再造病毒

**laurenwyne** · ＃1 2008年11月11号，01:55

您好Evilfantasy ...这是我再次...我想我已经上有病毒，我的笔记本是再造病毒，我无法将其删除
我已经使用了Norton Internet Security 2008 ，查杀，和AVG仍然没有消除。它既是对我的C和D的驱动器。请帮助

这是劫持日志
日志文件的趋势科技了HijackThis v2.0.2
扫描储存于下午4时54分33秒，在2008年11月11号
平台： Windows Vista SP1的（使用WINNT 6.00.1905 ）
MSIE ： Internet Explorer的v7.00 （ 7.00.6001.18000 ）
启动模式：正常

正在运行的进程：
ç ： \的Windows \ system32 \ taskeng.exe
ç ： \的Windows \ system32 \ Dwm.exe
ç ： \的Windows \ Explorer.exe的
ç ： \的Windows \ system32 \ taskeng.exe
ç ： \ Program Files文件\华硕\华硕实时更新\ ALU.exe
ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSvcHst.exe
ç ： \ Program Files文件\的iTunes \ iTunesHelper.exe
ç ： \ Program Files文件\ Windows工具\ sidebar.exe
ç ： \用户\ X80le \应用程序数据\本地\谷歌\更新\ GoogleU pdate.exe
ç ： \ Program Files文件\ Windows媒体播放器\ wmpnscfg.exe
ç ： \ Program Files文件\是Mozilla Firefox \ firefox.exe
ç ： \ Program Files文件\雅虎\传送\ YahooMessenger.exe
ç ： \ Program Files文件\的Windows Live \ Messenger的\ msnmsgr.exe
ç ： \ Program Files文件\趋势科技\了HijackThis \ HijackThis.exe

