【已解决】大哥大姐帮忙了小弟碰到了千年难遇的难题了~|-站长天下

首页 ┆ 文章中心 ┆ 下载中心 ┆ 娱乐八卦 ┆ 本站论坛 ┆ 拜仁联盟 ┆ 球迷社区 ┆ 博客日志 ┆ 建站服务 ┆ 域名抢注 ┆ 繁體中文

载入中…

E-mail:WebMaster#fcbu.com

\|	源码下载 \| 工具下载 \| 素材下载 \| 教程下载 \| ASP 源码 \| PHP 源码 \| JSP 源码 \| ASP 教程 \| .NET教程 \| PHP 教程 \| 服务器教程 \|
\|	网络资讯 \| 网站运营 \| 网页制作 \| 数据库 \| 网络编程 \| 图象媒体 \| 操作系统 \| 网络应用 \| 软件教学 \| 火爆影视 \| 五花八门\|
\|	电脑医院 \| 系统攻略 \| 网管技术 \| 电脑硬件 \| 软件天地 \| 网络知识 \| 网页制作 \| 编程讨论 \| 综合问题 \| 职场生涯 \| 数码手机\|

载入中…

当前位置:站长天下 -> 电脑医院 -> 【已解决】大哥大姐帮忙了小弟碰到了千年难遇的难题了~

【已解决】大哥大姐帮忙了小弟碰到了千年难遇的难题了~

作者：TTXS(Fcbu.Com)　　来源：互联网　　发表时间：2006-08-23　　

小弟是山东济南的网吧技术员
近日做系统碰到一个难题~
我在的这个网吧有两个店　　因长时间不在这边机器大部分都有病毒症状就是
用着用着没声音了　　也就是自动把 windows audio 服务给停止了每次没声音了要重新启动
运行注销以后出不来桌面　　任务管理器也出不来按了热键以后他在右下角只显示一个绿色的图标然后机器就处于一个假死状态
在机器的c盘下边　　会有一些 win32.exe 等文件
因为机器都有保护从新启动以后就没有了但是一会又会出来　　
根据小弟判断是网吧内部有的机器上边有病毒传播过来的
因此决定重新做一下系统全部重新克盘
噩耗从此~~~
第一次做系统是在前几天　　做完系统以后先是装瑞星（正版）升级病毒库
然后系统在线打上所有的补丁
然后做一些简单优化到了最后重新启动机器准备做备份的时候开机进桌面非常的慢进去以后的症状就是
点我的电脑属性　　网上邻居属性什么的提示一个什么什么文件丢失
然后打开我的电脑或者是什么文件夹就提示系统资源不足
我实过的所有的杀毒软件也都是缺少文件无法运行　　偶装了天网　　诺顿　　瑞星　　木马清道夫 nod32 卡巴　　绿鹰等~
都不能正常运行
重起以后用pq 检查磁盘分区　　提示分区表错误　　大体意思就是磁盘被非正常卸下
我做系统时都是重新分区格式化然后重新写主引导记录　　bios放电以后不带网线的情况下做的系统
做完了　　才插网线进行病毒库升级的
这个病毒具我感觉应该是蠕虫性质的　　生存于网络和内存中
所以机器开机以后从网络自然又会传染到机器上来
并且会破坏分区表主引导记录　　占用大量系统资源等~
为了避免病毒　　偶在昨天跑回那边分店做系统
那边店　　现在已经停业　　机器还都闲着
我想到那边做好母盘以后拿回来克应该没问题了
可是我想不到的是情况和这边一样 ~~~~
晕忽忽
我一直装的系统是xp sp2　　
驱动用的主板带的光盘上的驱动
系统版本我也换了好几个　　番茄的原版的　　秋日无痕的诺德尔的。。。。
所以怀疑是不是硬件和某个东东不兼容造成的
可是我原来的时候装系统也都是这样装的　　也没发现这样的情况啊~~~~~
小弟现在是极度郁闷中~~~
请各位大哥大姐帮我想个办法
俺生平做系统无数　　搞电脑也有五年之多　　这一次　　我真的是认栽了~~~~
大哥大姐门帮小弟想想办法　　下辈子俺就是做牛做马也一定报答您对俺的恩情~
[ 本帖最后由网络vs浪子于 2006-7-4 11:02 编辑 > 有问题尽管问，但是不要说的那么可怜。
楼主可参照置顶帖，下载SRENG扫描日志发到这里。建议你换块硬盘做母盘试，如还这样再找台有病毒的机子用置顶SRENG软件扫个日志后贴上来！硬盘　　内存条
甚至都换了　　四台机器了
换机器换地方做到白搭
不过装了还原的机器就没问题~
这个冰点还能防的住他~~~~
等我找个机器扫描一下日志给发过来哈
不过　　我只能找带还原的机器扫描
也许有我说的这个病毒也许没有
我做系统用瑞星什么的全盘扫都扫不出病毒的去查查是否有这个毒吧！
2006-06-17,17:13:14
System Repair Engineer 2.0.12.350 (2.0 RC 1)
　　 Windows XP Professional Service Pack 1 - 管理权限用户 - 完整功能
以下内容被选中：
　　所有的启动项目（包括注册表、启动文件夹、服务等）
　　浏览器加载项
　　正在运行的进程（包括进程模块信息）
　　文件关联
启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows>
　　＜load＞＜＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜wxClient＞＜; C:\WINDOWS\System32\Clsmn.exe＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜MyApp＞＜; D:\Program Files\HC\HCard\RunMe.exe＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜MyApp2＞＜; D:\Program Files\HC\HCard\System.exe＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜Gsp2k＞＜; D:\Program Files\Richtech\GxpClient\AutoStar.EXE＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜HotKeysCmds＞＜; C:\WINDOWS\System32\hkcmd.exe＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜IgfxTray＞＜; C:\WINDOWS\System32\igfxtray.exe＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜KillCopy＞＜; d:\Program