帮帮偶！中毒了好像。。。内存耗的特大。。。。。电脑全方位 Computer Guide 狗狗静电BBS - wwW.DoGGiEhoMe.CoM

查看完整版本: [-- 帮帮偶！中毒了好像。。。内存耗的特大。。。。。 --]

狗狗静电BBS - wwW.DoGGiEhoMe.CoM -> 电脑全方位 Computer Guide -> 帮帮偶！中毒了好像。。。内存耗的特大。。。。。 [打印本页]

登录 -> 注册 -> 回复主题 -> 发表主题

yongjin1868

2006-07-17 08:29

不知道为什么，刚开机还好，用了一会，内存耗的特大，都700多M了，正常只有200左右的，各位大大帮忙看看什么问题啊，扫描结果如下：

Logfile of HijackThis v1.99.1
Scan saved at 8:23:44, on 2006-7-17
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\WINLOGON.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
F:\李永进\软件备份\扫描软件.exe

F2 - REG:system.ini: Shell=Explorer.exe 1
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - C:\PROGRA~1\SUPERR~1\MAGICSET\haokanbar.dll
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder\ComDlls\XunLeiBHO_002.dll
O3 - Toolbar: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - C:\PROGRA~1\SUPERR~1\MAGICSET\haokanbar.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Program Files\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [StormCodec_Helper] "C:\Program Files\MPC\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 使用迅雷下载 - C:\Program Files\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: 使用迅雷下载全部链接 - C:\Program Files\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Program Files\ewido anti-spyware 4.0\guard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky\kavsvc.exe

yongjin1868	2006-07-17 14:53
唉。。就没个高手帮帮忙啊

singularity	2006-07-17 22:30
C:\WINDOWS\WINLOGON.EXE O4 - HKLM\..\Run: [Torjan Program] C:\WINDOWS\WINLOGON.EXE 我觉得这个WINLOGON有问题。我说的对不对？请高手指点？

tangisme2004

2006-07-17 22:56

Quote:

下面是引用singularity于2006-07-17 22:30发表的:
C:WINDOWSWINLOGON.EXE
O4 - HKLM..Run: [Torjan Program] C:WINDOWSWINLOGON.EXE
我觉得这个WINLOGON有问题。
我说的对不对？请高手指点？

我认为对
因为WINLOGON应该在C:\WINDOWS\system32下~

孙悟空	2006-07-18 08:30
李永进，本尊？

孙悟空

2006-07-18 08:33

Quote:

下面是引用singularity于2006-07-17 22:30发表的:
C:WINDOWSWINLOGON.EXE
O4 - HKLM..Run: [Torjan Program] C:WINDOWSWINLOGON.EXE
我觉得这个WINLOGON有问题。
我说的对不对？请高手指点？

一，用第三方的进程管理器干掉winlogon.exe，注意用户名，用户名为System的是正常进程

二，打开注册表编辑器
1，找到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
将值shell = Explorer.exe 1改为shell = Explorer.exe

2，删除自启动项
到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
将Torjan Program（很明显吧木马程序）C:\WINNT\winlogon.exe删了

3，到HKEY_Classes_root\.exe下默认值 winfiles 改为exefile

4.删除其他无用数据
删除以下两个键值：
HKEY_Classes_root\winfiles
HKEY_Local_machine\software\classes\winfiles

5，搜索iexplore.com，改为iexplore.exe
共有这几项
HKEY_CLASSES_ROOT\htmlfile\Shell\open\command
HKEY_CLASSES_ROOT\Applications\iexplore.exe\Shell\open\command
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\Shell\OpenHomePage\command
HKEY_CLASSES_ROOT\ftp\Shell\open\command

6，搜索iexplore.pif 改为%Program Files%\Internet Explorer\iexplore.exe
共有这几项
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\iexplore.pif\shell\open\command
HKEY_CLASSES_ROOT\htmlfile\Shell\opennew\command
HKEY_CLASSES_ROOT\http\Shell\open\command
7. 搜索explorer.com 改为iexplore.exe
就是这项
HKEY_CLASSES_ROOT\Drive\shell\find\command

8，将以下键值的 No 修改为 Yes
HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\Internet Explorer\Main\\Check_Associations

三，打开我的电脑。要用右键打开C盘，不然病毒会在运行。
以下基本用是隐藏，系统文件。要在文件夹选项中打开查看所有文件选项。
大多数文件日期全为2006／06／17，你也可以用这个来找。
1，删除%windir%目录下的
1.com
ExERoute.exe
explorer.com
finder.com
WINLOGON.EXE
2，删除%windir%\system32目录下的
command.pif
dxdiag.com
finder.com
MSCONFIG.COM
regedit.com
rundll32.com
3，删除%Program Files%目录下的
Internet Explorer\iexplore.com
Common Files\iexplore.pif

4，删除每个分区下的autorun.inf文件，（这个就是不能直接打开分区的原因）

5，删除以下文件夹：%windir%\debug

这样就基本删了它了，不足之处请高手指出
顺便说一下,我是用Total Commander与Registry workshop来找文件和注册表的

singularity	2006-07-18 09:07
真是够详细的！

yongjin1868	2006-07-19 09:37
谢谢各位了，我去网上看了下，好像叫什么落雪的木马，太难了，有在D盘的，我重装了。。在杀，基本一个没问题了。

yongjin1868	2006-07-19 09:38
楼上有人跟偶同名？？？？

查看完整版本: [-- 帮帮偶！中毒了好像。。。内存耗的特大。。。。。 --] [-- top --]

Powered by PHPWind v6.0 Code © 2003-05 PHPWind
Gzip enabled

You can contact us