受体1 - HKCU \软件\微软\的Internet Explorer \主， Default_Page_URL = http://www.asus.com
受体1 - HKCU \软件\微软\的Internet Explorer \主，搜索页面= http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU \软件\微软\的Internet Explorer \主，初始页=约：空白
R0 - HKLM \软件\微软\的Internet Explorer \搜索， SearchAssistant =
R0 - HKLM \软件\微软\的Internet Explorer \搜索， CustomizeSearch =
受体1 - HKCU \软件\微软\的Windows \ CurrentVersion \国际以太设置， ProxyOverride = *.地方
R0 - HKCU \软件\微软\的Internet Explorer \工具栏， LinksFolderName =
氧- BHO ：的Adobe PDF Reader链接帮手- （ 06849E9F - C8D7 - 4D59 - B87D - 784B7D6BE0B3 ） - ç ： \ Program Files文件\共同文件\的Adobe \杂技\的ActiveX \ AcroIEHelper.dll
氧- BHO ： WormRadar.com IESiteBlocker.NavFilter - （ 3CA2F312 - 6F6E - 4B53 - A66E - 4E65E497C8C0 ） - ç ： \ Program Files文件\的AVG \ AVG8 \ avgssie.dll （档案遗失）
氧- BHO ：赛门铁克的入侵防护- （ 6D53EC84 - 6AAE - 4787 - AEEE - F4628F01010C ） - ç ： \ PROGRA 〜 1 \常见〜 1 \ SYMANT 〜 1 \入侵\ IPSBHO.dll
氧- BHO ：（无姓名） - （ 7E853D72 - 626A - 48EC - A868 - BA8D5E23E045 ） - （没有文件）
氧- BHO ：的Windows Live登录助手- （ 9030D464 - 4C02 - 4ABF - 8ECC - 5164760863C6 ） - ç ： \ Program Files文件\共同文件\微软共享\的Windows Live \ WindowsLiveLogin.dll
物理学- HKLM \ .. \运行： [ ccApp ]的“ C ： \ Program Files文件\共同文件\赛门铁克共享\ ccApp.exe ”
物理学- HKLM \ .. \运行： [微软拼音输入法迁移] ç ： \ PROGRA 〜 1 \常见〜 1 \微〜 1 \ IME12 \ IMESC \ IMSCMIG 。 EXE文件/安装
物理学- HKLM \ .. \运行： [ QuickTime的工作]的“ C ： \ Program Files文件\的QuickTime \ QTTask.exe ” - atboottime
物理学- HKLM \ .. \运行： [ iTunesHelper ]的“ C ： \ Program Files文件\的iTunes \ iTunesHelper.exe ”
物理学- HKCU \ .. \运行： [栏] ç ： \ Program Files文件\ Windows工具\ sidebar.exe /自动
物理学- HKCU \ .. \运行： [谷歌更新]的“ C ： \用户\ X80le \应用程序数据\本地\谷歌\更新\谷歌的Update.exe ” /炭
物理学- HKUS \的S - 1 - 5 - 19 \ .. \的RunOnce ： [ ] （用户本地服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \运行： [ WindowsWelcomeCenter ] rundll32.exe oobefldr.dll ， ShowWelcomeCenter （用户的网络服务' ）
物理学- HKUS \的S - 1 - 5 - 20 \ .. \的RunOnce ： [ ] （用户的网络服务' ）
物理学- HKUS \的S - 1 - 5 - 18 \ .. \的RunOnce ： [ ] （用户'系统' ）
物理学- HKUS \ 。缺省\ .. \的RunOnce ： [ ] （用户默认用户' ）
O8 -额外上下文菜单项目：汇出至Microsoft Excel -水库： / /炭： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ EXCEL.EXE/3000
O9 -额外的按钮：研究- （ 92780B25 - 18CC - 41C8 - B9BE - 3C9C571A8263 ） - ç ： \ PROGRA 〜 1 \微〜 2 \ OFFICE11 \ REFIEBAR.DLL
O16 -柴油机微粒过滤器：（ 56762DEC - 6B0D - 4AB4 - A8AD - 989993B5D08B ）（ OnlineScanner控制） - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O23 -服务： ADSM服务（ ADSMService ） -未知所有者- ç ： \ Program Files文件\华硕\华硕数据安全管理\ ADSMSrv.exe
O23 -服务：苹果移动设备-苹果- ç ： \ Program Files文件\共同文件\苹果\移动设备支持\斌\ AppleMobileDeviceService.exe
O23 -服务： ASLDR服务（ ASLDRService ） -未知所有者- ç ： \ Program Files文件\ ATK公司热键\ ASLDRSrv.exe
O23 -服务： ATKGFNEX服务（ ATKGFNEXSrv ） -未知所有者- ç ： \ Program Files文件\ ATKGFNEX \ GFNEXSrv.exe
O23 -服务：自动的LiveUpdate调度程序- Symantec公司- ç ： \ Program Files文件\赛门铁克\的LiveUpdate \ AluSchedulerSvc.exe
O23 -服务：卓悦服务-苹果公司- ç ： \ Program Files文件\卓悦\ mDNSResponder.exe
O23 -服务：赛门铁克事件管理器（ ccEvtMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSvcHst.exe
O23 -服务：赛门铁克设置管理器（ ccSetMgr ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSvcHst.exe
O23 -服务：赛门铁克公共NetConnect服务（ CLTNetCnService ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSvcHst.exe
O23 -服务： COM公司主机（ comHost ） - Symantec公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ VAScanner \ comHost.exe
O23 -服务：安全平台管理处（ IFXSpMgtSrv ） -英飞凌科技股份公司- ç ： \的Windows \ system32 \ ifxspmgt.exe
O23 -服务：可信赖平台核心服务（ IFXTCS ） -英飞凌科技股份公司- ç ： \的Windows \ system32 \ ifxtcs.exe
O23 -服务： iPod服务-苹果- ç ： \ Program Files文件\苹果\斌\ iPodService.exe
O23 -服务： LightScribeService直接光盘标识服务（ LightScribeService ） -惠普公司- ç ： \ Program Files文件\共同文件\光\ LSSrvc.exe
O23 -服务：的LiveUpdate - Symantec公司- ç ： \ Program Files文件\赛门铁克\的LiveUpdate \ LuComServer_3_4.EXE
O23 -服务：的LiveUpdate通告-赛门铁克公司- ç ： \ Program Files文件\共同文件\赛门铁克共享\ ccSvcHst.exe
O23 -服务： NMIndexingService - Nero的股份公司- ç ： \ Program Files文件\共同文件\前\图书馆\ NMIndexingService.exe
O23 -服务：个人安全驱动服务（ PersonalSecureDriveService ） -英飞凌科技股份公司- ç ： \的Windows \ system32 \ IfxPsdSv.exe
O23 -服务： Cyberlink公司RichVideo服务（ CRVS ）（ RichVideo ） -未知所有者- ç ： \ Program Files文件\连\共享文件\ RichVideo.exe
O23 -服务：赛门铁克核心立法会-未知所有者- ç ： \ PROGRA 〜 1 \常见〜 1 \ SYMANT 〜 1 \文建会，立法会\ symlcsvc.exe

-
文件结尾- 5847字节

**evilfantasy** · ＃2 2008年11月11号，11时09分

解决这一问题已进入了HijackThis 。

氧- BHO ： WormRadar.com IESiteBlocker.NavFilter - （ 3CA2F312 - 6F6E - 4B53 - A66E - 4E65E497C8C0 ） - ç ： \ Program Files文件\的AVG \ AVG8 \ avgssie.dll （档案遗失）

----------

运行此在线扫描。

这种扫描仪需要Internet Explorer

使用 ESET 32在线扫描

1 。勾选 是的，我接受有关的使用条款。
2 。点击开始
3 。当记者问，请允许ActiveX控件安装
4 。点击开始
5 。请确保选择 删除发现威胁 并选择 扫描不需要的应用 检查标记。
6 。点击扫描
7 。等待扫描完成
8 。使用记事本打开日志文件位于 ç ： \ Program Files文件\ EsetOnlineScanner \ log.txt
9 。添加那个 ç ： \ Program Files文件\ EsetOnlineScanner \ log.txt 登录到您的下一个答复。

**laurenwyne** · ＃3 2008年11月11号， 15点54分

您好evilfantasy ，我不能够运行它作为我使用Windows Vista和它要求我使用管理员权限运行....

