中病毒了，症状有点像rose

cbzhang307 · 发表于 2007-1-9 15:08:55

求助，电脑中毒了。
症状:每一个盘符下都有一个setup.exe和一个autorun.inf,都是隐藏属性。双几盘符不能打开，只能通过右键点击“打开”，杀毒软件不能打开。autorun.inf的内容是调用setup.exe。通过dos命令可以修改他们的属性，并删除，各个盘都进行操作，但是重启后他们又出现，是不是另外还有一个文件虽是产生他们两个文件？，怎样才能知道是哪一个文件？或者彻底删除他们？请高手帮忙啊。郁闷死了。

cbzhang307 · 发表于 2007-1-9 15:21:46

Logfile of HijackThis v1.99.1
Scan saved at 15:19:20, on 2007-1-9
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
D:\Acrobat Adobe-anzhuang\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\conime.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\drivers\spoclsv.exe
D:\程序\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Acrobat Adobe-anzhuang\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - d:\Acrobat Adobe-anzhuang\Acrobat\AcroIEFavClient.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - C:\Program Files\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - d:\Acrobat Adobe-anzhuang\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "d:\Acrobat Adobe-anzhuang\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [boot-hf] c:\windows\BOOT-hf.exe
O4 - HKCU\..\Run: [svcshare] C:\WINDOWS\system32\drivers\spoclsv.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?SystemRoot%\Installer\{AC76BA86-2052-0000-7760-100000000002}\SC_Acrobat.exe
O8 - Extra context menu item: 使用影音传送带下载 - C:\Program Files\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: 使用影音传送带下载全部链接 - C:\Program Files\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 导出当前页到超星阅览器(&A) - C:\Program Files\SSREADER36\ss_all.htm
O8 - Extra context menu item: 导出选中部分到超星阅览器(&S) - C:\Program Files\SSREADER36\ss_select.htm
O8 - Extra context menu item: 转换为 Adobe PDF - res://d:\Acrobat Adobe-anzhuang\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 转换为现有 PDF - res://d:\Acrobat Adobe-anzhuang\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: 转换选定的链接为 Adobe PDF - res://d:\Acrobat Adobe-anzhuang\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: 转换选定的链接为现有 PDF - res://d:\Acrobat Adobe-anzhuang\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: 转换选项为 Adobe PDF - res://d:\Acrobat Adobe-anzhuang\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 转换选项为现有 PDF - res://d:\Acrobat Adobe-anzhuang\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: 转换链接目标为 Adobe PDF - res://d:\Acrobat Adobe-anzhuang\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: 转换链接目标为现有 PDF - res://d:\Acrobat Adobe-anzhuang\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: 微软 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.microsoft.com/china/index.htm (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F95BB21C-B625-4D64-BB23-C95A97D79C54}: NameServer = 159.226.121.1,159.226.120.18
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

dudu12345679 · 发表于 2007-1-9 15:35:15

没事。。。。。。安全模式查杀。。。。。。

重启后。。。不要双击盘符。。。右键打开然后删 autorun等。。。。再重启。。。

打开文件夹选项里面硬盘符默认设置为 open 程序为 explore.exe

搞定收工！！！

dudu12345679 · 发表于 2007-1-9 15:40:38

另外。。你进程里有很多可疑的。。。。spoolsv.exe igfxtray.exe(显卡？) hkcmd.exe HijackThis.exe 这些你自己留意一下。。。。干净的新系统貌似不该有这些东西

另外 conime.exe 我习惯上手动关掉。。。它虽然不是木马，可是监测键盘输入的。被别的木马程序调用的话总归是不安全的。。。。。。

cbzhang307 · 发表于 2007-1-9 16:16:09

谢谢dudu12345679的热心回复，问题解决了。　

jintanfayuan · 发表于 2007-1-9 16:27:15

spoolsv.exe 好像是熊猫烧香的变种。

dudu12345679 · 发表于 2007-1-9 16:31:42

^_^是的不过。。。很容易搞定的一个病毒 ^_^

危害程度一般 ^_^

謝思琦 · 发表于 2007-1-9 17:26:02

igfxtray.exe和hkcmd.exe是显卡， HijackThis.exe是扫描出上面日志的软件。

		自动登录	找回密码
密码			注册

[【解决】] 中病毒了，症状有点像rose