手工杀杀毒，大家帮帮

猪一头 · 发表于 2007-4-17 20:20:46

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:18:05, on 2007-4-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Program Files\Symantec AntiVirus\DefWatch.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\Herosoft\Hero 9\SysExplr.EXE
C:\WINDOWS\shualai.exe
C:\WINDOWS\system32\ctfmon.exe
F:\下载软件\WebThunder.exe
F:\qq\QQ.exe
F:\qq\TIMPlatform.exe
F:\qq\QQ.exe
F:\HiJackThis_v2_PConline.exe
O1 - Hosts: 222.189.238.182 www.9605899.com
O1 - Hosts: 222.189.238.182 hyap98.com
O1 - Hosts: 222.189.238.182 www.hyap98.com
O1 - Hosts: 222.189.238.182 82087871.com
O1 - Hosts: 222.189.238.182 www.82087871.com
O1 - Hosts: 222.189.238.182 47555.cn
O1 - Hosts: 222.189.238.182 nc.47555.cn
O1 - Hosts: 222.189.238.182 cn.47555.cn
O1 - Hosts: 222.189.238.182 crsky.47555.cn
O1 - Hosts: 222.189.238.182 www.47555.cn
O2 - BHO: WebThunderBHO - {00000AAA-A363-466E-BEF5-9BB68697AA7F} - F:\下载软件\WebThunderBHO_016.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Program Files\Corel\Corel Graphics 12\Languages\CS\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=043007 serial=DR12WUT-4707229-VDT lang=CS
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE USB PC Camera 301P
O4 - HKLM\..\Run: [SysExplr] C:\Program Files\Herosoft\Hero 9\SysExplr.EXE
O4 - HKLM\..\Run: [shualai] C:\WINDOWS\shualai.exe /i
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: 上传到QQ网络硬盘 - F:\qq\AddToNetDisk.htm
O8 - Extra context menu item: 使用Web迅雷下载 - F:\下载软件\GetUrl.htm
O8 - Extra context menu item: 使用Web迅雷下载全部链接 - F:\下载软件\GetAllUrl.htm
O8 - Extra context menu item: 使用超级解霸播放 - C:\Program Files\Herosoft\Hero 9\MPURLGET.HTM
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\qq\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - F:\qq\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - F:\qq\SendMMS.htm
O9 - Extra button: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Program Files\Herosoft\Hero 9\STHSDVD.EXE
O9 - Extra 'Tools' menuitem: 豪杰超级解霸9 - {367E0A21-8601-4986-9C9A-153BF5ACA118} - C:\Program Files\Herosoft\Hero 9\STHSDVD.EXE
O9 - Extra button: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra 'Tools' menuitem: 启动Web迅雷 - {962EFB8E-2683-42d4-AC74-AAA4C759B9C6} - http://my.xunlei.com (file missing)
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\qq\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - F:\qq\QQ.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {E787FD25-8D7C-4693-AE67-9406BC6E22DF} (CPasswordEditCtrl Object) - https://password.qq.com/download/qqedit.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CFBEB1A1-DC68-4FA1-A1AE-5D914F27BBC1}: NameServer = 202.96.128.86 202.96.134.133
O22 - SharedTaskScheduler: Browseui 预加载程序 - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: 组件类别缓存程序 - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program Files\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe
--
End of file - 6052 bytes

Asfpu · 发表于 2007-4-17 21:54:06

现在这工具不怎么样了现在只是用来清理注册表(主要是看到这个软件有还原功能)

推荐你用 SReng工具扫描下

sansa520 · 发表于 2007-4-17 22:42:52

LZ现在电脑有什么症状？？？

C:\WINDOWS\shualai.exe
O4 - HKLM\..\Run: [shualai] C:\WINDOWS\shualai.exe /i (窃取【魔域】游戏的木马Trojan.PSW.RocOnline 变种)
进安全模式删
C:\WINDOWS\shualai.exe
C:\WINDOWS\system32\shualai.dll
及注册表
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
"shualai" = C:\WINDOWS\shualai.exe /i

如果安全模式删不掉可以试一下 unlocker 这个工具

[ 本帖最后由 sansa520 于 2007-4-17 10:57 PM 编辑 ]

sansa520 · 发表于 2007-4-17 23:18:22

个人感觉NOTON不好用。

鹤冲天 · 发表于 2007-4-17 23:28:42

C:\WINDOWS\VM_STI.EXE

复制代码

LZ是否装有摄像头？如果没有摄像头那此文件也是一木马，假冒驱动之名！
我无法确定这个文件的位置是否可靠！没有摄像头，那个朋友有，那个朋友有，能否帮忙确定下位置！谢谢！

O1 - Hosts: 222.189.238.182 www.9605899.com
O1 - Hosts: 222.189.238.182 hyap98.com
O1 - Hosts: 222.189.238.182 www.hyap98.com
O1 - Hosts: 222.189.238.182 82087871.com
O1 - Hosts: 222.189.238.182 www.82087871.com
O1 - Hosts: 222.189.238.182 47555.cn
O1 - Hosts: 222.189.238.182 nc.47555.cn
O1 - Hosts: 222.189.238.182 cn.47555.cn
O1 - Hosts: 222.189.238.182 crsky.47555.cn
O1 - Hosts: 222.189.238.182 www.47555.cn

复制代码

Hosts文件被修改，用你扫描的那个软件就能修改，这个应该比较熟儿了吧？！呵呵！！

大雨落幽燕 · 发表于 2007-4-17 23:28:58

看那几个网址估计也不是什么好去处

sansa520 · 发表于 2007-4-17 23:33:24

原帖由 鹤冲天 于 2007-4-17 11:28 PM 发表
C:\WINDOWS\VM_STI.EXE
LZ是否装有摄像头？如果没有摄像头那此文件也是一木马，假冒驱动之名！
我无法确定这个文件的位置是否可靠！没有摄像头，那个朋友有，那个朋友有，能否帮忙确定下位置！谢谢！
O1 - H ...

这个驱动应该是正常的。。

Asfpu · 发表于 2007-4-18 23:13:18

不会又一个人口失踪了吧?

		自动登录	找回密码
密码			注册

手工杀杀毒，大家帮帮

C:\Winnt\System32\Drivers\Etc\host中的内容也清除掉