逍凡 10 發表於 July 16, 2006 檢舉 Share 發表於 July 16, 2006 不才的電腦在前幾天被惡意植入木馬T_T 木馬的原檔是svhost32.exe\svhost32.exerundll32.exe\rundll32.exe每次卡巴6.0一開機就都會掃出 可是明明就已經刪除了......後來不才用尋找檔案的方式找出原檔.並且直接刪除.經過幾次掃描都認定OK.可是直到今天下午,我重開機,卡巴又再次掃出,我找到原檔查明建立檔案的時間點.可是檔案被建立的時間點,不才的電腦正好在執行網路遊戲......沒有開啟任何及時通 或是網頁......我實在搞不懂木馬是從何而來= ="" 置頂的那篇木馬解決方式我都試過了...... 到最後 不才還是選擇把兩個原檔直接殺掉.可是不知道它會不會又重生阿......><"麻煩高手救救我吧......還有一個問題,之前電腦有安裝Spybot,可是 逛到拂葉大那篇木馬討論串的時候,IE都會自動關閉 = =現在我把那個程式移除了,就不會發生了,這是怎麼回事!?麻煩救救我吧...... 鏈接文章 分享到其他網站
petercpg 10 發表於 July 16, 2006 檢舉 Share 發表於 July 16, 2006 先翻翻精華區然後去抓hijackthis 再把掃完的紀錄檔貼出來... 鏈接文章 分享到其他網站
逍凡 10 發表於 July 16, 2006 作者 檢舉 Share 發表於 July 16, 2006 先翻翻精華區然後去抓hijackthis 再把掃完的紀錄檔貼出來...敢問Peter大 是這一篇嗎!?http://www.student.tw/db/showthread.php?t=41994可是你所貼的第二個連結失效了......不才現在就是害怕木馬又重生阿 = =...... 鏈接文章 分享到其他網站
iamJas 10 發表於 July 16, 2006 檢舉 Share 發表於 July 16, 2006 又是病毒 下次要小心喔不要一中病毒就請人家重灌浪費錢先看精華區自己重灌阿XD快速又方便 鏈接文章 分享到其他網站
petercpg 10 發表於 July 16, 2006 檢舉 Share 發表於 July 16, 2006 敢問Peter大 是這一篇嗎!?http://www.student.tw/db/showthread.php?t=41994可是你所貼的第二個連結失效了......不才現在就是害怕木馬又重生阿 = =......其實是這個 :phttp://www.merijn.org/files/hijackthis.zip 鏈接文章 分享到其他網站
閻武極疾迅 10 發表於 July 16, 2006 檢舉 Share 發表於 July 16, 2006 正版的rundll32.exe只會在system32裡面其他的都是病毒或惡意程式 鏈接文章 分享到其他網站
逍凡 10 發表於 July 17, 2006 作者 檢舉 Share 發表於 July 17, 2006 Logfile of HijackThis v1.99.1Scan saved at 下午 01:24:44, on 2006/7/17Platform: Windows XP (WinNT 5.01.2600)MSIE: Internet Explorer v6.00 (6.00.2600.0000)Running processes:C:\WINDOWS\System32\smss.exeC:\WINDOWS\system32\csrss.exeC:\WINDOWS\system32\winlogon.exeC:\WINDOWS\system32\services.exeC:\WINDOWS\system32\lsass.exeC:\WINDOWS\system32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\System32\svchost.exeC:\WINDOWS\system32\spoolsv.exeC:\WINDOWS\Explorer.exeC:\Program Files\Common Files\Real\Update_OB\realsched.exeC:\Program Files\WinZip\WZQKPICK.EXEC:\Program Files\Java\jre1.5.0_06\bin\jusched.exeC:\Program Files\Messenger\msmsgs.exeC:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exeC:\Program Files\VIA\RAID\raid_tool.exeC:\Program Files\Winamp\Winampa.exeC:\Program Files\QuickTime\qttask.exeC:\Program Files\iTunes\iTunesHelper.exeC:\WINDOWS\System32\RUNDLL32.EXEC:\WINDOWS\System32\rmctrl.exeC:\WINDOWS\System32\ctfmon.exeC:\WINDOWS\SMSS.EXEC:\WINDOWS\System32\rundll32.exeC:\WINDOWS\System32\alg.exeC:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\WINDOWS\System32\nvsvc32.exeC:\Program Files\Analog Devices\SoundMAX\SMAgent.exeC:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exeC:\WINDOWS\System32\wdfmgr.exeC:\Program Files\iPod\bin\iPodService.exeC:\WINDOWS\System32\svchost.exeC:\Program Files\Internet Explorer\IEXPLORE.EXEC:\PROGRA~1\WINZIP\winzip32.exeC:\Documents and Settings\123\Local Settings\Temp\HijackThis.exeR3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dllF2 - REG:system.ini: Shell=Explorer.exe 1O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dllO2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dllO2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dllO2 - BHO: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)O3 - Toolbar: 收音機(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocxO3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dllO3 - Toolbar: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dllO4 - HKLM\..