Files\KillSoft\KillCopy\kcresume.exe /startup＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜NMGameX_AutoRun＞＜; C:\WINDOWS\System32\Rundll32.exe NMGameX.dll,LiveProcess /aa＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜RunStar＞＜; D:\Program Files\HC\HCard\smss.exe＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜snpstd3＞＜; C:\WINDOWS\vsnpstd3.exe＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜TkBellExe＞＜; ＂C:\Program Files\Common Files\Real\Update_OB\realsched.exe＂　　-osboot＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜Update＞＜; C:\Program Files\Common Files\UPDATE\Update.exe＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon>
　　＜shell＞＜Explorer.exe＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon>
　　＜Userinit＞＜C:\WINDOWS\system32\userinit.exe,＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows>
　　＜AppInit_DLLs＞＜＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon>
　　＜GinaDLL＞＜C:\WINDOWS\system32\LogUser.dll＞
==================================
启动文件夹
[INTERNAT>
　　＜C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\INTERNAT.lnk＞＜N＞
[净网先锋>
　　＜C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\净网先锋.lnk＞＜N＞
==================================
服务
[DefWatch / DefWatch>
　　＜D:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe＞＜Symantec Corporation＞
[DFServEx / DFServEx>
　　＜C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe＞＜Hyper Technologies Inc.＞
[游戏共享精灵XP客户端服务 / GspClient>
　　＜D:\Program Files\Richtech\GxpClient\CltSrv.exe＞＜N/A＞
[Symantec AntiVirus Client / Norton AntiVirus Server>
　　＜D:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe＞＜Symantec Corporation＞
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd>
　　＜＂C:\Program Files\WinPcap\rpcapd.exe＂ -d -f ＂C:\Program Files\WinPcap\rpcapd.ini＂＞＜N/A＞
[Smart Card Helper / SCardDrv>
　　＜＞＜N/A＞
[Sicent Network File Synchronization / sicentnetsync>
　　＜C:\WINDOWS\System32\wxsyncli.exe＞＜成都吉胜科技有限公司＞
[QQFace / Universal Disk Manager>
　　＜C:\Program Files\Common Files\SAND\qqfacerclient.exe＞＜COMENET TECHNOLOGY＞
[NetBTD(ntbtd) / NetBTD>
　　＜＂C:\WINDOWS\system32\netbtd.exe＂＞＜Microsoft Corporation＞
==================================
浏览器加载项
[ThunderIEHelper Class>
　　{0005A87D-D626-4B3A-84F9-1D9571695F55} ＜C:\WINDOWS\System32\xunleibho_v13.dll, Thunder Networking Technologies,LTD＞
[Web Browser Applet Control>
　　{08B0E5C0-4FCB-11CF-AAA5-00401C608501} ＜C:\WINDOWS\System32\msjava.dll, Microsoft Corporation＞
[电台(＆R)>
　　{8E718888-423F-11D2-876E-00A0C9082467} ＜C:\WINDOWS\System32\msdxm.ocx, Microsoft Corporation＞
