Board logo

标题: 紧急求助:我是不是感染病毒了??如何修复? [打印本页]

作者: 寄托天下    时间: 2007-3-20 16:36     标题: 紧急求助:我是不是感染病毒了??如何修复?

只要访问互联网的大部分网络软件,包括世界之窗浏览器,QQ,Skype,360safe更新都会在风云防火墙里面总是提示链接这个地址:山东泰安铁通,如果不允许就不能上网!看图说话:

请问是不是hosts被修改了?因为查看hosts文件内容为空!!!

C:\WINDOWS\system32\drivers\etc下除了hosts之外还有这样几个文件:
lmhosts,networks,protocol,services
作者: duckZCX    时间: 2007-3-20 16:40

第一个应该是360升级的提示吧?
奇怪,怎么第2个也是那个地址?如果是后门木马的话,这手也高了吧???
作者: duckZCX    时间: 2007-3-20 16:41

版主大大那个地址是不是你自己的?
作者: 寄托天下    时间: 2007-3-20 16:42

不是啊!我几乎所有的网络程序都要访问这个泰安铁通的,绝对不对!我是湖南铁通的用户!
作者: duckZCX    时间: 2007-3-20 16:47

这个就不难解释了~~铁通的机房很分散的~~这个地址应该是铁通的某个中继站点吧?

我在家也用铁通的,不过外网IP有时都会显示到隔壁临市去


PS: 俺估摸着你还是好好彻查彻查你的电脑吧,木马木马~~
作者: 寄托天下    时间: 2007-3-20 16:51

这个应该不对劲啊?我一直用360、QQ之类的,从来没有链接到这个泰安铁通的地址去的。刚刚卸载了TW重新下载就没有这个了,360还是继续链接,QQ没有尝试,估计是木马!!
作者: 寄托天下    时间: 2007-3-20 17:07

各位高手:
非常感谢您留心我这份系统诊断报告,小菜鸟十万火急等待您的帮助!
该诊断报告由360安全卫士提供 http://www.360safe.com
诊断时间: 2007-03-20  17:07:11
诊断平台: Microsoft Windows XP  Service Pack 2
IE版本: Internet Explorer V6.0.2900.2180 Build:62900.2180
计算机物理内存:255MB - 当前可用内存:63MB

100 - 未知 - Process: Winrtm32.exe [Winrtm32] - C:\WINDOWS\system32\winrtm32.exe
100 - 未知 - Process: FYFireWall.exe [风云防火墙个人版] - C:\Program Files\FengYun\FYFireWall.exe
100 - 未知 - Process: Vcr32.exe [Vcr32] - C:\Program Files\Virus Chaser\Vcr32.exe
100 - 未知 - Process: guard.exe [AVG Anti-Spyware guard] -
O4 - 未知 - HKLM\..\Run: [FY_FireWall] [风云防火墙个人版] C:\Program Files\FengYun\FYFireWall.exe
O8 - 未知 - Extra context menu item: 使用迅雷下载 - C:\Program Files\Thunder\Program\GetUrl.htm
O8 - 未知 - Extra context menu item: 使用迅雷下载全部链接 - C:\Program Files\Thunder\Program\GetAllUrl.htm
O9 - 未知 - Extra button: 信息检索(HKLM) - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - 未知 - DPF: {03D19749-C5FA-4CCC-99AB-00AB2AF45ACD} (File Transfer ActiveX Client) - https://deepin-17965158:2000/activex/RACtrl.cab
O16 - 未知 - DPF: {1DE88635-1C72-401E-B23B-93FA86D30F3B} (SSReaderPlug) - http://www.sslibrary.com/download/SSReaderPlug.cab
O16 - 未知 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1009/aliedit.cab
O18 - 未知 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - C:\PROGRA~1\KuGoo\InExtend\KUGOO3~1.OCX
O18 - 未知 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - 未知 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - 未知 - Protocol: IEProtocolHandler - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - 未知 - Service: spidernt [Anti Virus System - Virus Chaser] - C:\Program Files\Virus Chaser\SpiderNT.exe - (running)
O23 - 未知 - Service: usnjsvc [Messenger 上安装的启用共享情况的服务] - "C:\Program Files\MSN Messenger\usnsvc.exe" - (not running)
O23 - 未知 - Service: WebDumpII [The message dump service of Any@Web, version 2.10] - "C:\Program Files\anyatweb.com\Any@Web\WebDumpII.exe" - (not running)
O23 - 未知 - Service: WINRTM32 [Windows Remote Service] - C:\WINDOWS\system32\winrtm32.exe - (running)