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNCO4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMENameO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [nwiz] nwiz.exe /installO4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osbootO4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -startO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottimeO4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exeO4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exeO4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\SMSS.EXEO4 - HKLM\..\RunServices: [TProgram] C:\WINDOWS\SMSS.EXEO4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exeO4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /backgroundO4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quietO8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.htmlO8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.htmlO8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htmO8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.htmlO8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.htmlO8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.htmlO8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.htmlO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra 'Tools' menuitem: Sun Java 主控台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dllO9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dllO9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\common\yhexbmestw.dllO9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\common\yhexbmestw.dllO9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO9 - Extra button: D.S.Lite - {F8475519-8412-4D40-A46E-692D9D04DF7F} - C:\WINDOWS\System32\shdocvw.dllO9 - Extra 'Tools' menuitem: &D.S.Lite - {F8475519-8412-4D40-A46E-692D9D04DF7F} - C:\WINDOWS\System32\shdocvw.dllO16 - DPF: {1C763326-813B-466F-AF7A-8618C10955D6} (SysCheck.SystemCheck) - http://godserv.games.hinet.net/download/WebInstall.CABO16 - DPF: {1E15B1A7-95CA-4377-B893-697CD95951AE} (ClientATXCtrl Control) - http://www.wayi.com.tw/hot/ClientATXCtrl.OCXO16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - http://www.spywarestormer.com/files2/Install.cabO16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cabO16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118148428685O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cabO16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://202.39.225.174/turnkey/classes/exentCtl.ocxO16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1120827976404O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://61.218.184.141/activex/AxisCamControl.cabO16 - DPF: {9FC9C569-BBEE-491A-A57C-A5E3F048DA31} (Setup Object) - http://godserv.games.hinet.net/download/Player3,6,12,0/YPlayerSetup.CABO16 - DPF: {DEE088A3-D877-45CD-BC26-D84B93095B58} (YBRegCheck Control) - http://www.wayi.com.tw/hot/YBRegCheck.ocxO17 - HKLM\System\CCS\Services\Tcpip\..