.Yet584
现象1:
我最近在使用一款网络电视,PPLIVE。并习惯于在看的同时玩游戏(用窗口模式下玩),但最近一段时间以来就出现了系统自动从起的现象,十分不解。金山查过毒,木马克星扫过木马 皆我异常。
现象2:
2周前我的QQ突然丢失。丢失之前曾发现QQ提示“XXXXXX(我的Q号)以在别处登陆,被迫下线!”/
我知道 我中了木马,但却没有杀马的方法。
现象3:
昨天晚上又不知道为什么 就中了“落雪”木马。就是用来盗 传奇世界 号的木马。
此问题现以解决。
本人使用 WINXP-SP1 系统 P4 1。7 CPU 512M 内存。相信不会是系统资源问题而使系统重起。
但我知道,我的系统存在各种漏洞,因为我很少使用各种系统补丁。
希望解决的问题:
1。解决我现在系统每隔一段时间就会自动重起的问题(只要不让我重新分区就行,也不要格掉C以外的区-C为我的系统区)
2。彻底检查我的系统看看现在有没有中什么木马和其他恶意程序,包括病毒。
系统扫描日志
(已经按照 置顶说的 先在安全模式下 用SRENG 修正了下 然后在 安全模式下 扫描的这个日志)
HijackThis_815汉化版扫描日志 V1.99.1
保存于 9:21:50, 日期 2006-9-23
操作系统: Windows XP SP1 (WinNT 5.01.2600)
浏览器: Internet Explorer v6.00 SP1 (6.00.2800.1106) ,
当前运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\WinRAR\WinRAR.exe
C:\DOCUME~1\lvfe\LOCALS~1\Temp\Rar$EX00.583\HijackThis1991zww.exe
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v4.dll
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL (file missing)
O3 - IE工具栏增项: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\WINDOWS\Downloaded Program Files\ycomp5_1_6_0.dll
O3 - IE工具栏增项: 金山毒霸 - {A9BE2902-C447-420A-BB7F-A5DE921E6138} - D:\KAV6\KAIEPlus.DLL www.dngz.net
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [NvCplDaemon] ; RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - 启动项HKLM\\Run: [iDuba Personal FireWall] ; D:\KAV6\KAVPFW.EXE
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] ; "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [KernelFaultCheck] ; ; %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\Run: [KpopMon] ; D:\KAV6\KpopMon.EXE
O4 - 启动项HKLM\\Run: [Kulansyn] ; D:\KAV6\Kulansyn.EXE
O4 - 启动项HKLM\\Run: [ms] ; ; C:\Program Files\Microsoft\svhost32.exe
O4 - 启动项HKLM\\Run: [NvMediaCenter] ; RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - 启动项HKLM\\Run: [nwiz] ; nwiz.exe /install
O4 - 启动项HKLM\\Run: [PHIME2002A] ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [PHIME2002ASync] ; C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [Soltek] ; C:\WINDOWS\System32\autorun.exe
O4 - 启动项HKLM\\Run: [SoundMan] ; SOUNDMAN.EXE
dngz.net
O4 - 启动项HKLM\\Run: [StormCodec_Helper] ; "D:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [Super Rabbit SRRestore] ;
O4 - 启动项HKLM\\Run: [Tray] ; ; C:\WINDOWS\command\rundll32.exe
O4 - 启动项HKLM\\Run: [zt] ; ; C:\WINDOWS\Intel\rundll32.exe
O4 - 启动项HKLM\\RunServices: [Patches Value] ; WinGamed.exe
O4 - HKCU\..\Run: [ctfmon.exe] ; C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [Patches Value] ; WinGamed.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - d:\Program Files\Sandai Technologies Inc\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - d:\Program Files\Sandai Technologies Inc\Thunder\getAllurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\WINDOWS\System32\shdocvw.dll www.dngz.net
O9 - 浏览器额外的“工具”菜单项: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\WINDOWS\System32\shdocvw.dll
O9 - 浏览器额外的按钮: 金山卓越 - {8DE0FCD4-5EB5-11D3-AD25-00002100131B} - url:http://www.joyo.com (file missing)
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: 易趣购物 - {DE607145-AC19-425e-866A-6D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {DE607145-AC19-425e-866A-6D70ABDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=5 (file missing)
O9 - 浏览器额外的按钮: 金山毒霸网站 - {e1fc9760-7b95-49cd-80b9-8c9e41017b93} - url:http://www.duba.net (file missing)
O9 - 浏览器额外的按钮: 在线查毒 - {f58d36c3-40be-4418-a786-d8fbe3eb3554} - D:\KAV6\kavie.HTM
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} (&Yahoo! Companion) - http://us.dl1.yimg.com/download.companion.yahoo.com/dl/toolbar/yiebio5_1_6_0.cab dngz.net版权所有
O23 - NT 服务: Kingsoft AntiVirus Service (KAVSvc) - kingsoft Antivirus - D:\KAV6\KAVSvc.EXE
O23 - NT 服务: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
我是新人 以上就是自己所能做的。我尽力了 还是解决不了。希望论坛的各位专家能帮帮我。先谢谢各位!