[Java Plug-in 1.4.2>
　　{8AD9C840-044E-11D1-B3E9-00805F499D93} ＜C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll, JavaSoft / Sun Microsystems, Inc.＞
[Java Plug-in 1.4.2>
　　{CAFEEFAC-0014-0002-0000-ABCDEFFEDCBA} ＜C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll, JavaSoft / Sun Microsystems, Inc.＞
[＆使用迅雷下载>
　　＜C:\Program Files\Thunder Network\Thunder\geturl.htm, N/A＞
[＆使用迅雷下载全部链接>
　　＜C:\Program Files\Thunder Network\Thunder\getallurl.htm, N/A＞
[上传到QQ网络硬盘>
　　＜D:\Tencent\QQ\AddToNetDisk.htm, N/A＞
[添加到QQ自定义面板>
　　＜D:\Tencent\QQ\AddPanel.htm, N/A＞
[添加到QQ表情>
　　＜D:\Tencent\QQ\AddEmotion.htm, N/A＞
[用QQ彩信发送该图片>
　　＜D:\Tencent\QQ\SendMMS.htm, N/A＞
==================================
正在运行的进程
[PID: 1168>[C:\WINDOWS\Explorer.EXE>　　＜Microsoft Corporation＞＜6.00.2800.1106 (xpsp1.020828-1920)＞
　　 [d:\Program Files\WinRAR\rarext.dll>　　＜N/A＞＜N/A＞
　　 [C:\Program Files\Common Files\Symantec Shared\SSC\vpshell2.dll>　　＜Symantec Corporation＞＜8.1.0.821＞
　　 [d:\PROGRA~1\KillSoft\KillCopy\killcopy.dll>　　＜N/A＞＜N/A＞
[PID: 1400>[C:\WINDOWS\System32\Clsmn.exe>　　＜＞＜16.3.12.597＞
　　 [C:\WINDOWS\System32\RegCode.dll>　　＜N/A＞＜N/A＞
[PID: 1496>[D:\Program Files\HC\HCard\RunMe.exe>　　＜hc＞＜3.07.0007＞
[PID: 1516>[D:\Program Files\HC\HCard\System.exe>　　＜TechWorld Communications.＞＜3.07.0005＞
[PID: 1680>[C:\WINDOWS\system32\internat.exe>　　＜Microsoft Corporation＞＜5.00.2920.0000＞
[PID: 1700>[E:\bak\净网先锋\净网先锋\净网先锋.EXe>　　＜N/A＞＜N/A＞
　　 [E:\bak\净网先锋\净网先锋\InstHook.dll>　　＜N/A＞＜N/A＞
[PID: 2472>[C:\Program Files\Internet Explorer\iexplore.exe>　　＜Microsoft Corporation＞＜6.00.2800.1106 (xpsp1.020828-1920)＞
　　 [C:\WINDOWS\System32\xunleibho_v13.dll>　　＜Thunder Networking Technologies,LTD＞＜4, 6, 0, 48＞
　　 [C:\WINDOWS\System32\WINABC.IME>　　＜PKUETI＞＜5.22.216＞
[PID: 2072>[C:\Documents and Settings\Administrator\桌面\System Repair Engineer 2[1>.0.12.350 RC1版\SREng.exe>　　＜Smallfrogs Studio＞＜2.0.12.350＞
==================================
文件关联
.TXT　　OK. [%SystemRoot%\system32\NOTEPAD.EXE %1>
.EXE　　OK. [＂%1＂ %*>
.COM　　OK. [＂%1＂ %*>
.PIF　　OK. [＂%1＂ %*>
.REG　　OK. [regedit.exe ＂%1＂>
.BAT　　OK. [＂%1＂ %*>
.SCR　　OK. [＂%1＂ /S>
.CHM　　OK. [＂C:\WINDOWS\hh.exe＂ %1>
.HLP　　OK. [%SystemRoot%\System32\winhlp32.exe %1>
.INI　　OK. [%SystemRoot%\System32\NOTEPAD.EXE %1>
.INF　　OK. [%SystemRoot%\System32\NOTEPAD.EXE %1>
.VBS　　OK. [%SystemRoot%\System32\WScript.exe ＂%1＂ %*>
.JS　　OK. [%SystemRoot%\System32\WScript.exe ＂%1＂ %*>
.LNK　　OK. [{00021401-0000-0000-C000-000000000046}>
==================================
Winsock 提供者
================================== HijackThis_815汉化版扫描日志 V1.99.1
保存于　　　　17:14:42, 日期 2006-6-17
操作系统：　　Windows XP SP1 (WinNT 5.01.2600)