**thingie2** · ＃4 2008年11月11号，16时07分

右键单击IE浏览器的图标，并选择以管理员身份运行。

**evilfantasy** · ＃5 2008年11月11号，16点33分

报价：

最初发布者 thingie2

右键单击IE浏览器的图标，并选择以管理员身份运行。

同上。您需要启动IE浏览器的管理权限。

**laurenwyne** · ＃6 08年11月12日，05:30

确定感谢这个..我想知道为什么这种病毒是无法通过的AVG detetected ，查杀和NortonIS ...这发生在我的记忆卡插入和国家情报院发现一些病毒和威利说，成功地删除了...但是，当我检查了记录新谢克尔没有记录的。多数民众赞成在随后的时间我安装的AVG扫描，但没有发现任何病毒的AVG然后卸载并安装查杀病毒，但可惜没有发现...:(我稍后再执行感谢evilfantasy帮助我走出这个..将combofix不与此？并没有在线扫描的ESET扫描其他驱动器？

**evilfantasy** · ＃7 08年11月12日，15:29

ComboFix是一个专门的工具，我建议你不使用它，除非有人指示训练它的使用。许多事情可能出错使用CF和知道如何和何时使用它是非常重要的。

你说这是当您将闪存驱动器的计算机？

闪存驱动器清理

下载闪光消毒剂的潜艇并保存到桌面。

双击Flash_Disinfector.exe运行它。
您的桌面和图标可能会消失。这是正常的。
这将做清理移动存储设备，并写保护 的Autorun.inf 文件，以帮助防止再次感染。
遵循任何提示可能出现。
该实用工具可能会要求您插入闪存驱动器和/或其他可移动驱动器，包括您的手机。请这样做，并允许公用程式清理这些驱动器。
等到它已经完成扫描，然后退出该程序。
将不会有GUI界面或日志文件制作。
重新启动计算机时，许多工作要做。

注： Flash_Disinfector将创建一个隐藏文件夹命名的Autorun.inf在每个分区和所有的USB驱动器插入当您运行它。不要删除此文件夹...这将有助于保护您的硬盘从未来的感染。

**laurenwyne** · ＃8 08年11月12日，18:53

感谢evilfantasy的投入对CF 。其实这是很好的顺序上发生了什么。一个字母i插入到我的笔记本电脑的MMC然后我院2008年执行一个自动保护兑威利病毒..我重新格式化后的卡...然后我又MMC卡插入新谢克尔再次运行自动保护兑威利病毒再次有人说这是删除/保护..所以我重新格式化第二卡...然后我检查了一遍，并重新插入不存在病毒...这两个卡插入以前在我的办公室电脑谁了这种病毒是不是detetected赛门铁克发生了什么是它阻止所有的程序运行，他们必须鬼...现在它的再造病毒我记得我没有看到这段时间内，我的MMC插入，我相信这是第二天，我看到那么它是一个隐藏文件夹，所以我想删除它，但无济于事堂妹至于我记得这也是相同的病毒，我看到在我们的办公室已经影响到的USB / MMC中插入...我会立即执行的ESET并粘贴日志...感谢

**evilfantasy** · ＃9 08年11月12日，18:56

没问题。删去再造档案是不是很容易。视窗喜欢来保护他们。在ESET扫描应该删除它们虽然，我们将看到日志第一。

**laurenwyne** · ＃10 2008年11月18日，18:10

您好evilfantasy ESET未能发现任何病毒。 0文件。但是我无法找到日志文件。该文件是一个再造目前一个隐藏文件夹....

类似的主题
线	线程入门	论坛	答复	最后发表
病毒问题-任何人都可以告诉我，如果我可以有一个病毒	billozz	病毒，间谍软件和安全	1	2009年4月2日 13:58
我的朋友的MAC有病毒... ...是啊...乌姆病毒...	cheesepuff	病毒，间谍软件和安全	3	2008年10月29号 12:58
再造	redden137	病毒，间谍软件和安全	4	2008年3月14号 16时31分
不能删除隐藏再造斌的备份文件	ApathyKid13	通用软件聊天	2	07年12月3日 01:05
病毒，帮我修复它03	DeadRabit	病毒，间谍软件和安全	1	第六届2007年9月 13时59分