病毒求助

blue999new

上周刚装完系统，结果不知道为什么昨晚又挂了

而且这病毒用瑞星还查不出来，用360查恶意插件也没有

主要特征表现为开机进桌面的时间特别长，至少5分钟，进了桌面经常莫名其妙的100%占用，连鼠标指针都拖慢，打开一个程序也要好久，连听MP3都有断音

虽说重装个系统就没事了，但还是想问下大家，这个看特征，这到底是啥病毒？有没有杀掉的可能？:awkward:

minichaos

不打补丁的话，重装和重新中毒之间也没啥距离。

saviolazy

原帖由 blue999new 于 2008-8-6 06:40 发表
上周刚装完系统，结果不知道为什么昨晚又挂了

而且这病毒用瑞星还查不出来，用360查恶意插件也没有

主要特征表现为开机进桌面的时间特别长，至少5分钟，进了桌面经常莫名其妙的100%占用，连鼠标指针都拖慢，打开一个程序也要好 ...

从描述的症状看，瑞星和360自己就能达到这效果..............

blue999new

原帖由 minichaos 于 2008-8-6 07:19 发表
不打补丁的话，重装和重新中毒之间也没啥距离。

什么补丁？

主要是现在查不出什么病毒，瑞星，360都用过了:awkward:

blue999new

我360一般不开着，有恶意插件才拿出来用一下，以前系统速度还是挺快的

pyx

感觉至少一半病毒会这样。。。

sowo

检查一下硬件，cpu风扇之类的:talisman:

qieyifonger

同7楼，摸摸CPU风扇烫不烫，CPU温度过高也会出现楼主这样的现象～

blue999new

回LS两位，是笔记本，现在开机要好久，感觉似乎也没啥过热的情况

好人修電腦

瑞星本身就是個拖機器的大戶

下個Hijackthis把分析報告貼上來

blue999new

多谢指点，晚上回家贴结果

blue999new

日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 18:35:51,2008-8-6
操作系统: Windows XP SP2 (WinNT 5.01.2600)
IE版本: Internet Explorer v7.00 (7.00.6000.16674)
启动模式: 正常

正在运行的进程:
C:\\WINDOWS\\System32\\smss.exe
C:\\WINDOWS\\system32\\csrss.exe
C:\\WINDOWS\\system32\\winlogon.exe
C:\\WINDOWS\\system32\\services.exe
C:\\WINDOWS\\system32\\lsass.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\Program Files\\Rising\\Rav\\CCenter.exe
C:\\WINDOWS\\System32\\svchost.exe
C:\\WINDOWS\\system32\\svchost.exe
C:\\WINDOWS\\system32\\svchost.exe
c:\\program files\\rising\\rfw\\rfwsrv.exe
C:\\PROGRAM FILES\\RISING\\RAV\\ravmond.exe
C:\\WINDOWS\\Explorer.EXE
c:\\program files\\rising\\rfw\\rfwproxy.exe
c:\\program files\\rising\\rfw\\rfwstub.exe
C:\\PROGRAM FILES\\RISING\\RAV\\RavStub.exe
C:\\WINDOWS\\system32\\spoolsv.exe
c:\\program files\\rising\\rfw\\RfwMain.exe
C:\\Program Files\\Common Files\\Apple\\Mobile Device Support\\bin\\AppleMobileDeviceService.exe
C:\\Program Files\\Bonjour\\mDNSResponder.exe
C:\\Program Files\\StormII\\stormliv.exe
C:\\WINDOWS\\system32\\nvsvc32.exe
C:\\WINDOWS\\system32\\wscntfy.exe
C:\\PROGRAM FILES\\RISING\\RAV\\RavMon.exe
C:\\WINDOWS\\System32\\alg.exe
C:\\WINDOWS\\ATK0100\\HControl.exe
C:\\WINDOWS\\RTHDCPL.EXE
C:\\Program Files\\Google\\Google Pinyin\\GooglePinyinDaemon.exe
C:\\Program Files\\Rising\\Rav\\RavTask.exe
C:\\Program Files\\Rising\\AntiSpyware\\rstray.exe
C:\\WINDOWS\\system32\\rundll32.exe
C:\\Program Files\\iTunes\\iTunesHelper.exe
C:\\WINDOWS\\system32\\ctfmon.exe
C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe
C:\\Program Files\\SRS Labs\\Audio Sandbox\\SRSSSC.exe
C:\\Program Files\\ZyDAS Technology Corporation\\ZyDAS_802.11g_Utility\\ZDWlan.exe
C:\\WINDOWS\\ATK0100\\ATKOSD.exe
C:\\Program Files\\iPod\\bin\\iPodService.exe
C:\\Program Files\\Internet Explorer\\iexplore.exe
C:\\Program Files\\Rising\\Rav\\CopyRun\\RavCopy.exe
C:\\Documents and Settings\\li_ang\\My Documents\\Thunder.NoAD-Ayu-v5.8.3-Green\\Program\\Thunder5.exe
C:\\Documents and Settings\\li_ang\\桌面\\hijackthis_v2.02h\\HijackThis.exe
C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe

