- 论坛徽章:
- 0
|
!!罕见的强悍病毒,大家看看该怎麽处理?
各位高手:
非常感谢您留心我这份系统诊断报告,小菜鸟十万火急等待您的帮助!
该诊断报告由360安全卫士提供 http://www.360safe.com
诊断时间: 2006-11-10 11:19:24
诊断平台: Microsoft Windows 2000 Service Pack 4
IE版本: Internet Explorer V6.0.2800.1106 Build:62800.1106
计算机物理内存:510MB - 当前可用内存:181MB
100 - 未知 - Process: tomcat5.exe [Service Runner] - "C:\Program Files\Apache Software Foundation\Tomcat 5.0\bin\tomcat5.exe" //RS//Tomcat5
100 - 未知 - Process: jusched.exe [] - "C:\Program Files\Java\j2re1.4.2_12\bin\jusched.exe"
R0 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.joyo.com/
O4 - 未知 - HKLM\..\Run: [WinStar] [] C:\WINNT\IEXPL0RE.exe
O8 - 未知 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - 未知 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - 未知 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - 未知 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 未知 - Extra button: 信息检索(HKLM) - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - 未知 - Extra button: 腾讯QQ(HKLM) - C:\Program Files\Tencent\QQ\QQ.EXE
O10 - 未知 - Winsock LSP: [MFClDLL] [{D3C23621-85E1-4DF3-9AB6-23D9C073A7EB}]C:\WINNT\system32\aelupsvc32.dll
O10 - 未知 - Winsock LSP: [MFClDLL] [{4D1E99ED-116A-485A-8FD4-1D7EF27BD907}]C:\WINNT\system32\aelupsvc32.dll
O11 - 未知 - Options Group: Java (Sun)
O16 - 未知 - DPF: {CAFEEFAC-0014-0002-0012-ABCDEFFEDCBA} (Java Plug-in 1.4.2_12) - http://java.sun.com/products/plu ... 42-windows-i586.cab
O21 - 未知 - Protocol Icons: HKCR\http\shell\open\command - "C:\PROGRA~1\INTERN~1\IEXPLORE.EXv" -nohome
O21 - 未知 - Protocol Icons: HKCR\ftp\shell\open\command - "C:\PROGRA~1\INTERN~1\IEXPLORE.EXv" %1
O21 - 未知 - Protocol Icons: HKCR\https\shell\open\command - "C:\PROGRA~1\INTERN~1\IEXPLORE.EXv" -nohome
O21 - 未知 - Protocol Icons: HKCR\htmlfile\shell\open\command - "C:\PROGRA~1\INTERN~1\IEXPLORE.EXv" -nohome
O21 - 未知 - Protocol Icons: HKCR\htmlfile\DefaultIcon - C:\PROGRA~1\INTERN~1\IEXPLORE.EXv,1
O23 - 未知 - Service: MSSEARCH [基于结构化和半结构化数据的内容以及属性生成全文索引,以便可以对数据进行快速的单词搜索] - "C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe"
O23 - 未知 - Service: MSSQLSERVER [MSSQLSERVER] - C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe
O23 - 未知 - Service: SOCEESe [管理系统的安全目录,存储关键的安全信息。] -
O23 - 未知 - Service: SQLSERVERAGENT [SQLSERVERAGENT] - C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlagent.exe
O23 - 未知 - Service: Tomcat5 [Apache Tomcat 5.0.28 Server - http://jakarta.apache.org/tomcat/] - "C:\Program Files\Apache Software Foundation\Tomcat 5.0\bin\tomcat5.exe" //RS//Tomcat5
O23 - 未知 - Service: TrkSvr [保存文件在域中卷之间移动的信息。] - C:\WINNT\system32\services.exe
=======================================