浏览器：　　 Internet Explorer v6.00 SP1 (6.00.2800.1106)
当前运行的进程：　　　　　　
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe
D:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
D:\Program Files\Richtech\GxpClient\CltSrv.exe
C:\WINDOWS\System32\Clsmn.exe
D:\Program Files\HC\HCard\RunMe.exe
D:\Program Files\HC\HCard\System.exe
C:\WINDOWS\System32\wxsyncli.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\internat.exe
E:\bak\净网先锋\净网先锋\净网先锋.EXe
C:\WINDOWS\system32\netbtd.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Administrator\桌面\HijackThis汉华版\HijackThis1991zww.exe
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v13.dll
O3 - IE工具栏增项: 电台(＆R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - 启动项HKLM\\Run: [wxClient> ; C:\WINDOWS\System32\Clsmn.exe
O4 - 启动项HKLM\\Run: [MyApp> ; D:\Program Files\HC\HCard\RunMe.exe
O4 - 启动项HKLM\\Run: [MyApp2> ; D:\Program Files\HC\HCard\System.exe
O4 - 启动项HKLM\\Run: [Gsp2k> ; D:\Program Files\Richtech\GxpClient\AutoStar.EXE
O4 - 启动项HKLM\\Run: [HotKeysCmds> ; C:\WINDOWS\System32\hkcmd.exe
O4 - 启动项HKLM\\Run: [IgfxTray> ; C:\WINDOWS\System32\igfxtray.exe
O4 - 启动项HKLM\\Run: [KillCopy> ; d:\Program Files\KillSoft\KillCopy\kcresume.exe /startup
O4 - 启动项HKLM\\Run: [NMGameX_AutoRun> ; C:\WINDOWS\System32\Rundll32.exe NMGameX.dll,LiveProcess /aa
O4 - 启动项HKLM\\Run: [RunStar> ; D:\Program Files\HC\HCard\smss.exe
O4 - 启动项HKLM\\Run: [snpstd3> ; C:\WINDOWS\vsnpstd3.exe
O4 - 启动项HKLM\\Run: [TkBellExe> ; ＂C:\Program Files\Common Files\Real\Update_OB\realsched.exe＂　　-osboot
O4 - 启动项HKLM\\Run: [Update> ; C:\Program Files\Common Files\UPDATE\Update.exe
O4 - Startup: INTERNAT.lnk = C:\WINDOWS\system32\internat.exe
O4 - Startup: 净网先锋.lnk = ？
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: ＆使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: ＆使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - 浏览器额外的“工具”菜单项: Sun Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6B832F-BF70-46C5-8AAD-4538EF650365}: NameServer = 202.102.128.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4846A54-13A0-452C-B634-5F1C82378D17}: NameServer = 202.102.128.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{C4846A54-13A0-452C-B634-5F1C82378D17}: NameServer = 202.102.128.68
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - NT 服务: DefWatch - Symantec Corporation - D:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - NT 服务: DFServEx - Hyper Technologies Inc. - C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
O23 - NT 服务: 游戏共享精灵XP客户端服务 (GspClient) - Unknown owner - D:\Program Files\Richtech\GxpClient\CltSrv.exe
