中了Bloodhound.NsAnti怎么办？|-站长天下

首页 ┆ 文章中心 ┆ 下载中心 ┆ 娱乐八卦 ┆ 本站论坛 ┆ 拜仁联盟 ┆ 球迷社区 ┆ 博客日志 ┆ 建站服务 ┆ 域名抢注 ┆ 繁體中文

载入中…

E-mail:WebMaster#fcbu.com

\|	源码下载 \| 工具下载 \| 素材下载 \| 教程下载 \| ASP 源码 \| PHP 源码 \| JSP 源码 \| ASP 教程 \| .NET教程 \| PHP 教程 \| 服务器教程 \|
\|	网络资讯 \| 网站运营 \| 网页制作 \| 数据库 \| 网络编程 \| 图象媒体 \| 操作系统 \| 网络应用 \| 软件教学 \| 火爆影视 \| 五花八门\|
\|	电脑医院 \| 系统攻略 \| 网管技术 \| 电脑硬件 \| 软件天地 \| 网络知识 \| 网页制作 \| 编程讨论 \| 综合问题 \| 职场生涯 \| 数码手机\|

载入中…

当前位置:站长天下 -> 电脑医院 -> 中了Bloodhound.NsAnti怎么办？

中了Bloodhound.NsAnti怎么办？

作者：TTXS(Fcbu.Com)　　来源：互联网　　发表时间：2006-08-23　　

扫描类型：实时防护扫描
事件：已发现病毒！
病毒名称: Bloodhound.NsAnti
文件： C:\WINDOWS\system32\KeySpy.dll
位置：隔离区
计算机：XXX
用户：XXX
采用的操作：隔离成功 : 拒绝访问
发现的日期： 2006年6月26日　　7:59:42
我是用的symantec antivirus企业版，不断的弹出上面的提示，可是我自己在机器上找不到病毒文件，请问该怎么办，下面是Hj扫描结果
Logfile of HijackThis v1.99.1
Scan saved at 8:47:35, on 2006-6-26
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
C:\Program Files\Common Files\Sogou PXP\p2psvr.exe
C:\WINDOWS\system32\svchose.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\javaw.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\DOCUME~1\gaolei\LOCALS~1\Temp\Rar$EX00.781\HijackThis.exe
E:\QQ\QQ.exe
E:\QQ\TIMPlatform.exe
E:\QQ\QQexternal.exe
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: (no name) - {3D898C55-74CC-4B7C-B5F1-45913F368388} - C:\WINDOWS\system32\IE.dll
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - E:\新建文件夹\QQIEHelper.dll (file missing)
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\baidubar.dll
O4 - HKLM\..\Run: [vptray> C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [StatusClient> C:\Program Files\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [TomcatStartup> C:\Program Files\Hewlett-Packard\Toolbox2.0\hpbpsttp.exe
O4 - HKLM\..\Run: [HPLJ Config> C:\Program Files\Hewlett-Packard\hp LaserJet 1150_1300\SetConfig.exe -c Network -p hpLaserJet1300n -pn ＂hp LaserJet 1300n PCL 6＂ -n 0 -l 2052 -sl 120000
O4 - HKLM\..\Run: [TkBellExe> ＂C:\Program Files\Common Files\Real\Update_OB\realsched.exe＂　　-osboot
O4 - HKLM\..\Run: [IMSCMig> C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE /Preload
O4 - HKCU\..\Run: [ctfmon.exe> C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr> ＂C:\Program Files\MSN Messenger\MsnMsgr.Exe＂ /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: ＆使用迅雷下载 - E:\新建文件夹\geturl.htm
O8 - Extra context menu item: ＆使用迅雷下载全部链接 - E:\新建文件夹\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(＆X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\QQ\SendMMS.htm
O8 - Extra context menu item: 百度--MP3搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUMP3.HTM
O8 - Extra context menu item: 百度--图片搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUIMG.HTM
O8 - Extra context menu item: 百度--新闻搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUNEWS.HTM
O8 - Extra context menu item: 百度--歌词搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDULYRIC.HTM
O8 - Extra context menu item: 百度--网页搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUSEARCH.HTM
O8 - Extra context menu item: 百度--词典搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDU_DIC.HTM
O8 - Extra context menu item: 百度--贴吧搜索 - RES://C:\PROGRA~1\baidu\bar\baidubar.dll/BAIDUPOST.HTM
O9 - Extra button: 免费精彩视频超流畅在线观看 - {022C4009-5283-4365-97BF-144054B40E2E} - (file missing)
O9 - Extra 'Tools' menuitem: 播霸电视 - {022C4009-5283-4365-97BF-144054B40E2E} - (file missing)
O9 - Extra button: 信息检索 - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: 词霸 - {9A687CA6-D585-4947-9ED9-BE96071F5CD9} - E:\金山\XDictExB.dll