[ 本帖最后由 lvfe 于 2006-9-24 20:12 编辑 ]
O4 - 启动项HKLM\\Run: [Super Rabbit SRRestore] ; 能确认这是兔子的吗?
以下启动取消,删除文件:
O4 - 启动项HKLM\\Run: [Tray] ; ; C:\WINDOWS\command\rundll32.exe
O4 - 启动项HKLM\\Run: [zt] ; ; C:\WINDOWS\Intel\rundll32.exe
O4 - 启动项HKLM\\RunServices: [Patches Value] ; WinGamed.exe
O4 - 启动项HKLM\\Run: [Soltek] ; C:\WINDOWS\System32\autorun.exe(硕泰克的?再查查)
O4 - 启动项HKLM\\Run: [ms] ; ; C:\Program Files\Microsoft\svhost32.exe
O4 - HKCU\..\Run: [Patches Value] ; WinGamed.exe
我也不打补丁,但没出现过什么大问题;
防护要做好,只上知名的网站,即便去色网也是一样,嘿嘿
是兔子
O4 - 启动项HKLM\\Run: [Tray] ; ; C:\WINDOWS\command\rundll32.exe
O4 - 启动项HKLM\\Run: [zt] ; ; C:\WINDOWS\Intel\rundll32.exe www.dngz.net
O4 - 启动项HKLM\\RunServices: [Patches Value] ; WinGamed.exe
O4 - 启动项HKLM\\Run: [Soltek] ; C:\WINDOWS\System32\autorun.exe(硕泰克的?再查查)
O4 - 启动项HKLM\\Run: [ms] ; ; C:\Program Files\Microsoft\svhost32.exe
O4 - HKCU\..\Run: [Patches Value] ; WinGamed.exe
是 硕泰克的板子
删这些是要在 安全模式下删吗?是在HIJACKTHIS上删吗?
一楼分析的挺清楚```顶一下
学习中~~~~'再这里顺便介绍下用木马清道夫全面查下(极力推荐查进程和启动项)又没有中木马'
我也遇到了这种问题。
木马清道夫
论坛内有下吗?
给个连接 谢谢
还有,他让我删的那些都是什么东西啊?我机器重起是不是与这个有关呢?
O4 - 启动项HKLM\\Run: [KernelFaultCheck] ; ; %systemroot%\system32\dumprep 0 -k
楼主修复这个就可以解决机子重启的症状...
O4 - 启动项HKLM\\Run: [Tray] ; ; C:\WINDOWS\command\rundll32.exe
O4 - 启动项HKLM\\Run: [zt] ; ; C:\WINDOWS\Intel\rundll32.exe
O4 - 启动项HKLM\\RunServices: [Patches Value] ; WinGamed.exe
O4 - 启动项HKLM\\Run: [Soltek] ; C:\WINDOWS\System32\autorun.exe(硕泰克的?再查查)
O4 - 启动项HKLM\\Run: [ms] ; ; C:\Program Files\Microsoft\svhost32.exe
www.dngz.net
O4 - HKCU\..\Run: [Patches Value] ; WinGamed.exe
这些里面我只删掉了O4 - 启动项HKLM\\RunServices: [Patches Value] ; WinGamed.exe
别的删不掉啊 怎么办?
O4 - 启动项HKLM\\RunServices: [Patches Value] ; WinGamed.exe
这个也要看看服务里面,用兔子把其服务删除;
首先取消启动,在安全模式下删除应该没问题
经过1天多的试验的确解决了问题 再次感谢各位的帮助。^^
问题已经得到解决,根据版规斑竹请锁本贴。