O23 - NT 服务: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe＂ -d -f ＂%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - NT 服务: Sicent Network File Synchronization (sicentnetsync) - 成都吉胜科技有限公司 - C:\WINDOWS\System32\wxsyncli.exe 做完机器中了病毒以后就提示系统资源不足什么都干不了
我也没办法给大哥门扫这个日志
我只能是用这个机器多扫几遍给大家看看希望能看的出点什么来
楼上大哥发的这个新cih 小弟也怀疑过
可是我下了 cih的专杀杀不出来啊！瑞星能查出这个病毒来的
我装了最新的瑞星升级了病毒库全盘扫描也没发现病毒啊！小弟这里病毒不是一种　　一般的病毒格式化重新分区重做系统都能解决掉的
就这个最难处理了
现在我用的这个机器　　c盘下边多出了
doa.exe
mnswpr.exe
nfs.exe
NTDETECT.COM
wi.exe
这几个文件
还有的机器开机一会以后就会多出
win32.exe
..
文件重装也不能解决问题.看来病毒够强了!!!! 我换了一台机器　　扫描的
给大哥发出来给你们看看哈
HijackThis_815汉化版扫描日志 V1.99.1
保存于　　　　诺德尔网络科技:18:21, 日期 2006-6-29
操作系统：　　Windows XP　　(WinNT 5.01.2600)
浏览器：　　 Internet Explorer v6.00 (6.00.2600.0000)
当前运行的进程：　　　　　　
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wxsyncli.exe
C:\Program Files\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe
C:\Program Files\UPHClean\uphclean.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\Clsmn.exe
C:\WINDOWS\system32\internat.exe
D:\Program Files\Tencent\QQ\QQ.exe
D:\Program Files\Tencent\QQ\QQ.exe
D:\Program Files\Tencent\QQ\QQ.exe
D:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\WINDOWS\System32\conime.exe
C:\Program Files\KC\KC2005.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Owner\桌面\HijackThis汉华版\HijackThis1991zww.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\System32\xunleibho_v11.dll
O4 - 启动项HKLM\\Run: [IgfxTray> C:\WINDOWS\System32\igfxtray.exe
O4 - 启动项HKLM\\Run: [HotKeysCmds> C:\WINDOWS\System32\hkcmd.exe
O4 - 启动项HKLM\\Run: [KillCopy> D:\Program Files\KillCopy\kcresume.exe /startup
O4 - 启动项HKLM\\Run: [TkBellExe> ＂C:\Program Files\Common Files\Real\Update_OB\realsched.exe＂　　-osboot
O4 - 启动项HKLM\\Run: [wxClient> C:\WINDOWS\System32\Clsmn.exe
O4 - Startup: INTERNAT.lnk = C:\WINDOWS\system32\internat.exe
O4 - Startup: KC2005.lnk = C:\Program Files\KC\KC2005.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: ＆使用迅雷下载 - d:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - IE右键菜单中的新增项目: ＆使用迅雷下载全部链接 - d:\Program Files\Thunder Network\Thunder\getallurl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - 浏览器额外的“工具”菜单项: Show ＆Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{41B04937-982D-4C5B-82AE-53531D586995}: NameServer = 202.102.128.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{90E7A8BA-495F-4BCC-8707-21AE87C6781F}: NameServer = 202.102.128.68
O17 - HKLM\System\CS1\Services\Tcpip\..\{41B04937-982D-4C5B-82AE-53531D586995}: NameServer = 202.102.128.68
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O23 - NT 服务: DFServEx - Hyper Technologies Inc. - C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
