infostealer病毒求帮忙|-站长天下

首页 ┆ 文章中心 ┆ 下载中心 ┆ 娱乐八卦 ┆ 本站论坛 ┆ 拜仁联盟 ┆ 球迷社区 ┆ 博客日志 ┆ 建站服务 ┆ 域名抢注 ┆ 繁體中文

载入中…

E-mail:WebMaster#fcbu.com

\|	源码下载 \| 工具下载 \| 素材下载 \| 教程下载 \| ASP 源码 \| PHP 源码 \| JSP 源码 \| ASP 教程 \| .NET教程 \| PHP 教程 \| 服务器教程 \|
\|	网络资讯 \| 网站运营 \| 网页制作 \| 数据库 \| 网络编程 \| 图象媒体 \| 操作系统 \| 网络应用 \| 软件教学 \| 火爆影视 \| 五花八门\|
\|	电脑医院 \| 系统攻略 \| 网管技术 \| 电脑硬件 \| 软件天地 \| 网络知识 \| 网页制作 \| 编程讨论 \| 综合问题 \| 职场生涯 \| 数码手机\|

载入中…

当前位置:站长天下 -> 电脑医院 -> infostealer病毒求帮忙

infostealer病毒求帮忙

作者：TTXS(Fcbu.Com)　　来源：互联网　　发表时间：2006-08-23　　

已经中毒两天了
症状就是一个小时断网一次，必须关掉总电源重新开机重新连，另外就是乱七八糟的广告弹出（阻止不掉）
文件名：svchost.exe
病毒名：infostealer
原始位置：C:/Program Files/haifan
以下是hijack日志，麻烦达人帮忙，bow先
Logfile of HijackThis v1.99.1
Scan saved at 13:25:08, on 2006-7-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\wscntfy.exe
E:\bbs\FTerm2.5.0.133\FTERM.exe
C:\WINDOWS\system32\wuauclt.exe
E:\hijackthis\ha_hijackthis_1991\HijackThis.exe
R3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLO~1\BDSrHook.dll (file missing)
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: ThunderIEHelper Class - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v8.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe Reader 7.0\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - E:\QQ\QQIEHelper.dll
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - E:\超级兔子\haokanbar.dll
O2 - BHO: (no name) - {A9930D97-9CF0-42A0-A10D-4F28836579D5} - E:\KuGoo2\KuGoo3DownXControl.ocx
O3 - Toolbar: (no name) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - (no file)
O3 - Toolbar: BitComet工具栏 - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - F:\bitcomet\BitCometBar\BitCometBar0.6.dll
O3 - Toolbar: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - E:\超级兔子\haokanbar.dll
O4 - HKLM\..\Run: [znkgwk> ; RunDll32 ＂C:\WINDOWS\Downlo~1\znkgwk.dll＂,Run
O4 - HKLM\..\Run: [YLive.exe> ; C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - HKLM\..\Run: [ybf4e5cm> ; RunDll32 ＂C:\WINDOWS\Downlo~1\iyc.dll＂,Run
O4 - HKLM\..\Run: [yassistse> ＂C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe＂
O4 - HKLM\..\Run: [vptray> C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [TkBellExe> ; ＂C:\Program Files\Common Files\Real\Update_OB\realsched.exe＂　　-osboot
O4 - HKLM\..\Run: [PHIME2002ASync> C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A> C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMSCMig> C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [IMJPMIG8.1> ＂C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE＂ /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [exploreb.exe> ; C:\Program Files\exploreb.exe
O4 - HKLM\..\Run: [CdnCtr> ;
O4 - HKCU\..\Run: [ctfmon.exe> C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: IE-BAR.lnk = ？
O8 - Extra context menu item: ＆使用迅雷下载 - E:\迅雷\geturl.htm
O8 - Extra context menu item: ＆使用迅雷下载全部链接 - E:\迅雷\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(＆X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\QQ\SendMMS.htm
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra 'Tools' menuitem: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) -
O16 - DPF: {98A62E3F-A8C5-4EF0-8A00-C70CF9D18A89} (LoaderCore Class) -
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) -
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) -
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe＂ -d -f ＂%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Te1net - Unknown owner - C:\WINDOWS\System32\VIPTray.exe (file missing) 3 - URLSearchHook: BDSrchHook Class - {2C5AA40E-8814-4EB6-876E-7EFB8B3F9662} - C:\WINDOWS\DOWNLO~1\BDSrHook.dll (file missing)
F2 - REG:system.ini: UserInit=userinit.exe,
修复!!
O4 - HKLM\..\Run: [znkgwk> ; RunDll32 ＂C:\WINDOWS\Downlo~1\znkgwk.dll＂,Run
O4 - HKLM\..\Run: [ybf4e5cm> ; RunDll32 ＂C:\WINDOWS\Downlo~1\iyc.dll＂,Run
修复并删除文件!
O4 - HKLM\..\Run: [exploreb.exe> ; C:\Program Files\exploreb.exe
修复并删除文件
O4 - HKLM\..\Run: [CdnCtr> ;
修复
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe＂ -d -f ＂%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
修复清除所有关于rpcapd.ini的文件。不能修复的话；请打开控制面板－管理工具－服务找到Packet Capture Protocol v.0 (experimental) (rpcapd)，右键禁用它后再修复。最后在注册表里搜索清除干净。

