‹‹ 上一主題 | 下一主題 ››
發新話題
打印

中毒+清除唔到 with hijackthis

小李子

二星fun會員

Rank: 3Rank: 3
1# 發表於 2009-2-4 23:33  只看該作者

中毒+清除唔到 with hijackthis

F secure scan到毒但一clean就hang
有d 防毒軟件nod 32 , avg 直頭run唔到
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:09:07, on 4/2/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\temp\explorer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\TXPlatform.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\55555555555.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\drivers\TXPlatform.exe
O4 - HKCU\..\Run: [uTorrent] "C:\uTorrent\uTorrent.exe"
O4 - HKLM\..\Policies\Explorer\Run: [23236] C:\WINDOWS\system32\55555555555.exe
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1078081533-1767777339-725345543-1000\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-21-1078081533-1767777339-725345543-1000\..\Run: [uTorrent] "C:\uTorrent\uTorrent.exe" (User '?')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O21 - SSODL: C:\WINDOWS\system32\tkvvcbpr.dll - {DF12F8AB-9A00-469C-B9D4-425C1BE3E1E6} - C:\WINDOWS\system32\evgyjbsu.dll
O21 - SSODL: C:\WINDOWS\Fonts\afjgndan.dll - {B8F4C7B3-74C8-4380-80B6-B66E5486B904} - C:\WINDOWS\Fonts\hnlkesuv.dll
O21 - SSODL: C:\WINDOWS\Fonts\kciejxdt.dll - {4B3DA347-ACBB-497B-B62F-957C4D2B46D3} - C:\WINDOWS\Fonts\xbgzlcxj.dll
O21 - SSODL: C:\WINDOWS\system32\tzycezhh.dll - {01C52313-FF03-413E-A148-665C199D3279} - C:\WINDOWS\system32\nltikxel.dll
O21 - SSODL: C:\WINDOWS\Fonts\aikhfwla.dll - {A272F097-E24C-4A6E-8BCD-8C42839CE8DE} - C:\WINDOWS\Fonts\lboromxt.dll
O21 - SSODL: C:\WINDOWS\Fonts\kfixarog.dll - {4F72F83A-1C16-444C-8821-D01FF4759555} - C:\WINDOWS\Fonts\btaznqdu.dll
O21 - SSODL: C:\WINDOWS\system32\kmcpubsc.dll - {9E32A24D-BEFC-4BF9-A25D-91C37CEDE61B} - (no file)
O21 - SSODL: C:\WINDOWS\Fonts\xbgzlcxj.dll - {4B3DA347-ACBB-497B-B62F-957C4D2B46D3} - C:\WINDOWS\Fonts\xbgzlcxj.dll
O21 - SSODL: C:\WINDOWS\system32\nltikxel.dll - {01C52313-FF03-413E-A148-665C199D3279} - C:\WINDOWS\system32\nltikxel.dll
O21 - SSODL: C:\WINDOWS\system32\evgyjbsu.dll - {DF12F8AB-9A00-469C-B9D4-425C1BE3E1E6} - C:\WINDOWS\system32\evgyjbsu.dll
O21 - SSODL: C:\WINDOWS\Fonts\hnlkesuv.dll - {B8F4C7B3-74C8-4380-80B6-B66E5486B904} - C:\WINDOWS\Fonts\hnlkesuv.dll
O21 - SSODL: C:\WINDOWS\Fonts\lboromxt.dll - {A272F097-E24C-4A6E-8BCD-8C42839CE8DE} - C:\WINDOWS\Fonts\lboromxt.dll
O21 - SSODL: C:\WINDOWS\Fonts\btaznqdu.dll - {4F72F83A-1C16-444C-8821-D01FF4759555} - C:\WINDOWS\Fonts\btaznqdu.dll
O21 - SSODL: C:\WINDOWS\Fonts\mslvinsg.dll - {3CA7A137-35F8-46CD-B83B-534CD13D5A67} - C:\WINDOWS\Fonts\ttfqxphs.dll
O21 - SSODL: C:\WINDOWS\Fonts\ttfqxphs.dll - {3CA7A137-35F8-46CD-B83B-534CD13D5A67} - C:\WINDOWS\Fonts\ttfqxphs.dll