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\新建文件夹\QQ.EXE (file missing)
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\新建文件夹\QQ.EXE (file missing)
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\新建文件夹\QQIEHelper.dll (file missing)
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - E:\新建文件夹\QQIEHelper.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05C1004E-2596-48E5-8E26-39362985EEB9} (MMCPlayer Class) -
O16 - DPF: {87CCFDB0-C4BE-4BC2-A78C-9EAA7CF96667} (pcastup Class) -
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pmmp.com.cn
O17 - HKLM\Software\..\Telephony: DomainName = pmmp.com.cn
O17 - HKLM\System\CCS\Services\Tcpip\..\{49268ED9-2310-447A-9DFB-256BFA1DD278}: NameServer = 192.168.20.11
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pmmp.com.cn
O17 - HKLM\System\CS1\Services\Tcpip\..\{49268ED9-2310-447A-9DFB-256BFA1DD278}: NameServer = 192.168.20.11
O18 - Protocol: about - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: cdl - {3DD53D40-7B8B-11D0-B013-00AA0059CE02} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: dic - {C21F5C32-F57A-4A0D-8E0A-B672691C52D0} - E:\金山\XDictExB.dll
O18 - Protocol: dvd - {12D51199-0DB5-46FE-A120-47A3D7D937CC} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: file - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ftp - {79EAC9E3-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: gopher - {79EAC9E4-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: http - {79EAC9E2-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: https - {79EAC9E5-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ipp - (no CLSID) - (no file)
O18 - Protocol: its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: javascript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: local - {79EAC9E7-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: mailto - {3050F3DA-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: mhtml - {05300401-BCBC-11D0-85E3-00C04FD85AB4} - C:\WINDOWS\system32\inetcomm.dll
O18 - Protocol: mk - {79EAC9E6-BAF9-11CE-8C82-00AA004BA90B} - C:\WINDOWS\system32\urlmon.dll
O18 - Protocol: ms-its - {9D148291-B9C8-11D0-A4CC-0000F80149F6} - C:\WINDOWS\system32\itss.dll
O18 - Protocol: msdaipp - (no CLSID) - (no file)
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - ＂C:\PROGRA~1\MSNMES~1\msgrapp.dll＂ (file missing)
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O18 - Protocol: res - {3050F3BC-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: sysimage - {76E67A63-06E9-11D2-A840-006008059382} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: tv - {CBD30858-AF45-11D2-B6D6-00C04FBBDE6E} - C:\WINDOWS\system32\msvidctl.dll
O18 - Protocol: vbscript - {3050F3B2-98B5-11CF-BB82-00AA00BDCE0B} - C:\WINDOWS\system32\mshtml.dll
O18 - Protocol: wia - {13F3EA8B-91D7-4F0A-AD76-D2853AC8BECE} - C:\WINDOWS\system32\wiascr.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: P4P Service - Sohu.com Inc. - C:\Program Files\Common Files\Sogou PXP\p2psvr.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Remate acces - Unknown owner - C:\WINDOWS\system32\svchose.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
谢谢各位了！！ NsAnti是一种压缩工具，通过这种压缩软件压缩的文件能躲过杀毒软件的内存查杀。而Bloodhound指的是一种蠕虫的感染方式。因此有可能是一种以这种压缩方式进行压缩了的某种蠕虫病毒。
目前网上未见有此类病毒的详细报道，也只有赛门铁克的产品报有这种病毒，但未见其网站有针对这种病毒的处理方式，他们的安全专家也只是让用户上报这个病毒的样品，以进一步确定这个病毒。
你可以用这个软件来确定这个病毒的原始位置，然后将路径贴上来看看。
一个叫“冰刃”的软件。这是一个绿色免安装的小软件，可以放心使用。
这个是下载地址:

转载于百度知道，你发的扫描我看不懂得

看看这个两个帖子谢谢斑竹　　可是你给我的那三个东西我都看过了　　还是没办法解决。。。。。那有怎么办呢？我没有经验实践过，抱歉，等其他人来把，哦　　呵呵　　谢谢了楼主先到顶固贴下载恶意软件清理助手！
把它升级到最新版本，在安全模式下强行清除流氓软件：百度搜霸和搜狗直通车等等流氓软件！
然后再借此HJ~~个修复以下
O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\WINDOWS\system32\xunleibho_v14.dll
O2 - BHO: (no name) - {3D898C55-74CC-4B7C-B5F1-45913F368388} - C:\WINDOWS\system32\IE.dll（这个是重点，虽然可能文件不存在了，但最好用KillBox汉化版强行删除一下！！）
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - E:\新建文件夹\QQIEHelper.dll (file missing)
O2 - BHO: BandIE Class - {77FEF28E-EB96-44FF-B511-3185DEA48697} - C:\PROGRA~1\baidu\bar\baidubar.dll
O3 - Toolbar: 百度超级搜霸 - {B580CF65-E151-49C3-B73F-70B13FCA8E86} - C:\PROGRA~1\baidu\bar\baidubar.dll
O23 - Service: P4P Service - Sohu.com Inc. - C:\Program Files\Common Files\Sogou PXP\p2psvr.exe
O23 - Service: Remate acces - Unknown owner - C:\WINDOWS\system32\svchose.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
关闭这三个服务！！并看看O23 - Service: Remate acces - Unknown owner - C:\WINDOWS\system32\svchose.exe这个服务的关联文件！！ O16 - DPF: {05C1004E-2596-48E5-8E26-39362985EEB9} (MMCPlayer Class) -
O16 - DPF: {87CCFDB0-C4BE-4BC2-A78C-9EAA7CF96667} (pcastup Class) -
O16 - DPF: {FEE1002D-90A5-4A5D-AABE-01803FFBCF7A} (pCastPanel Class) -
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = pmmp.com.cn
O17 - HKLM\Software\..\Telephony: DomainName = pmmp.com.cn
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = pmmp.com.cn
修复以上~~ 楼主之前修复过什么？关没有看到你那病毒的服务！！
文件： C:\WINDOWS\system32\KeySpy.dll是个后门灰鸽子来的！！
2005年3月16日，江民反病毒中心截获“黑洞”病毒最新变种（Backdoor/Heidong.2005）。
该病毒除包括以前的自动打开染毒者的摄像头，进行远程监控、远程摄像、中止防火墙等功能外，还会将自身添加为“服务”，达到开机自动启动的目的，隐蔽性更强。
　　据江民反病毒专家介绍，该病毒在感染计算机后，会释放wind1132.exe、 wind1132.cfg、KeySpy.dll 和Keylog.txt四个文件，wind1132.exe是病毒主程序文件；wind1132.cfg 是配置文件；KeySpy.dll 是病毒钩子模块；Keylog.txt是键盘输入记录文件。
　　该病毒具有较大的破坏力，若感染该病毒，用户密码很有可能会被窃取，包括BIOS密码、屏幕保护密码、基于NT核心的登陆密码、FOXMAIL密码、OUTLOOK密码和IE自动完成密码等，直接威胁用户的隐私安全。病毒会记录用户电脑的一切键盘输入，包括中英文输入，甚至还可以远程开启用户USB摄像头，并将其偷拍数据转换为Mpeg文件传给黑客观看，比去年截获的专门开启摄像头偷窥用户卧室隐私的“蜜蜂大盗”病毒功能更为强大。同时，该病毒还具备远程监控的功能，类似于国产冰河、灰鸽子等黑客控制软件。此项功能可以使黑客监控感染病毒的计算机，在不经任何授权的情况下，非法观看远程桌面、远程重启关机以及所有资源/文件,并可以控制上传下载。此外，该木马具有远程查看用户所有进程和窗体的功能，并可以结束用户开启的任意程序，更让人头痛的是，该病毒可以按反弹端口方式进行反向连接，这样它就可以穿透一般防火墙，渗透到内部网络，给许多公司的内部信息带来了极大的安全隐患。
　　针对该病毒，江民公司已经在第一时间升级了病毒库，请您及时升级KV2005杀毒软件到3月16日病毒库，开启“木马/注册表监视”，即可全面查杀该病毒，保护您的系统不受其侵害。KV2005新增“木马一扫光”组件，可有效防范此类隐身的木马后门程序，确保电脑用户的隐私信息不被偷窥。谢谢斑竹
之前只在symantec antivirus里删除了　　可是删除不掉　　我刚才找到KeySpy.dll这个文件了　　可是删除不掉我用你说的方法做了　　貌似现在删除掉了　　起码没有病毒提示了　　呵呵　　谢谢斑竹进入分别注册表搜索以下文件
wind1132.exe、 wind1132.cfg、KeySpy.dll 和Keylog.txt四个文件的注册表选项！！并删除它们的注册表选项！（记得先备分注册表！）
并进安全模式用KillBox汉化版强行删除下面几个文件！！
C:\WINDOWS\system32\wind1132.exe
C:\WINDOWS\system32\wind1132.cfg
C:\WINDOWS\system32\KeySpy.dll
C:\WINDOWS\system32\Keylog.txt 总部刚刚开完大会，谢谢ght2811的答复。这个容易，把临时文件全删除就行了

打印本文　

返回顶部　

加入收藏　

广告位招租

上一篇：打开网页老出来找不到服务器，要刷新好几次才开得了网页

下一篇：桌面什么都不显示,其他一切正常,求助,是否中毒!

关于本站 - 网站帮助 - 广告合作 - 下载声明 - 友情连接 - 网站地图 - 管理登录
联系方式

联系方式

Copyright © 2004-2007 FCBU.Com All Rights Reserved.
版权所有:『站长天下』新凌讯网络;保留所有权利. 赣ICP备05002812