100 - 安全 - Process: smss.exe [该进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登陆过程。] - \SystemRoot\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统,用以控制windows图形相关子系统。] - C:\WINNT\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512,512 Windows=On SubSystemType=Windows ServerDll=basesrv,1 ServerDll=winsrv:UserServerDllInitialization,3 ServerDll=winsrv:ConServerDllInitialization,2 ProfileControl=Off MaxReques
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINNT\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINNT\system32\lsass.exe
100 - 安全 - Process: ati2evxx.exe [ati显卡相关后台程序。] - C:\WINNT\system32\Ati2evxx.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINNT\system32\svchost -k rpcss
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINNT\system32\svchost.exe -k netsvcs
100 - 安全 - Process: SPOOLSV.EXE [windows打印任务控制程序,用以打印机就绪。] - C:\WINNT\system32\spoolsv.exe
100 - 安全 - Process: msdtc.exe [microsoft distributed transaction coordinator控制多个服务器的传输,被安装在microsoft personal web server和microsoft sql server。] - C:\WINNT\system32\msdtc.exe
100 - 安全 - Process: llssrv.exe [windows自带的许可证日志记录服务。] - C:\WINNT\System32\llssrv.exe
100 - 安全 - Process: FrameworkService.exe [Network Associates公司的E-policy反病毒套装的一部分。 ] - "C:\Program Files\Network Associates\Common Framework\FrameworkService.exe" /ServiceStart
100 - 安全 - Process: Mcshield.exe [mcafee virusscan是一个反病毒软件用以扫描你的文件和email中的病毒。] - "C:\Program Files\Network Associates\VirusScan\Mcshield.exe"
100 - 安全 - Process: VsTskMgr.exe [network associates公司出品的相关杀毒软件的一部分。] - "C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe"
100 - 安全 - Process: naPrdMgr.exe [mcafee epolicy orchestrator网络安全程序。] - C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe -Embedding
100 - 安全 - Process: sqlservr.exe [microsoft sql server用于架设sql服务。] - C:\PROGRA~1\MICROS~3\MSSQL\binn\sqlservr.exe
100 - 安全 - Process: regsvc.exe [远程注册表服务用于访问在远程计算机的注册表。] - C:\WINNT\system32\regsvc.exe
100 - 安全 - Process: mstask.exe [windows计划任务用于设定继承在什么时间或者什么日期备份或者运行。] - C:\WINNT\system32\MSTask.exe
100 - 安全 - Process: winmgmt.exe [windows management service透过windows management instrumentation data (wmi)技术处理来自应用客户端的请求。] - C:\WINNT\System32\WBEM\WinMgmt.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINNT\system32\svchost.exe -k wugroup
100 - 安全 - Process: dfssvc.exe [管理分布于局域网或广域网的逻辑卷的程序。] - C:\WINNT\system32\Dfssvc.exe
100 - 安全 - Process: mssearch.exe [microsoft sql server全文搜索服务相关程序。] - "C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe"
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINNT\System32\svchost.exe -k tapisrv
100 - 安全 - Process: ati2evxx.exe [ati显卡相关后台程序。] - Ati2evxx.exe -Client
100 - 安全 - Process: shstat.exe [美国网络联盟(nai)公司出品的virusscan病毒扫描清理软件的一部分。] - "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
100 - 安全 - Process: UpdaterUI.exe [network associates公司出品的反病毒相关软件的一部分。] - "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
