【問題】關於電腦病毒......

逍凡 · July 16, 2006

不才的電腦在前幾天被惡意植入木馬T_T

木馬的原檔是

svhost32.exe\svhost32.exe

rundll32.exe\rundll32.exe

每次卡巴6.0一開機就都會掃出可是明明就已經刪除了......

後來不才用尋找檔案的方式找出原檔.

並且直接刪除.

經過幾次掃描都認定OK.

可是直到今天下午,我重開機,卡巴又再次掃出,我找到原檔查明建立檔案的時間點.

可是檔案被建立的時間點,不才的電腦正好在執行網路遊戲......沒有開啟任何及時通或是網頁......我實在搞不懂木馬是從何而來= =""

置頂的那篇木馬解決方式我都試過了...... 到最後不才還是選擇把兩個原檔直接殺掉.

可是不知道它會不會又重生阿......><"

麻煩高手救救我吧......

還有一個問題,之前電腦有安裝Spybot,可是逛到拂葉大那篇木馬討論串的時候,IE都會自動關閉 = =

現在我把那個程式移除了,就不會發生了,這是怎麼回事!?麻煩救救我吧......

petercpg · July 16, 2006

先翻翻精華區

然後去抓hijackthis 再把掃完的紀錄檔貼出來...

逍凡 · July 16, 2006

先翻翻精華區
然後去抓hijackthis 再把掃完的紀錄檔貼出來...

敢問Peter大是這一篇嗎!?

http://www.student.tw/db/showthread.php?t=41994

可是你所貼的第二個連結失效了......

不才現在就是害怕木馬又重生阿 = =......

小池徹平 · July 16, 2006

又是病毒下次要小心喔

不要一中病毒就請人家重灌

浪費錢

先看精華區

iamJas · July 16, 2006

又是病毒下次要小心喔
不要一中病毒就請人家重灌
浪費錢
先看精華區

自己重灌阿XD

快速又方便

petercpg · July 16, 2006

敢問Peter大是這一篇嗎!?
http://www.student.tw/db/showthread.php?t=41994
可是你所貼的第二個連結失效了......
不才現在就是害怕木馬又重生阿 = =......

其實是這個 :p

http://www.merijn.org/files/hijackthis.zip

閻武極疾迅 · July 16, 2006

正版的rundll32.exe只會在system32裡面

其他的都是病毒或惡意程式

風涯淚雪 · July 17, 2006

掃描電腦中的*.exe;*.dll

逐一檢查(可以配合日期限制)

逍凡 · July 17, 2006

Logfile of HijackThis v1.99.1

Scan saved at 下午 01:24:44, on 2006/7/17

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\Program Files\WinZip\WZQKPICK.EXE

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\VIA\RAID\raid_tool.exe

C:\Program Files\Winamp\Winampa.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\RUNDLL32.EXE

C:\WINDOWS\System32\rmctrl.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\SMSS.EXE

C:\WINDOWS\System32\rundll32.exe

C:\WINDOWS\System32\alg.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\nvsvc32.exe

C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\PROGRA~1\WINZIP\winzip32.exe

C:\Documents and Settings\123\Local Settings\Temp\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll

F2 - REG:system.ini: Shell=Explorer.exe 1

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)

O3 - Toolbar: 收音機(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no file)

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn2\yt.dll

O4 - HKLM\..\Run: [iMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe

O4 - HKLM\..\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\SMSS.EXE

O4 - HKLM\..\RunServices: [TProgram] C:\WINDOWS\SMSS.EXE

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Add to Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java 主控台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\common\yhexbmestw.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\common\yhexbmestw.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: D.S.Lite - {F8475519-8412-4D40-A46E-692D9D04DF7F} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra 'Tools' menuitem: &D.S.Lite - {F8475519-8412-4D40-A46E-692D9D04DF7F} - C:\WINDOWS\System32\shdocvw.dll

O16 - DPF: {1C763326-813B-466F-AF7A-8618C10955D6} (SysCheck.SystemCheck) - http://godserv.games.hinet.net/download/WebInstall.CAB

O16 - DPF: {1E15B1A7-95CA-4377-B893-697CD95951AE} (ClientATXCtrl Control) - http://www.wayi.com.tw/hot/ClientATXCtrl.OCX

O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} - http://www.spywarestormer.com/files2/Install.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www3.ca.com/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1118148428685

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - http://202.39.225.174/turnkey/classes/exentCtl.ocx

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1120827976404

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://61.218.184.141/activex/AxisCamControl.cab

O16 - DPF: {9FC9C569-BBEE-491A-A57C-A5E3F048DA31} (Setup Object) - http://godserv.games.hinet.net/download/Player3,6,12,0/YPlayerSetup.CAB

O16 - DPF: {DEE088A3-D877-45CD-BC26-D84B93095B58} (YBRegCheck Control) - http://www.wayi.com.tw/hot/YBRegCheck.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{14973606-0E7C-4D5A-9433-B7DC34AE15D9}: NameServer = 168.95.192.1 168.95.1.1

O17 - HKLM\System\CS1\Services\Tcpip\..\{14973606-0E7C-4D5A-9433-B7DC34AE15D9}: NameServer = 168.95.192.1 168.95.1.1

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\IIS_Server.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

麻煩了 = =

現在沒掃出任何病毒......