=======================================

100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量,ms-dos驱动名称类似lpt1以及com,调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统,用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base
100 - 安全 - Process: winlogon.exe [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k DcomLaunch
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 安全 - Process: spoolsv.exe [windows打印任务控制程序,用以打印机就绪。] - C:\WINDOWS\system32\spoolsv.exe
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面和文件管理。] - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: MDM.EXE [debug除错管理用于调试应用程序和microsoft office中的microsoft script editor脚本编辑器。] - C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
100 - 安全 - Process: SpiderNT.exe [virus 驱逐舰杀毒软件相关程序。] - C:\Program Files\Virus Chaser\SpiderNT.exe
100 - 安全 - Process: Vcrmon.exe [virus 驱逐舰杀毒软件相关程序。] - C:\Program Files\Virus Chaser\vcrmon.exe
100 - 安全 - Process: ctfmon.exe [office xp输入法图标。] - C:\WINDOWS\system32\ctfmon.exe
100 - 安全 - Process: SpiderUI.exe [驱逐舰杀毒软件相关程序。] - C:\Program Files\Virus Chaser\Spiderui.exe
100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe
100 - 安全 - Process: TheWorld.exe [世界之窗浏览器软件,支持多窗口浏览和广告拦截。] - C:\Program Files\TheWorld\TheWorld.exe
100 - 安全 - Process: msnmsgr.exe [msn messenger是一款即时通讯客户端软件。] - C:\Program Files\MSN Messenger\msnmsgr.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k imgsvc
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell,包括开始菜单、任务栏,桌面和文件管理。] - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: 360tray.exe [360安全卫士实时监控程序。] - C:\Program Files\360safe\safemon\360tray.exe
100 - 安全 - Process: notepad.exe [notepad字符编辑器用于打开文档。在windows中附带。] - C:\WINDOWS\system32\NOTEPAD.EXE
100 - 安全 - Process: avgas.exe [一款杀毒软件AVG的相关程序。] - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
100 - 安全 - Process: 360Safe.exe [360安全卫士相关程序。] - C:\Program Files\360safe\360safe.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=C:\WINDOWS\system32\blank.htm
O2 - 安全 - BHO: (Thunder Browser Helper) - [迅雷附带下载**器相关文件。] - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder\ComDlls\XunLeiBHO_002.dll
O4 - 安全 - HKLM\..\Run: [Vcrmon] [驱逐舰防病毒软件。] C:\Program Files\Virus Chaser\vcrmon.exe
O4 - 安全 - HKLM\..\Run: [360Safetray] [360safe实时保护功能模块。] C:\Program Files\360safe\safemon\360tray.exe
O4 - 安全 - HKLM\..\Run: [!AVG Anti-Spyware] [一款杀毒软件AVG的相关启动程序。] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] C:\WINDOWS\system32\ctfmon.exe
O8 - 安全 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O16 - 安全 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Flash播放器) - http://download.macromedia.com/p ... s/flash/swflash.cab
O18 - 安全 - Protocol: OFFICE 相关 - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
O18 - 安全 - Protocol: OFFICE 相关 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\PROGRA~1\COMMON~1\MICROS~1\WEBCOM~1\11\OWC11.DLL
O21 - 安全 - Protocol Icons: HKCR\http\shell\open\command - "C:\Program Files\TheWorld\TheWorld.exe" "%1"
O21 - 安全 - Protocol Icons: HKCR\https\shell\open\command - "C:\Program Files\TheWorld\TheWorld.exe" "%1"
O21 - 安全 - Protocol Icons: HKCR\htmlfile\shell\open\command - "C:\Program Files\TheWorld\TheWorld.exe" "%1"
O23 - 安全 - Service: NVSvc [是NVIDIA显示卡相关程序。] - C:\WINDOWS\system32\nvsvc32.exe - (not running)
O23 - 安全 - Service: AVG Anti-Spyware Guard [一款杀毒软件AVG的相关服务。] - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe - (running)

=======================================

O40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\system32\nvcpl.dll - NVIDIA Display Properties Extension -
O40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\system32\NVRSZHC.DLL - NVIDIA Simplified Chinese language resource library - c72af0e25a47df04e38d034e40c6e8b1
O40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\system32\nvshell.dll - NVIDIA Desktop Explorer, Version 61.77  - a1485d56cbb423d136d106f82aa63e27
O40 - Explorer.EXE - www.218.cc - C:\Program Files\FengYun\fymon.dll - 风云防火墙 DLL - f4feffadf7e977d41d6268b946264fd5
O40 - Explorer.EXE - Thunder Networking Technologies,LTD - C:\Program Files\Thunder\ComDlls\XunLeiBHO_002.dll - XunLeiBHO - 8915c81b9c015cf5571fad917a614a85
O40 - Explorer.EXE - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll - AVG Anti-Spyware shellexecutehook - 4c7f099b3ffde9805ae290de3e593397
O40 - Explorer.EXE - New Technology Wave Inc. - C:\Program Files\Virus Chaser\Shellexe.dll - VirusChaser Shell Extension - 6f7c317de6adb2c10d43abd13eaa842c
O40 - Explorer.EXE -  - C:\PROGRA~1\CHANGE~1\csmenu.dll -  - 7abfd1d7a65bbdde044530cfbc89a3fb
O40 - Explorer.EXE - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll - Context-Menu (Shell Extension) - 2aff6773501cefdda87bc6b1a0e29ac1
O40 - Explorer.EXE - www.218.cc - C:\Program Files\FengYun\fymon.dll - 风云防火墙 DLL - f4feffadf7e977d41d6268b946264fd5
O40 - Explorer.EXE - Thunder Networking Technologies,LTD - C:\Program Files\Thunder\ComDlls\XunLeiBHO_002.dll - XunLeiBHO - 8915c81b9c015cf5571fad917a614a85
O40 - Explorer.EXE - New Technology Wave Inc. - C:\Program Files\Virus Chaser\Shellexe.dll - VirusChaser Shell Extension - 6f7c317de6adb2c10d43abd13eaa842c
O40 - Explorer.EXE -  - C:\PROGRA~1\CHANGE~1\csmenu.dll -  - 7abfd1d7a65bbdde044530cfbc89a3fb
O40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\system32\nvcpl.dll - NVIDIA Display Properties Extension -
O40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\system32\NVRSZHC.DLL - NVIDIA Simplified Chinese language resource library - c72af0e25a47df04e38d034e40c6e8b1
O40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\system32\nvshell.dll - NVIDIA Desktop Explorer, Version 61.77  - a1485d56cbb423d136d106f82aa63e27
O40 - Explorer.EXE - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\context.dll - Context-Menu (Shell Extension) - 2aff6773501cefdda87bc6b1a0e29ac1
O40 - Explorer.EXE - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll - AVG Anti-Spyware shellexecutehook - 4c7f099b3ffde9805ae290de3e593397