O2 - BHO: Thunder AtOnce - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\\Program Files\\Thunder Network\\Thunder\\ComDlls\\TDAtOnce_Now.dll
O2 - BHO: (未命名) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (没有文件)
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\\Program Files\\Thunder Network\\Thunder\\ComDlls\\xunleiBHO_Now.dll
O2 - BHO: 卡卡上网安全助手 - {98B7C13A-E9CD-4959-8B46-FBEAB41E42A8} - C:\\WINDOWS\\system32\\UrlFilter.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\\program files\\google\\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\\Program Files\\Google\\GoogleToolbarNotifier\\2.0.301.7164\\swg.dll
O3 - IE 工具栏: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\\program files\\google\\googletoolbar2.dll
O4 - HKLM\\..\\Run: [IMJPMIG8.1] \"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32
O4 - HKLM\\..\\Run: [PHIME2002ASync] C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC
O4 - HKLM\\..\\Run: [PHIME2002A] C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName
O4 - HKLM\\..\\Run: [HControl] C:\\WINDOWS\\ATK0100\\HControl.exe
O4 - HKLM\\..\\Run: [NvCplDaemon] RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup
O4 - HKLM\\..\\Run: [nwiz] nwiz.exe /install
O4 - HKLM\\..\\Run: [High Definition Audio 属性页快捷方式] HDAShCut.exe
O4 - HKLM\\..\\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\\..\\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\\..\\Run: [Google IME Autoupdater] \"C:\\Program Files\\Google\\Google Pinyin\\GooglePinyinDaemon.exe\"
O4 - HKLM\\..\\Run: [RavTask] \"C:\\Program Files\\Rising\\Rav\\RavTask.exe\" -system
O4 - HKLM\\..\\Run: [RfwMain] \"C:\\Program Files\\Rising\\Rfw\\rfwmain.exe\" -Startup
O4 - HKLM\\..\\Run: [runeip] \"C:\\Program Files\\Rising\\AntiSpyware\\rstray.exe\" /startup
O4 - HKLM\\..\\Run: [AppleSyncNotifier] C:\\Program Files\\Common Files\\Apple\\Mobile Device Support\\bin\\AppleSyncNotifier.exe
O4 - HKLM\\..\\Run: [QuickTime Task] \"C:\\Program Files\\Pure Codec\\QTTask.exe\" -atboottime
O4 - HKLM\\..\\Run: [iTunesHelper] \"C:\\Program Files\\iTunes\\iTunesHelper.exe\"
O4 - HKCU\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\ctfmon.exe
O4 - HKCU\\..\\Run: [swg] C:\\Program Files\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe
O4 - HKCU\\..\\Run: [SRS Audio Sandbox] \"C:\\Program Files\\SRS Labs\\Audio Sandbox\\SRSSSC.exe\" /hideme
O4 - HKCU\\..\\Run: [msnmsgr] \"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe\" /background
O4 - HKUS\\S-1-5-19\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'LOCAL SERVICE\')
O4 - HKUS\\S-1-5-20\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'NETWORK SERVICE\')
O4 - HKUS\\S-1-5-18\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'SYSTEM\')
O4 - HKUS\\.DEFAULT\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Default user\')
O4 - Global Startup: ZDWLan Utility.lnk = C:\\Program Files\\ZyDAS Technology Corporation\\ZyDAS_802.11g_Utility\\ZDWlan.exe
