问题描述:
Logfile of HijackThis v1.99.1
Scan saved at 11:49:15, on 2006-12-21
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Program Files\SkyNet\FireWall\PFW.exe
D:\Program Files\RamCleaner.exe
C:\WINNT\system32\internat.exe
C:\DOCUME~1\sigman\LOCALS~1\Temp\Rar$EX00.594\HijackThis.exe
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FLASHGET\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: Mario Forever Toolbar - {71B6ACF7-4F0F-4FD8-BB69-6D1A4D271CB7} - C:\Program Files\Mario Forever Toolbar\v3.2.0.0\MarioForever_Toolbar.dll (file missing)
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Browster - {2EF39867-654F-48b6-8F93-B4FC3E8C6844} - C:\Program Files\Browster\Browster.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\Program Files\SkyNet\FireWall\PFW.exe
O4 - HKLM\..\Run: [RamCleaner] D:\Program Files\RamCleaner.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\getAllurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - F:\我的文档\Tencent\AddToNetDisk.htm
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - F:\我的文档\Tencent\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - F:\我的文档\Tencent\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - F:\我的文档\Tencent\SendMMS.htm
没有打开IE,但IEXPLORE.EXE进程开机自运行,进程管理器无法结束.用兔子可以结束,但不久后又重建.未查出病毒,无其他异常.(用兔子结束IE进程后,我到文件夹中把IEXPLORE.EXE文件改了名,但一会就生成了新的IEXPLORE.EXE程序,大小都是89KB)
提问的字数不可以超过三千个字,
扫描的全部结果,我发到贴吧上了
http://post.baidu.com/f?kz=156731785请大家帮忙看看
023服务,只有两项
O23 - Service: Ati HobsKey Pdoler - Unknown owner - C:\WINNT\IO.sys
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
问题解答:
中了新的,改的,加壳的灰鸽子,把服务项帖出来.
023的服务帖全了?
一般系统的启动服务不会这么少
O23 - Service: Ati HobsKey Pdoler - Unknown owner - C:\WINNT\IO.sys ;这个有应该是有问题,驱动不会以启动服务的形式出现
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe,是硬盘管理,一般也不会随机启动,去看看他的具体属性.
另外去弄个驱动HOOK检查工具,看看是否有内核或全局钩子.
IEXPLORE进程是正常的。但是有一个不正常:
正常的internat.exe在C:\\WINDOWS\\SYSTEM\\里,QQ密码侦探运行后,首先把正常的internat.exe移到C:\\WINDOWS\\目录下,然后将自己伪装成internat.exe,并复制到C:\\WINDOWS\\SYSTEM\\里运行,是不是很幼稚
怎么判断你的internat.exe是不是木马呢?
方法是:
到C:\\WINDOWS\\SYSTEM\\里找internat.exe看它的大小是不是32k左右
如果大得出奇,有200多K,那就有问题
到任务管理器里把internat.exe kill掉
再删了它
建议你将完整的扫描报告 贴到http://hi.baidu.com/teyqiu这个人的空间里去问问看,这位朋友对这个软件的扫描有研究心得。
那用那么复杂,看都看到人家头都晕,开机后先在任务栏删除那些90%几的IE程序。如果看不到桌面就文件》新建任务》C:\WINDOWS\explorer.exe就可以了,然后装一个雅虎然后选强力查杀一下就可以了
未必是鸽子 也有可能是Poison Ivy(会插入默认浏览器 2.10是先插入explorer.exe 在插入默认浏览器)
上海旅游网