪的贴子】Start.exe
ntio.exe

这两个东东如果能找到,烦发到twtxk@126.com
………………


这个在电脑里面找不到文件,只可以在注册表中Run键下可以找到。

这个问题我自己都不知道是怎么样产生的,以前一直用雅虎助手修复,但都没有用。今天我再用雅虎助手修复了一下,又好了,我晕。

感谢您的回复,谢谢。


以下这个进程请帮忙分析一下吧,谢谢。

附件附件:

下载次数:142
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-18 13:17:38
描述:
gototop
 
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-09-18 13:20 | 显示全部 短消息 资料
字号: 12楼

其中的spoolsv.exe这个进程让我烦得不得了,听说是打印机的进程,也是打印机不可以用,也不可以添加,当然这是我在结束这个进程以后。
不结束这个进程占用CPU 100%,开机时都必须先结束这个进程才可正常登录。
gototop
 
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-09-19 20:32 | 显示全部 短消息 资料
字号: 13楼

引用:
【菜鸟巍的贴子】你可以在服务里把print spooler这个服务禁用掉。试试,我试过解决了的....
………………


那我的打印机就是真的不可用了?!
gototop
 
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-09-27 09:05 | 显示全部 短消息 资料
字号: 14楼

引用:
【dljpv的贴子】打印机还是一样可以用的  可以先按我上面说的方法把病毒先删掉,然后再把打印机的驱动卸了 重新装一下 就ok拉
这个方法我试过了  行的通的 ,
再说下哈  各位 要帮忙的话把病毒样本发到我邮箱dljpv2@tom.com 我会尽力分析下的 有事也可以加QQ:373870221
………………


我的打印机真正的没法用啊,现在我再运行spoolsv.exe这个进程都不行了,怎么办啊?
附下图:

附件附件:

下载次数:157
文件类型:image/pjpeg
文件大小:
上传时间:2006-9-27 9:05:03
描述:
gototop
 
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-09-29 10:51 | 显示全部 短消息 资料
字号: 15楼

我用的网络打印机,现在我的打印机驱动程序都不敢用,一启用就占用我的CPU 100%,不行啊!
gototop
 
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-10-07 21:25 | 显示全部 短消息 资料
字号: 16楼

到底要如何才可以根治啊?!
gototop
 
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-10-08 08:56 | 显示全部 短消息 资料
字号: 17楼

已经把病毒发到要帮忙分析的朋友信箱中。

附件附件:

下载次数:161
文件类型:image/pjpeg
文件大小:
上传时间:2006-10-8 8:56:52
描述:
gototop
 
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-10-08 09:03 | 显示全部 短消息 资料
字号: 18楼

引用:
【秋日里的蓝天的贴子】请重新扫描上来,

无端端卸载掉打印机驱动干嘛呢?
………………



偶也很想用打印机啊,可是没办法,不敢启动这个服务啊,我马上就扫描日志上来,请帮忙分析,谢谢。


附件是start.exe\ntio.exe病毒,我已经在C:\windows\system32\下面删除了,但http://www.k662.com/tan3.htm这个可恶的网站老是跳出来,我烦死了,共有4个或更多:http://www.k662.com/tan2.htm;http://www.k662.com/tan1.htm;http://www.k662.com/home.htm。

设置http://www.k662.com/为禁用已经不起任何作用。
gototop
 
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-10-08 09:22 | 显示全部 短消息 资料
字号: 19楼



http://www.yousendit.com/transfer.php?action=download&ufid=091E0B89133E408B


资料只可保留7天,请各位大虾们帮忙一下吧。

病毒下载地址。
gototop
 
晓华哥哥
头像
飘泊而立狮
  • 帖子:653
  • 注册: 2005-01-28
  • 来自:四川营山
发表于: 2006-10-08 10:07 | 显示全部 短消息 资料
字号: 20楼

Logfile of HijackThis v1.99.1
Scan saved at 9:55:29, on 2006-10-8
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\bacon\LOCALS~1\Temp\Rar$EX00.609\HijackThis.exe

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O3 - Toolbar: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 雅虎搜索 - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = jqjm.com
O17 - HKLM\Software\..\Telephony: DomainName = jqjm.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{4B5C74CE-7C10-45AD-8AF7-B6F5B947875F}: NameServer = 61.177.7.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = jqjm.com
O17 - HKLM\System\CS1\Services\Tcpip\..\{4B5C74CE-7C10-45AD-8AF7-B6F5B947875F}: NameServer = 61.177.7.1
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = jqjm.com
O17 - HKLM\System\CS2\Services\Tcpip\..\{4B5C74CE-7C10-45AD-8AF7-B6F5B947875F}: NameServer = 61.177.7.1
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - mshtml.dll (file missing)
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe
gototop
 
<<上一主题|下一主题>>
123   2  /  3  页   跳转
页面顶部
Powered by Discuz!NT