\{14973606-0E7C-4D5A-9433-B7DC34AE15D9}: NameServer = 168.95.192.1 168.95.1.1O17 - HKLM\System\CS1\Services\Tcpip\..\{14973606-0E7C-4D5A-9433-B7DC34AE15D9}: NameServer = 168.95.192.1 168.95.1.1O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dllO20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dllO23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\IIS_Server.exeO23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exeO23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exeO23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exeO23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exeO23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe麻煩了 = =現在沒掃出任何病毒...... 鏈接文章 分享到其他網站
petercpg 10 發表於 July 17, 2006 檢舉 Share 發表於 July 17, 2006 F2 - REGystem.ini: Shell=Explorer.exe 1O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\SMSS.EXEO23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\IIS_Server.exe這三樣打勾給他修正然後C:\WINDOWS\SMSS.EXE跟C:\WINDOWS\IIS_Server.exe如果還在的話就砍掉吧 鏈接文章 分享到其他網站
逍凡 10 發表於 July 17, 2006 作者 檢舉 Share 發表於 July 17, 2006 F2 - REGystem.ini: Shell=Explorer.exe 1O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\SMSS.EXEO23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\IIS_Server.exe這三樣打勾給他修正然後C:\WINDOWS\SMSS.EXE跟C:\WINDOWS\IIS_Server.exe如果還在的話就砍掉吧可是搜尋到的檔案跟我中獎的日期不符,那還要刪嗎!? 鏈接文章 分享到其他網站
iamJas 10 發表於 July 17, 2006 檢舉 Share 發表於 July 17, 2006 只要是Smss都砍?其實我在考慮明天重灌卡巴一直叫......懶得砍的話重灌很方便XD另外,我推薦Outpost跟NOD32!XD 鏈接文章 分享到其他網站
逍凡 10 發表於 July 17, 2006 作者 檢舉 Share 發表於 July 17, 2006 懶得砍的話重灌很方便XD另外,我推薦Outpost跟NOD32!XD對阿= =打算去買書回來自己搞搞看不才還是電腦新手敢問Outpost跟NOD32是什麼!?先在此感謝peter大 風涯大 閻武大 Jas大.感謝你們對不才的幫忙~^^"(有了網路果然不方便 之前那台電腦用了6年都沒事(謎:因為是單機阿 ))= =' 鏈接文章 分享到其他網站
ckmarkhsu 7 發表於 July 17, 2006 檢舉 Share 發表於 July 17, 2006 Outpost跟NOD32,前者是著名的防火牆,後者是防毒軟體其實只要買個 ip 分享器檔在前面,別亂抓檔案,基本上很難中毒(茶)當然不能用 IE XD 鏈接文章 分享到其他網站
逍凡 10 發表於 July 17, 2006 作者 檢舉 Share 發表於 July 17, 2006 Outpost跟NOD32,前者是著名的防火牆,後者是防毒軟體其實只要買個 ip 分享器檔在前面,別亂抓檔案,基本上很難中毒(茶)當然不能用 IE XD感謝站長解惑,可是防毒軟體,站長不是推薦卡巴6.0嗎!?話說,IP分享器一個多少!?不才沒亂抓檔案阿......那是剛剛好要進入x視討論區 就被植入了= ="" 鏈接文章 分享到其他網站
petercpg 10 發表於 July 17, 2006 檢舉 Share 發表於 July 17, 2006 只要是Smss都砍?其實我在考慮明天重灌卡巴一直叫......SMSS.exe不能亂砍 只有上面提到那個路進的SMSS.exe才可以砍基本上分享器有好有壞 而且弄不好的話在你玩遊戲或是開P2P下載要連線的時候會很麻煩:p另外有些是靠系統漏洞進去的木馬是分享器擋不到的.. 鏈接文章 分享到其他網站
逍凡 10 發表於 July 17, 2006 作者 檢舉 Share 發表於 July 17, 2006 SMSS.exe不能亂砍 只有上面提到那個路進的SMSS.exe才可以砍基本上分享器有好有壞 而且弄不好的話在你玩遊戲或是開P2P下載要連線的時候會很麻煩:p另外有些是靠系統漏洞進去的木馬是分享器擋不到的..喔喔......果然是很精深的學問......恩 我只砍跟日期相符的 剩下的 等明天重灌辛苦peter版主了以後我會多來這邊學習~^^" 鏈接文章 分享到其他網站
open 10 發表於 July 22, 2006 檢舉 Share 發表於 July 22, 2006 O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe↑你有裝什麼遙控裝置嗎?沒的話這個也有問題O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\SMSS.EXEO4 - HKLM\..\RunServices: [TProgram] C:\WINDOWS\SMSS.EXEO9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htmO20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dllO23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\IIS_Server.exe↑如果你沒安裝iis這個也有問題還有小心別刪到系統檔就好了!NOD32這套防毒不推薦因為在64位元的xp會跟nero相衝造成當機! 鏈接文章 分享到其他網站
Recommended Posts
請登入後來留意見
在登入之後,您才能留意見
立即登入