格机之后运行QQ[QQ不在格机的盘上]。
自己重起之后发现。
1、EXPLORER占内存40多M,并且出现了两个IEXPLOR进程。时常弹出IE窗口。关掉EXPLORER后该问题消失。打开后出现。
2、运行瑞星卡卡安装程序自动关机,无法安装ZONEALARM等防火墙。
3、访问百度贴吧、百度知道吧、瑞星在线杀毒、瑞星升级自动返回百度首页。
4、使用塞门铁克最新版安全模式查杀,无毒。使用ewido查杀,发现DOWNLOADER、ADWARE病毒几个,杀掉。问题依旧。
5、在安全模式下安装瑞星卡卡,查杀,没毒。
6、重起,问题照旧。运行瑞星卡卡,机器自动关机。
7、进入安全模式再次运行瑞星卡卡,瑞星卡卡被自动卸载。
8用冰箭查看发现启动进程里多了个A进程,自动调用RUNDLL32和mq.ocx。于是打开注册表将对应RUN项目删除。
9、现HOST文件被修改,里面多了许多广告网站。于是进入安全模式将HOST清空。重起,问题消失。
10、使用瑞星在线查毒,显示无毒。但再次运行QQ,以上问题还会出现。
希望能有查杀该病毒的工具出来。谢谢。
最近1星期为此病毒所苦!!希望对同样为此所苦的诸位有所帮助。
贴一个同样中此毒的人的报告给大家参考。
该诊断报告由360安全卫士提供 http://www.360safe.com
诊断时间: 2007-01-02 10:38:42
诊断平台: Microsoft Windows XP Service Pack 2
IE版本: Internet Explorer V6.0.2900.2180 Build:62900.2180
计算机物理内存:383MB - 当前可用内存:152MB
100 - 未知 - Process: Rpcs11.exe [Generic Host Process for Win32 Services] - C:\WINDOWS\system32\Rpcs11.exe
100 - 未知 - Process: rundll32.exe [] - C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\bsae\igal.dll,Service
100 - 未知 - Process: rundll32.exe [Microsoft irJIT Module] - C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\OHGIT.DLL,Export 1087
O2 - 未知 - BHO: (vtkv) - [] - {7059D069-1338-4BDD-913B-29FA4093929A} - C:\PROGRA~1\COMMON~1\bsae\fdxi.dll
O4 - 未知 - HKCU\..\Run: [winsamps] [] C:\WINDOWS\winamps.exe
O23 - 未知 - Service: 43BEA63C [43BEA63C] - C:\WINDOWS\system32\43BEA63C.EXE -service - (not running)
O23 - 未知 - Service: AtHome [Windows 的文档索引服务,提供高效稳定的快速索引功能。无法终止此服务。] - C:\WINDOWS\system32\yeqiq.dll - (not running)
O23 - 未知 - Service: COM+ Messages [COM+ Messages] - "C:\WINDOWS\system32\svchosts.exe" -e te-110-12-0000049 - (not running)
O23 - 未知 - Service: F7F31ECB [F7F31ECB] - C:\WINDOWS\system32\F7F31ECB.EXE -service - (not running)
O23 - 未知 - Service: RestoreService [支持系统恢复功能] - C:\WINDOWS\system32\drivers\restore.dll - (not running)
O23 - 未知 - Service: RpcS11 [管理并控制RPC服务数据库11。] - C:\WINDOWS\system32\Rpcs11.exe - (running)
O23 - 未知 - Service: sqlservech [为WindowsNT下的Sql Server提供高效稳定的网络通讯服务。无法终止此服务。] - c:\windows\system32\sqlservech.dll - (not running)
O23 - 未知 - Service: vwny [Vsn vwny Service] - C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\bsae\igal.dll,Service - (running)
O23 - 未知 - Service: WIDETS [提供 Windows 应用程序安装、删除及修复帮助。] - C:\WINDOWS\SYSTEM32\RUNDLL32.EXE C:\WINDOWS\SYSTEM32\WBEM\OHGIT.DLL,Export 1087 - (running)
=======================================
100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统,用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe
ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k DcomLaunch
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 安全 - Process: spoolsv.exe [windows打印任务控制程序,用以打印机就绪。] - C:\WINDOWS\system32\spoolsv.exe
100 - 安全 - Process: userinit.exe [userinit程序运行登陆脚本,建立网络连接和启动shell壳。] - C:\WINDOWS\system32\userinit.exe
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面和文件管理。] - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: rundll32.exe [windows rundll32为了需要调用dlls的程序。] - C:\WINDOWS\system32\rundll32.exe
100 - 安全 - Process: avp.exe [卡巴斯基杀毒软件相关程序。] -
100 - 安全 - Process: taskswitch.exe [在windows xp系统中安装了powertoys后会出现此进程,按alt+tab键显示的切换图标程序。] - C:\WINDOWS\system32\taskswitch.exe
100 - 安全 - Process: IEXPLORE.EXE [microsoft internet explorer浏览器用于浏览网页。] - C:\Program Files\Internet Explorer\IEXPLORE.EXE
100 - 安全 - Process: ThunderShell.exe [迅雷p2p下载软件。] - C:\Program Files\Thunder Network\Thunder\ThunderShell.exe
100 - 安全 - Process: SOUNDMAN.EXE [一个软声卡控制台软件。] - C:\WINDOWS\SOUNDMAN.EXE
100 - 安全 - Process: avp.exe [卡巴斯基杀毒软件相关程序。] -
100 - 安全 - Process: ctfmon.exe [office xp输入法图标。] - C:\WINDOWS\system32\ctfmon.exe
100 - 安全 - Process: 360Safe.exe [360安全卫士相关程序。] - C:\Program Files\360safe\360Safe.exe