=======================================

O41 - Apaidi - Apaidi - C:\WINDOWS\system32\drivers\Apaidi.sys - (running) -  -  - f60f0a380c6cf97dc05c7d01adb2c217
O41 - drwebnet - SpIDer Guard boot hook driver for Windows NT - C:\WINDOWS\system32\drivers\Drwebnet.sys - (running) - SpIDer Guard boot hook driver for Windows NT - Doctor Web Ltd - 1341a129478672613ec4e94d38856e2e
O41 - KxTdifltDrv - KxTdifltDrv - C:\Program Files\FengYun\KxTdiDrv.sys - (running) -  -  - 5a71ee17863f94d1930879962e5b5ec4
O41 - npkcrypt - npkcrypt - C:\Program Files\QQ2006\npkcrypt.sys - (running) -  -  -
O41 - ROCKEYNT - Rockey Device Driver - C:\WINDOWS\system32\drivers\Rockeynt.sys - (running) - Rockey Device Driver - FeiTian Tech Co.,Ltd - 1aba1d70f793c75c354195b521b4e735
O41 - SPIDERCTL - System Monitoring for Windows NT - C:\Program Files\Virus Chaser\Spider.sys - (running) - System Monitoring for Windows NT - New Technology Wave Inc. - ee75e83ac0da6deaef00d59f8efa44e0
O41 - AVG Anti-Spyware Driver - AVG Anti-Spyware Driver - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.sys - (running) -  -  - 7d78b7fd0ebe00f177b053a08c78e35b
O41 - AWNPF - AWNPF Driver - TME extensions - C:\WINDOWS\system32\drivers\awnpf.sys - (not running) - AWNPF Driver - TME extensions - Politecnico di Torino - c374a7241d42f22f4798effce5ff531a
O41 - NPF - npf - C:\WINDOWS\system32\drivers\npf.sys - (not running) - npf - CACE Technologies - d21fee8db254ba762656878168ac1db6
O41 - p2pfilter - p2pfilter - C:\Program Files\grabsun\netsense\p2pfilter.sys - (not running) -  -  -
O41 - ramirr - ramirr - C:\WINDOWS\system32\DRIVERS\ramirr.sys - (not running) -  -  -
O41 - AvgAsCln - AVG7 Clean Driver - C:\WINDOWS\system32\drivers\AvgAsCln.sys - (not running) - AVG7 Clean Driver - GRISOFT, s.r.o. - 6d4a1da6e6d522b3ebbcbff4a3589ec5

=======================================
360Safe.exe=3.2.0.1002
AntiAdwa.dll=3.2.0.1001
AntiEng.dll=3.0.2.2000
AntiActi.dll=2.0.0.3000
CleanHis.dll=3.0.2.1000
safelive.exe=1.0.0.2007
live.dll=1.0.0.1011

=======================================
操作历史报告:

=======================================

360安全卫士,彻底查杀各种流氓软件,全面保护系统安全,并赠送正版卡巴斯基V6.0
最新免费下载:http://www.360safe.com
作者: chs098    时间: 2007-3-20 17:52

你上网的ip地址是什么?
我也是湖南铁通,铁通的服务器地址经常改变的!
作者: 寄托天下    时间: 2007-3-20 18:17

avg已经确认是后门木马,删除重启搞掉了!
作者: 靖哥哥    时间: 2007-3-20 19:08

八会是鸽子吧,最近流行这个
作者: duckZCX    时间: 2007-3-21 09:52

原帖由 寄托天下 于 2007-3-20 18:17 发表
avg已经确认是后门木马,删除重启搞掉了!

还是AVG可爱
作者: xhms    时间: 2007-3-21 23:01

看不懂!~~,看楼上高人
作者: fwjtzqx    时间: 2007-3-25 09:07

看不懂!~~,看楼上高人




欢迎光临 世界之窗论坛 (http://bbs.theworld.cn./) Powered by Discuz! 7.2