--
End of file - 3961 bytes

TOP

小李子

二星fun會員

Rank: 3Rank: 3
2# 發表於 2009-2-6 22:37  只看該作者
virus detected

mal_otorun1
pe_sality.ac
mal_hifrm
troj_haha.b
troj_adclicke.lf
pe_enissec.jm
html_iframe.nh
troj_agent.ajuc
cryp_naix-7
troj_rkproc.aj
tspy_pophot.ka
bkdr_sality.a
bkdr_pcclien.et
troj_dropper.hlu
bkdr_vb.hgp
troj_ayzh.b

TOP

熊貓店

版主

Rank: 9Rank: 9Rank: 9
3# 發表於 2009-2-7 12:55  只看該作者
Step: HiJackThis Scan & Fix

    關閉瀏覽器,開啟 HiJackThis ,按 do a system scan only 勾選以下內容:
    R3 - Default URLSearchHook is missing
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
    O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\drivers\TXPlatform.exe
    O4 - HKLM\..\Policies\Explorer\Run: [23236] C:\WINDOWS\system32\55555555555.exe
    O21 - SSODL: C:\WINDOWS\system32\tkvvcbpr.dll - {DF12F8AB-9A00-469C-B9D4-425C1BE3E1E6} - C:\WINDOWS\system32\evgyjbsu.dll
    O21 - SSODL: C:\WINDOWS\Fonts\afjgndan.dll - {B8F4C7B3-74C8-4380-80B6-B66E5486B904} - C:\WINDOWS\Fonts\hnlkesuv.dll
    O21 - SSODL: C:\WINDOWS\Fonts\kciejxdt.dll - {4B3DA347-ACBB-497B-B62F-957C4D2B46D3} - C:\WINDOWS\Fonts\xbgzlcxj.dll
    O21 - SSODL: C:\WINDOWS\system32\tzycezhh.dll - {01C52313-FF03-413E-A148-665C199D3279} - C:\WINDOWS\system32\nltikxel.dll
    O21 - SSODL: C:\WINDOWS\Fonts\aikhfwla.dll - {A272F097-E24C-4A6E-8BCD-8C42839CE8DE} - C:\WINDOWS\Fonts\lboromxt.dll
    O21 - SSODL: C:\WINDOWS\Fonts\kfixarog.dll - {4F72F83A-1C16-444C-8821-D01FF4759555} - C:\WINDOWS\Fonts\btaznqdu.dll
    O21 - SSODL: C:\WINDOWS\system32\kmcpubsc.dll - {9E32A24D-BEFC-4BF9-A25D-91C37CEDE61B} - (no file)
    O21 - SSODL: C:\WINDOWS\Fonts\xbgzlcxj.dll - {4B3DA347-ACBB-497B-B62F-957C4D2B46D3} - C:\WINDOWS\Fonts\xbgzlcxj.dll
    O21 - SSODL: C:\WINDOWS\system32\nltikxel.dll - {01C52313-FF03-413E-A148-665C199D3279} - C:\WINDOWS\system32\nltikxel.dll
    O21 - SSODL: C:\WINDOWS\system32\evgyjbsu.dll - {DF12F8AB-9A00-469C-B9D4-425C1BE3E1E6} - C:\WINDOWS\system32\evgyjbsu.dll
    O21 - SSODL: C:\WINDOWS\Fonts\hnlkesuv.dll - {B8F4C7B3-74C8-4380-80B6-B66E5486B904} - C:\WINDOWS\Fonts\hnlkesuv.dll
    O21 - SSODL: C:\WINDOWS\Fonts\lboromxt.dll - {A272F097-E24C-4A6E-8BCD-8C42839CE8DE} - C:\WINDOWS\Fonts\lboromxt.dll
    O21 - SSODL: C:\WINDOWS\Fonts\btaznqdu.dll - {4F72F83A-1C16-444C-8821-D01FF4759555} - C:\WINDOWS\Fonts\btaznqdu.dll
    O21 - SSODL: C:\WINDOWS\Fonts\mslvinsg.dll - {3CA7A137-35F8-46CD-B83B-534CD13D5A67} - C:\WINDOWS\Fonts\ttfqxphs.dll
    O21 - SSODL: C:\WINDOWS\Fonts\ttfqxphs.dll - {3CA7A137-35F8-46CD-B83B-534CD13D5A67} - C:\WINDOWS\Fonts\ttfqxphs.dll