O23 - NT 服务: Sicent Network File Synchronization (sicentnetsync) - 成都吉胜科技有限公司 - C:\WINDOWS\System32\wxsyncli.exe 大哥们帮忙看看哈　　小弟拜托了~~~ 上面的日志是没中病毒的机子？没看到你说的那几个木马的相关启动项。除“NTDETECT.COM”是正常的！
SRENG日志：
服务
[NetBTD(ntbtd) / NetBTD>
　　＜＂C:\WINDOWS\system32\netbtd.exe＂＞＜Microsoft Corporation＞
下载者木马
[QQFace / Universal Disk Manager>
　　＜C:\Program Files\Common Files\SAND\qqfacerclient.exe＞＜COMENET TECHNOLOGY＞
QQ恶意插件
[Remote Packet Capture Protocol v.0 (experimental) / rpcapd>
　　＜＂C:\Program Files\WinPcap\rpcapd.exe＂ -d -f ＂C:\Program Files\WinPcap\rpcapd.ini＂＞＜N/A＞
不是好东东
启动文件夹
[INTERNAT>
　　＜C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\INTERNAT.lnk＞＜N＞
未知，这是什么快捷方式，QQ？
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜RunStar＞＜; D:\Program Files\HC\HCard\smss.exe＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜MyApp＞＜; D:\Program Files\HC\HCard\RunMe.exe＞
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run>
　　＜MyApp2＞＜; D:\Program Files\HC\HCard\System.exe＞
宏卡晨风科技的一卡通？
建议楼主格式化、安装好系统后，不要从本地计算机上安装软件，从光盘还安装，并确定没问题！再重启看看！并记得要给所有的管理员一个强点的密码！！关掉几个默认的共享，如IPC$/ADMIN$.....
[ 本帖最后由网络vs浪子于 2006-6-30 19:12 编辑 > 第一个日志，进程中：　　　　＃7楼
C:\WINDOWS\system32\netbtd.exe
看看这文件的属性，时间，公司，版本
然后用时间继续搜索，
O4 - 启动项HKLM\\Run: [Update> ; C:\Program Files\Common Files\UPDATE\Update.exe
修复，病毒
O23 - NT 服务: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe＂ -d -f ＂%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
直接关闭这服务
对应sreng的报告：
服务：
[NetBTD(ntbtd) / NetBTD>
　　＜＂C:\WINDOWS\system32\netbtd.exe＂＞＜Microsoft Corporation＞大哥我再发一下这个机器的扫描日志你看一下哦这个机器现在超级慢
HijackThis_815汉化版扫描日志 V1.99.1
保存于　　　　22:04:28, 日期 2006-7-1
操作系统：　　Windows XP SP1 (WinNT 5.01.2600)
浏览器：　　 Internet Explorer v6.00 SP1 (6.00.2800.1106)
当前运行的进程：　　　　　　
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe
C:\WINDOWS\System32\Clsmn.exe
C:\WINDOWS\system32\internat.exe
D:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\system32\netbtd.exe
D:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\WINDOWS\System32\wxsyncli.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\system32\ftp.exe
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\VU2RWK6M\thunder_tt_5.1.1.157[1>.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\is-2GL32.tmp\is-PC3O7.tmp
C:\WINDOWS\System32\taskmgr.exe
d:\Program Files\WinRAR\WinRAR.exe
C:\Documents and Settings\Administrator\桌面\HijackThis汉华版\HijackThis1991zww.exe
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\fgiebar.dll
O3 - IE工具栏增项: (no name) - {F60C7D81-8471-4D40-AAFE-56D318F34C2D} - (no file)
O3 - IE工具栏增项: ＆Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - 启动项HKLM\\Run: [wxClient> C:\WINDOWS\System32\Clsmn.exe