100 - 安全 - Process: TBMon.exe [network associates公司出品的计算机错误报告信息服务相关程序。] - "C:\Program Files\Common Files\Network Associates\TalkBack\TBMon.exe"
100 - 安全 - Process: CTFMON.EXE [office xp输入法图标。] - "C:\WINNT\system32\CTFMON.EXE"
100 - 安全 - Process: sqlmangr.exe [sql server服务管理器软件。] - "C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe" /n
100 - 安全 - Process: wuauclt.exe [windows操作系统后台程序,用于系统升级。] - "C:\WINNT\system32\wuauclt.exe"
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面和文件管理。] - C:\WINNT\explorer.exe
100 - 安全 - Process: IEXPLORE.EXE [microsoft internet explorer浏览器用于浏览网页。] - "C:\Program Files\Internet Explorer\IEXPLORE.EXE"
100 - 安全 - Process: msimn.exe [microsoft outlook express邮件客户端软件。] - "C:\Program Files\Outlook Express\msimn.exe"
100 - 安全 - Process: CheckTool.exe [360Tools Microsoft 基础类应用程序] - "C:\Documents and Settings\Administrator\桌面\360安全卫士系统诊断工具CheckTool\360安全卫士系统诊断工具CheckTool\CheckTool.exe"
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINNT\system32\blank.htm
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINNT\system32\blank.htm
---------------------------------------------------------------------------------------------------------------------------
附加说明我的处理过程如下:
1。一开始是同事电脑奇慢,叫我帮忙处理,我发现他没装防毒软件。我用了RogueCleaner_PConline、360安全卫士把流氓软件先清理了一下(其中有雅虎助手)。
2。之后用sreng2.2.6.605(System Repair Engineer)检查,发现注册表中还有一些可疑表项,其中有一项HKLM\..\Run: [WinStar] [] C:\WINNT\IEXPL0RE.exe,(刚发现单词里的是零“0”,不是字母“O”),删除该键后就立即又有了;C:\WINNT\IEXPL0RE.exe文件也不能删除;后台进程里也有几个IEXPLORE.exe,且有一个无法正常终止;
3。检查C:\Program Files\Internet Explorer\发现有些乱七八糟的文件,如:有四个以IEXPLORE开头的文件,其中IEXPLORE.exe和IEXPLORE.dat不能删除。
4。此时发现还有一个新问题是,360安全卫士不能用了,文件都被删除了,用360修复软件提示没有问题,但重新安装360,安装包就是无法运行,想启动IceSword也不能启动(这些软件在别的电脑上可以正常运行)
5。由于在安全模式下也无法删除可疑文件,于是我下载使用KillBox和木马剑客ForceKill删除了C:\Program Files\Internet Explorer\下几个可疑文件和C:\WINNT\IEXPL0RE.exe,还有一个可疑隐藏文件C:\WINNT\system.exe。木马剑客ForceKill在C:\WINNT\下建立了两个文件夹以防止再建立IEXPL0RE.exe和system.exe文件。
6。重启动后系统总是打开C:\WINNT\IEXPL0RE.exe文件夹。注册表中可疑表项HKLM\..\Run: [WinStar] [] C:\WINNT\IEXPL0RE.exe删除后还是立即又有了,不知道是哪个程序文件修改的;所以我下载安装了注册表监视工具ResplendentRegistrar3.30,在监视状态下再次删除该表项,删除后还是立即又有了。但是在注册表监视工具里只记录到我用REGEDIT删除该表项的操作,没有记录到其它程序建立该表项的动作。(郁闷啊)
7。安装了mcafee virusscan企业版8.0,升级了最新病毒码和引擎,发现了一些病毒,都清理了,但是该注册表项删除又立刻重建的现象依然存在。
8。用sreng2.2、HijackThis1991、360安全卫士系统诊断工具CheckTool检查日志分析过,没发现其他可疑文件。
现在不知道怎麽办好了, 各位大侠帮忙分析一下吧。
注:上面日志中出现了O21 - 未知 - Protocol Icons: HKCR\http\shell\open\command - "C:\PROGRA~1\INTERN~1\IEXPLORE.EXv" -nohome
先前我把IEXPLORE.EXE的名字改过IEXPLORE.EXv,但是不知道这里怎麽也会有这样的表项。
现在的问题是“注册表中可疑表项HKLM\..\Run: [WinStar] [] C:\WINNT\IEXPL0RE.exe删除后还是立即又有了,不知道是哪个程序文件修改的”,这个重建注册表项的病毒文件始终没有发现。
[ 本帖最后由 fanyf 于 2006-11-29 13:22 编辑 ] |
|
免费注册
发表于 2006-11-11 16:53