O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra 'Tools' menuitem: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) -
O16 - DPF: {0CA54D3F-CEAE-48AF-9A2B-31909CB9515D} (Edit Class) -
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) -
O16 - DPF: {73E4740C-08EB-4133-896B-8D0A7C9EE3CD} (AxInputControl Class) -
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - ... Client.cab31267.cab
O16 - DPF: {98A62E3F-A8C5-4EF0-8A00-C70CF9D18A89} (LoaderCore Class) -
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - ... r2006new/OL2006.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - ... owdown.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
看着不爽..全修复掉!! 注册表搜到这些东西都要删掉吗
唯一那个数值包含Remote Packet Capture Protocol v.0(experimental) 的居然删不掉。。。
名称　　　　　　　　　　　　类型　　　　　　　　　　　数值
（默认）　　　　　　　　 REG-SZ　　　　　　　　　　(数值未设置）
class　　　　　　　　　　 REG_SZ　　　　　　　　　　LeagcyDriver　　　
classGUID　　　　　　　　REG_SZ　　　　　　　 {8ECC055d-047F-11D1-A537-0000F8753Ed1}
configFlags　　　　　　 REG_EWORD　　　　　　　　0x00000000 (0)
DeviceDesc　　　　　 REG_SZ　　　　　　　　　　Remote Packet Capture Protocol v.0(experimental)
Legacy　　　　　　　　　　REG_DWORD　　　　　　　　0x00000000 (1)
Service　　　　　　　 REG_SZ　　　　　　　　　　rpcapd 是搜索rpcapd.ini done
多谢达人啊~~~~~~~~~~
刚才还突然莫名其妙冒出了“酷桌面”，直接扫荡掉了黄昏时分居然又断了一次，但是包括兔子等各种软件都已经查不出有毒了。。。弹广告的症状也不再有
保险起见，大家能不能再看看我现在的hijackthis日志，谢谢啦
Logfile of HijackThis v1.99.1
Scan saved at 19:03:36, on 2006-7-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
E:\hijackthis\ha_hijackthis_1991\HijackThis.exe
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - E:\超级兔子\haokanbar.dll
O3 - Toolbar: (no name) - {6C3797D2-3FEF-4cd4-B654-D3AE55B4128C} - (no file)
O3 - Toolbar: BitComet工具栏 - {3F1ABCDB-A875-46c1-8345-B72A4567E486} - F:\bitcomet\BitCometBar\BitCometBar0.6.dll
O3 - Toolbar: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - E:\超级兔子\haokanbar.dll
O4 - HKLM\..\Run: [vptray> C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [TkBellExe> ; ＂C:\Program Files\Common Files\Real\Update_OB\realsched.exe＂　　-osboot
O4 - HKLM\..\Run: [PHIME2002ASync> C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A> C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMSCMig> C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKLM\..\Run: [IMJPMIG8.1> ＂C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE＂ /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSConfig> C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe> C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: IE-BAR.lnk = ？
O8 - Extra context menu item: ＆使用迅雷下载 - E:\迅雷\geturl.htm
O8 - Extra context menu item: ＆使用迅雷下载全部链接 - E:\迅雷\getallurl.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(＆X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) -
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe 网络问题可以向当地的网络供应商求助~~ 前几天我也中过“酷桌面”这个东西，连着修改你的注册表的，桌面被修改的面目全非~~~
原因不名：本来好好的挂在一个DJ网上听音乐的吃饭去了，吃好上来一看电脑已经关闭，等启动电脑~~就马上发作
作了，在安全模式下杀完毒（在C盘手动删掉2 个文件），重新启动，在C盘又出现刚删掉的2　　个文件了，最后没办法了，只得ghost了~~~~到现在也不知道是那个网站的，还是被人攻击了 ~~~郁闷

打印本文　

返回顶部　

加入收藏　

广告位招租

上一篇：【已解决】大哥大姐帮忙了小弟碰到了千年难遇的难题了~

下一篇：超强的木马防御软件

关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 管理登录
联系方式

联系方式

Copyright © 2004-2007 FCBU.Com All Rights Reserved.
版权所有:『站长天下』新凌讯网络;保留所有权利. 赣ICP备05002812