O4 - 启动项HKLM\\Run: [TkBellExe> ; ＂C:\Program Files\Common Files\Real\Update_OB\realsched.exe＂　　-osboot
O4 - 启动项HKLM\\Run: [BigDogPath> ; C:\WINDOWS\VM_STI.EXE 欧树明专用摄像头通用驱动
O4 - Startup: INTERNAT.lnk = C:\WINDOWS\system32\internat.exe
O4 - Startup: 净网先锋.lnk = ？
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: ＆Google Search - res://c:\program files\google\GoogleToolbar2.dll/cmsearch.html
O8 - IE右键菜单中的新增项目: ＆Translate English Word - res://c:\program files\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - IE右键菜单中的新增项目: Backward Links - res://c:\program files\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - IE右键菜单中的新增项目: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar2.dll/cmcache.html
O8 - IE右键菜单中的新增项目: Similar Pages - res://c:\program files\google\GoogleToolbar2.dll/cmsimilar.html
O8 - IE右键菜单中的新增项目: Translate Page into English - res://c:\program files\google\GoogleToolbar2.dll/cmtrans.html
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - D:\PROGRA~1\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - D:\PROGRA~1\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 收藏此页到新浪ViVi -
O8 - IE右键菜单中的新增项目: 新浪搜索 -
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - 浏览器额外的“工具”菜单项: Sun Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - 浏览器额外的按钮: 新浪UC - {2253922F-1B26-4C74-8B57-E3AEE748DBB8} - D:\sina\UC\UC.exe
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Tencent\QQ\QQ.EXE
O9 - 浏览器额外的按钮: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - 浏览器额外的“工具”菜单项: ＆FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\FlashGet\flashget.exe
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的按钮: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{514F175C-5BB9-47A8-9C37-C9DB2EA76EEE}: NameServer = 202.102.152.3,202.102.128.68
O20 - Winlogon Notify: DfLogon - C:\WINDOWS\SYSTEM32\LogonDll.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - NT 服务: DefWatch - Symantec Corporation - D:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - NT 服务: DFServEx - Hyper Technologies Inc. - C:\Program Files\HyperTechnologies\Deep Freeze\DfServEx.exe
O23 - NT 服务: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - NT 服务: Sicent Network File Synchronization (sicentnetsync) - 成都吉胜科技有限公司 - C:\WINDOWS\System32\wxsyncli.exe 大哥帮我看一下到底是什么病毒啊
这个机器现在就是任务管理器出不来啊
晕糊糊大哥帮忙修复一下注册表看看，SRENG软件的自动修复功能。。。原帖由 网络vs浪子 于 2006-7-1 00:06 发表
修复一下注册表看看，SRENG软件的自动修复功能。。。
支持，可能文件关联被修改。恩各位大哥　　今天晚上我又重新做了一下系统
简单说一下就是找了一个绝对绝对没病毒的机器　　先装了瑞星全杀一遍没问题
然后把c盘格式化　　重新做的系统　　装的是xp 原版的超级原版比sp1还早的那个
装完以后不装驱动　　什么都不装　　装瑞星然后设置ip上网升级
然后系统自动升级　　一直升级到补丁打全为止　　
然后装驱动
装完以后超级慢　　于是偶就把显卡　　声卡　　主板驱动卸掉重新装了一遍其他的　　那种万能的驱动以后开机　　又正常了
然后偶就又装offices 2003