100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page=http://www.microsoft.com/isapi/redir.dll?Prd=ie&Pver=5.0&Ar=ie5update&O1=b1
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=
about:blank
O2 - 安全 - BHO: (Google Toolbar Helper) - [Google搜索工具条。] - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - 安全 - Toolbar: (&Google) - [Google IE 客户端工具栏。] - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - 安全 - HKLM\..\Run: [IMJPMIG8.1] [微软Microsoft输入法编辑器程序。] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 安全 - HKLM\..\Run: [PHIME2002ASync] [输入法软件相关程序。] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 安全 - HKLM\..\Run: [PHIME2002A] [输入法软件相关程序。] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 安全 - HKLM\..\Run: [CoolSwitch] [一款windows xp的桌面增强工具。] C:\WINDOWS\system32\taskswitch.exe
O4 - 安全 - HKLM\..\Run: [TkBellExe] [是Real Networks产品定时升级检测程序。] "realsched.exe" -osboot
O4 - 安全 - HKLM\..\Run: [Thunder] [迅雷下载器软件相关程序。] "C:\Program Files\Thunder Network\Thunder\ThunderShell.exe" /s
O4 - 安全 - HKLM\..\Run: [SoundMan] [Realtek声卡相关程序。] SOUNDMAN.EXE
O4 - 安全 - HKLM\..\Run: [kav] [卡巴斯基杀毒软件相关程序。] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] C:\WINDOWS\system32\ctfmon.exe
O4 - 安全 - Startup folder: [Microsoft Office.lnk] [是offfice的一个快捷方式。 ] C:\Documents and Settings\All Users\「开始」菜单\程序\启动\Microsoft Office.lnk
O4 - 安全 - Startup folder: [腾讯QQ.lnk] [qq:即时通讯软件] C:\Documents and Settings\jwz\「开始」菜单\程序\启动\腾讯QQ.lnk
O9 - 安全 - Extra button: 卡巴斯基Web反病毒保护插件(HKLM) - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O23 - 安全 - Service: AVP [卡巴斯基杀毒软件相关程序。] - "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r - (running)
=======================================
O40 - winlogon.exe - Kaspersky Lab - C:\WINDOWS\system32\klogon.dll - Logon Visualizer - 7072750eb5c0f0cd54b48f972855ca61
O40 - Explorer.EXE - - C:\WINDOWS\system32\XK.dll - - 2204b8d81e79473f6d4de871f35cc001
O40 - Explorer.EXE - - C:\WINDOWS\system32\fezbj.dll - -
O40 - Explorer.EXE - - C:\WINDOWS\system32\reakgz94.dll - -
O40 - Explorer.EXE - Google Inc. - c:\program files\google\googletoolbar1.dll - Google IE 客户端工具栏 - 27bc9e891330fbee7ba25d42fb8c8334
O40 - Explorer.EXE - - C:\PROGRA~1\COMMON~1\bsae\fdxi.dll - - f5f0d0481ffd5b5556a98c5a87922830
O40 - rundll32.exe - - C:\WINDOWS\system32\XK.dll - - 2204b8d81e79473f6d4de871f35cc001
O40 - rundll32.exe - - C:\PROGRA~1\COMMON~1\bsae\igal.dll - - f5f0d0481ffd5b5556a98c5a87922830
O40 - RUNDLL32.EXE - Microsoft Corporation - C:\WINDOWS\SYSTEM32\WBEM\OHGIT.DLL - Microsoft irJIT Module - 0c67b0ed34b16007f412cc1f40f5a66e
=======================================
O41 - kl1 - Kaspersky Unified Driver - C:\WINDOWS\system32\drivers\kl1.sys - (running) - Kaspersky Unified Driver - Kaspersky Lab - 5445b03cd42dedf5f85b9daf712fdd09
O41 - klif - spuper-ptor - C:\WINDOWS\system32\drivers\klif.sys - (running) - spuper-ptor - Kaspersky Lab - 2985985b39e13643f941b6396fb915dd
O41 - New0 - New0 - C:\WINDOWS\system32\new.sys - (not running) - - -
O41 - npkcrypt - npkcrypt - D:\qq\npkcrypt.sys - (not running) - - -
O41 - pfc - Padus(R) ASPI Shell - C:\WINDOWS\system32\drivers\pfc.sys - (running) - Padus(R) ASPI Shell - Padus, Inc. - 5903fa75200807ad739286bbf40c4904
O41 - qjufj - qjufj - C:\WINDOWS\system32\drivers\qjufj.sys - (running) - - -
O41 - reakgz94 - reakgz94 - C:\WINDOWS\system32\drivers\reakgz94.sys - (running) - - -
O41 - TSP - spuper-ptor - C:\WINDOWS\system32\drivers\klif.sys - (not running) - spuper-ptor - Kaspersky Lab - 2985985b39e13643f941b6396fb915dd
=======================================
360Safe.exe=2.2.0.1003
AntiAdwa.dll=2.2.0.1000
AntiEng.dll=2.2.0.1000
AntiActi.dll=2.0.0.3000
CleanHis.dll=2.0.0.1001
safelive.exe=1.0.0.2007
live.dll=1.0.0.1011