    按 fix checked ,關閉 HiJackThis


Step: Download & Install Malwarebytes' Anti-Malware

  • 下載 Malwarebytes' Anti-Malware
  • 執行 mbam-setup.exe ,並安裝 Malwarebytes' Anti-Malware ,選擇英文安裝 .
  • 確定以下兩個選項已選取

    • Update Malwarebytes' Anti-Malware
    • Launch Malwarebytes' Anti-Malware

  • Finish
  • 更新完成後
  • 選取 Perform full scan
  • Scan
  • 掃描完成後 ,按 OK, 將會顯示結果.
  • 選取所有項目(如有) , 按 Remove Selected.
  • 完成後 , 將會彈出掃描報告.儲存報告內容到桌面.


Step: Download & RUN ComboFix

  • 下載 ComboxFix 至桌面.

    注意: ComboxFix 運作其間不要用滑鼠點擊程式視窗.

    • 執行 ComboxFix 並依提示操作
    • ComboxFix 將會自動完成操作.
    • 執行完會有報告於C:\ComboFix.txt.



Step: Report Back
<ul>
貼上 以下報告
如果報告太長,可以上傳到 這裡

ComboFix 掃描報告 {C:\ComboFix.txt}
Malwarebytes' Anti-Malware

TOP

小李子

二星fun會員

Rank: 3Rank: 3
4# 發表於 2009-2-7 20:24  只看該作者
http://www.sendspace.com/file/isazg2
http://www.sendspace.com/file/1ylspc

ps 開頭hijack係run 唔到
run malwarebyte之後至得

首頁仍被hack (www.6700.cn?tn=1027294)