装到一半太慢了于是结束准备换个光驱再装~~~
重新启动　　开始磁盘扫描(正常关机虽然慢但是还是等哦)
然后扫描完一遍以后自动重新启动了　　接着就再次开机　　进系统超级慢　　最后出来一个框说系统资源不足　　用户配置文件加载不上什么什么的
然后就接着出什么用系统默认配置登陆
然后就说无法还原确认是否具有权限什么乱七八糟的 (注装系统的时候设置的用户默认为超级用户应该不会是权限的问题)
然后偶就重新启动　　然后就进不去一直就是这样　　开始说加载不上然后就说用默认的来加载　　然后就说加载不上然后就自动注销然后再登陆　　再重复
现在小弟进了安全模式现在我给大哥们扫一个日志　　看一下刚才开机的时候我顺便想进下pq 看一下是不是硬盘分区又会提示错误
可是他不让我进了 pq 进不去　　
以我以前弄的情况来看　　我能肯定　　重新写一下主引导记录一定就可以能进了~
恩　　日志先发出来各位大哥大姐一定帮小弟这个忙啊　　拜托了!
不知道安全模式下扫出来的能不能行
HijackThis_815汉化版扫描日志 V1.99.1
保存于　　　　6:09:49, 日期 2006-7-1
操作系统：　　Windows XP SP2 (WinNT 5.01.2600)
浏览器：　　 Internet Explorer v6.00 SP2 (6.00.2900.2180)
当前运行的进程：　　　　　　
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Documents and Settings\jing\桌面\HijackThis汉华版\HijackThis1991zww.exe
O4 - 启动项HKLM\\Run: [RavTask> ＂d:\Program Files\Rising\Rav\RavTask.exe＂ -system
O4 - 启动项HKLM\\Run: [MSConfig> C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe> C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: INTERNAT.lnk = C:\WINDOWS\system32\internat.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - 浏览器额外的按钮: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - 浏览器额外的“工具”菜单项: Sun Java 控制台 - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - 浏览器额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 浏览器额外的“工具”菜单项: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{704FE898-D5AB-4E9F-9B77-89AB6A22996E}: NameServer = 202.102.128.68,202.102.152.3
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - d:\Program Files\Rising\Rav\Ravmond.exe
恩另外说明一下这次偶做系统根据咱版上其他帖子　　俺给用户全都设置了密码把共享 server服务也关闭了并且还用了　　关闭有害木马端口.rar　　这个
里面有一个批处理运行了以后他就关闭一些病毒木马的常用端口大家也许见过
我感觉应该不会有病毒　　瑞星也查不出
但是事实就是在眼前　　正常的重新启动一下系统分去表就跟着完蛋　　就进不去桌面了
[ 本帖最后由 sdgbdsxxjlz 于 2006-7-1 06:17 编辑 > 大家都来看看啊帮帮小弟我　　我实在是没办法了啊还是感觉你的误操作，建议你再去买张系统盘，格式化重装一下，不要做什么优化，只给系统管理员一个强一点的密码即可，也不要打什么补丁，多重启几次看看！
C:\Program Files\Internet Explorer\iexplore.exe
安全模式下还能开IE？？？？他用的是老版的XP
用的是带网络连接的安全模式？
是吗？
不过你先不要慌
做系统后　　你先给管理员加上密码
什么都不要优化　　驱动全部跳过
多启动试一试　　
我还是第一次听说这个病毒
有点像以前的CIH　　是破坏硬件和硬盘分区的
直接写如内存　　很难搞定
你先试一试嘛
大家再帮你想想办法`1 恩　　经过我半个多月的努力和大家的关心
小弟我终于知道了问题的究竟所在了
问题已经解决了
谢谢各位大哥的关心　　楼上两位大哥说的比较对　　
我当天用的确实是带网络连接的安全模式呵呵楼上大哥水平比较高~
恩　　楼上楼上和楼上楼上的水平也比较高
楼上楼上楼上的水平更高
楼上楼上楼上楼上也不错
楼上楼上楼上楼上楼上也很好
楼上楼上楼上楼上楼上楼上也很厉害
楼上楼上楼上楼上楼上楼上楼上。。。。。。
楼上楼上楼上楼上楼上楼上楼上楼上。。。。。
呵呵
问题就是出在了我的驱动上边了
我装系统装的是原厂的驱动
系统是在线升级打全了所有的补丁的
只要不装他原厂驱动　　就没事　　
装了就白搭
不过　　我也没时间试验了　　老板非逼着我尽快做出系统来
我也只有是先做完　　以后再实验具体是什么地方的事情了
现在我装的是 2000　　什么事也没了
呵呵　　谢谢各位大哥的关心
小弟谢了！！！！！！！！！！请问用哪种万能驱动？

打印本文　

返回顶部　

加入收藏　

广告位招租

上一篇：请教一个关于Bloodhound.NsAnti的问题

下一篇： infostealer病毒求帮忙

关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 管理登录
联系方式

联系方式

Copyright © 2004-2007 FCBU.Com All Rights Reserved.
版权所有:『站长天下』新凌讯网络;保留所有权利. 赣ICP备05002812