petercpg · July 17, 2006

F2 - REGystem.ini: Shell=Explorer.exe 1

O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\SMSS.EXE

O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\IIS_Server.exe

這三樣打勾給他修正

然後C:\WINDOWS\SMSS.EXE跟C:\WINDOWS\IIS_Server.exe如果還在的話就砍掉吧

逍凡 · July 17, 2006

F2 - REGystem.ini: Shell=Explorer.exe 1
O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\SMSS.EXE
O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\IIS_Server.exe
這三樣打勾給他修正
然後C:\WINDOWS\SMSS.EXE跟C:\WINDOWS\IIS_Server.exe如果還在的話就砍掉吧

可是搜尋到的檔案跟我中獎的日期不符,那還要刪嗎!?

petercpg · July 17, 2006

照砍那不是正常的檔案XD

逍凡 · July 17, 2006

只要是Smss都砍?

其實我在考慮明天重灌

卡巴一直叫......

iamJas · July 17, 2006

只要是Smss都砍?
其實我在考慮明天重灌
卡巴一直叫......

懶得砍的話重灌很方便XD

另外，我推薦Outpost跟NOD32！XD

逍凡 · July 17, 2006

懶得砍的話重灌很方便XD
另外，我推薦Outpost跟NOD32！XD

對阿= =

打算去買書回來自己搞搞看

不才還是電腦新手

敢問Outpost跟NOD32是什麼!?

先在此感謝peter大風涯大閻武大 Jas大.

感謝你們對不才的幫忙~^^"

(有了網路果然不方便之前那台電腦用了6年都沒事(謎:因為是單機阿 ))= ='

ckmarkhsu · July 17, 2006

Outpost跟NOD32，前者是著名的防火牆，後者是防毒軟體

其實只要買個 ip 分享器檔在前面，別亂抓檔案，基本上很難中毒(茶)

當然不能用 IE XD

逍凡 · July 17, 2006

Outpost跟NOD32，前者是著名的防火牆，後者是防毒軟體
其實只要買個 ip 分享器檔在前面，別亂抓檔案，基本上很難中毒(茶)
當然不能用 IE XD

感謝站長解惑,可是防毒軟體,站長不是推薦卡巴6.0嗎!?

話說,IP分享器一個多少!?

不才沒亂抓檔案阿......

那是剛剛好要進入x視討論區就被植入了= =""

petercpg · July 17, 2006

只要是Smss都砍?
其實我在考慮明天重灌
卡巴一直叫......

SMSS.exe不能亂砍只有上面提到那個路進的SMSS.exe才可以砍

基本上分享器有好有壞而且弄不好的話在你玩遊戲或是開P2P下載要連線的時候會很麻煩:p

另外有些是靠系統漏洞進去的木馬是分享器擋不到的..

逍凡 · July 17, 2006

SMSS.exe不能亂砍只有上面提到那個路進的SMSS.exe才可以砍
基本上分享器有好有壞而且弄不好的話在你玩遊戲或是開P2P下載要連線的時候會很麻煩:p
另外有些是靠系統漏洞進去的木馬是分享器擋不到的..

喔喔......

果然是很精深的學問......

恩我只砍跟日期相符的剩下的等明天重灌

辛苦peter版主了

以後我會多來這邊學習~^^"

open · July 22, 2006

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe

↑你有裝什麼遙控裝置嗎？沒的話這個也有問題

O4 - HKLM\..\Run: [TProgram] C:\WINDOWS\SMSS.EXE

O4 - HKLM\..\RunServices: [TProgram] C:\WINDOWS\SMSS.EXE

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll

O23 - Service: Gray_Pigeon_Server (GrayPigeonServer) - Unknown owner - C:\WINDOWS\IIS_Server.exe

↑如果你沒安裝iis這個也有問題

還有小心別刪到系統檔就好了！

NOD32這套防毒不推薦

因為在64位元的xp會跟nero相衝

造成當機！

逍凡 · July 22, 2006

謝謝解惑

電腦重灌完畢~^^

登入

【問題】關於電腦病毒......

Recommended Posts

逍凡 10

鏈接文章

分享到其他網站

petercpg 10

鏈接文章

分享到其他網站

逍凡 10

鏈接文章

分享到其他網站

小池徹平 10

鏈接文章

分享到其他網站

iamJas 10

鏈接文章

分享到其他網站

petercpg 10

鏈接文章

分享到其他網站

閻武極疾迅 10

鏈接文章

分享到其他網站

風涯淚雪 10

鏈接文章

分享到其他網站

逍凡 10

鏈接文章

分享到其他網站

petercpg 10

鏈接文章

分享到其他網站

逍凡 10

鏈接文章

分享到其他網站

petercpg 10

鏈接文章

分享到其他網站

逍凡 10

鏈接文章

分享到其他網站

iamJas 10

鏈接文章

分享到其他網站

逍凡 10

鏈接文章

分享到其他網站

ckmarkhsu 7

鏈接文章

分享到其他網站

逍凡 10

鏈接文章

分享到其他網站

petercpg 10

鏈接文章

分享到其他網站

逍凡 10

鏈接文章

分享到其他網站

open 10

鏈接文章

分享到其他網站

逍凡 10

鏈接文章

分享到其他網站

請登入後來留意見