TOP

小李子

二星fun會員

Rank: 3Rank: 3
5# 發表於 2009-2-8 15:56  只看該作者

TOP

熊貓店

版主

Rank: 9Rank: 9Rank: 9
6# 發表於 2009-2-8 23:53  只看該作者
Step: CFScript

  • 開啟記事本,貼上以下內容

    File::
    D:\   .exe
    C:\WINDOWS\Fonts\d091015.dat
    C:\WINDOWS\Fonts\d100121.dat
    C:\WINDOWS\Fonts\drlftlio.dll
    C:\WINDOWS\Fonts\gcnkmebz.dll
    C:\WINDOWS\Fonts\j09124.dat
    C:\WINDOWS\Fonts\jxwjchkc.dll
    C:\WINDOWS\Fonts\mhywuiun.dll
    C:\WINDOWS\Fonts\qksbfinx.dll
    C:\WINDOWS\Fonts\tuuhxjfi.dll
    C:\WINDOWS\Fonts\wmaalihj.dll
    C:\WINDOWS\Fonts\x09119.dat
    C:\WINDOWS\Fonts\z0114.dat
    C:\WINDOWS\Fonts\zhrzblqe.dll
    c:\windows\system32\drivers\zt9m.txt
    c:\windows\system32\drivers\qqsx9m.txt
    c:\windows\system32\drivers\dnf9m.txt
    c:\windows\system32\drivers\xuqj9m.txt
    c:\windows\system32\drivers\wmgj9m.txt
    c:\windows\system32\drivers\wd9m.txt
    c:\windows\system32\drivers\jxsj9m.txt
    c:\windows\system32\drivers\dhwd9m.txt
    c:\windows\system32\drivers\dh29m.txt
    c:\windows\system32\drivers\cqsj9m.txt
    Registry::
    [HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
    "ming9astart"=-
    "ccsnhh"=-
    "23236"=-
    [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
    "{01C52313-FF03-413E-A148-665C199D3279}"=-
    "{DF12F8AB-9A00-469C-B9D4-425C1BE3E1E6}"=-
    "{4F72F83A-1C16-444C-8821-D01FF4759555}"=-
    "{A272F097-E24C-4A6E-8BCD-8C42839CE8DE}"=-
    "{4B3DA347-ACBB-497B-B62F-957C4D2B46D3}"=-
    "{3CA7A137-35F8-46CD-B83B-534CD13D5A67}"=-
    "{9EF27EE4-4141-4E51-A118-6FCC570C8796}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
    "c:\windows\Fonts\jxwjchkc.dll"=-
    "c:\windows\Fonts\mhywuiun.dll"=-
    "c:\windows\Fonts\qksbfinx.dll"=-
    "c:\windows\Fonts\tuuhxjfi.dll"=-
    "c:\windows\Fonts\zhrzblqe.dll"=-
    "c:\windows\Fonts\drlftlio.dll"=-
    "c:\windows\Fonts\gcnkmebz.dll"=-
    "c:\windows\Fonts\wmaalihj.dll"=-
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\boxmod.exe]
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\enc98.EXE]
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\taskmgr.exe]
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\ua80.EXE]
    [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\image file execution options\vstskmgr.exe ]


  • 儲存--->存檔類型--->所有檔案-->檔名輸入為 CFScript.txt
  • 把CFScript.txt 拉到 ComboxFix.exe

  • ComboxFix 將會被執行執行完會有報告於C:\ComboFix.txt.


Step: Download Dr.Web CureIT!


Step: Scan with Dr.Web CureIT!

  • 執行 Dr.Web CureIT!(cureit.exe)
  • Start--->按確定(OK)進行 Express Scan
  • Express scan需要一段時間才可完成,如果其間發現問題,按 Yes 來清除
  • 完成 Express Scan 按 Complete scan,然後按右手面的 三角形/箭頭 開始掃瞄.
  • 假如 Dr.Web CureIT! 發現問題,按 Yes to All
  • 完成掃描後,點擊 Select All (如果可以)
  • 再點擊 Move (如果可以)
    如果有問題的檔案不能清理, Dr.Web CureIT!將會把檔案
    移到 C:\Documents and Settings\[你的用戶名稱]\DoctorWeb\Quarantine點擊 File-> Save report list ,並儲存報告(report)到桌面, 關閉Dr.Web CureIT


Step: Report Back
<ul>
貼上 以下報告
如果報告太長,可以上傳到 這裡

Dr.Web CureIT! 掃描報告 {桌面的 DrWeb.csv}
ComboFix 掃描報告 {C:\ComboFix.txt}

TOP

小李子

二星fun會員

Rank: 3Rank: 3
7# 發表於 2009-2-9 09:35  只看該作者

TOP

熊貓店

版主

Rank: 9Rank: 9Rank: 9
8# 發表於 2009-2-14 10:53  只看該作者
Run 多次 drweb & combofix
貼上report

TOP

小李子

二星fun會員

Rank: 3Rank: 3
9# 發表於 2009-2-14 13:31  只看該作者
drweb.csv
explorer.exe.vir;C:\Qoobox\Quarantine\C\WINDOWS;Trojan.Starter.origin;無法修複。已移動。;


http://www.sendspace.com/file/gt1r3x

TOP

‹‹ 上一主題 | 下一主題 ››
發新話題