O8 - 扩展右键菜单项: 使用迅雷下载 - C:\\Program Files\\Thunder Network\\Thunder\\Program\\GetUrl.htm
O8 - 扩展右键菜单项: 使用迅雷下载全部链接 - C:\\Program Files\\Thunder Network\\Thunder\\Program\\GetAllUrl.htm
O8 - 扩展右键菜单项: 导出到 Microsoft Office Excel(&X) - res://C:\\PROGRA~1\\MICROS~2\\OFFICE11\\EXCEL.EXE/3000
O9 - 额外的按钮: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\\Program Files\\Thunder Network\\Thunder\\Thunder.exe
O9 - 额外的“工具”菜单项目: 启动迅雷5 - {09BA8F6D-CB54-424B-839C-C2A6C8E6B436} - C:\\Program Files\\Thunder Network\\Thunder\\Thunder.exe
O9 - 额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe
O9 - 额外的“工具”菜单项目: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\\Program Files\\Messenger\\msmsgs.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O20 - AppInit_DLLs: kmon.dll
O23 - NT 服务:   Apple Mobile Device - Apple Inc. - C:\\Program Files\\Common Files\\Apple\\Mobile Device Support\\bin\\AppleMobileDeviceService.exe
O23 - NT 服务:   Bonjour 服务 (Bonjour Service) - Apple Inc. - C:\\Program Files\\Bonjour\\mDNSResponder.exe
O23 - NT 服务:   Contrl Center of Storm Media (ccosm) - 北京暴风网际科技有限公司 - C:\\Program Files\\StormII\\stormliv.exe
O23 - NT 服务:   Google Updater Service (gusvc) - Google - C:\\Program Files\\Google\\Common\\Google Updater\\GoogleUpdaterService.exe
O23 - NT 服务:   iPod 服务 (iPod Service) - Apple Inc. - C:\\Program Files\\iPod\\bin\\iPodService.exe
O23 - NT 服务:   NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\\WINDOWS\\system32\\nvsvc32.exe
O23 - NT 服务:   Rising Proxy  Service (RfwProxySrv) - Beijing Rising Information Technology Co., Ltd. - c:\\program files\\rising\\rfw\\rfwproxy.exe
O23 - NT 服务:   Rising Personal Firewall Service (RfwService) - Beijing Rising Information Technology Co., Ltd. - c:\\program files\\rising\\rfw\\rfwsrv.exe
O23 - NT 服务:   Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\\Program Files\\CyberLink\\Shared files\\RichVideo.exe(文件不存在)
O23 - NT 服务:   Rising Process Communication Center (RsCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\\Program Files\\Rising\\Rav\\CCenter.exe
O23 - NT 服务:   Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\\PROGRAM FILES\\RISING\\RAV\\Ravmond.exe

--
文件结束 - 7240 字节

好人修電腦

O4 - HKUS\\S-1-5-19\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'LOCAL SERVICE\')
O4 - HKUS\\S-1-5-20\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'NETWORK SERVICE\')
O4 - HKUS\\S-1-5-18\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'SYSTEM\')
O4 - HKUS\\.DEFAULT\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Default user\')

這是什么情況？

另：你啟動項太多了.....................:awkward: 至少可以省一半啟動項

blue999new

O4 - HKUS\\S-1-5-19\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'LOCAL SERVICE\')
O4 - HKUS\\S-1-5-20\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'NETWORK SERVICE\')
O4 - HKUS\\S-1-5-18\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'SYSTEM\')
O4 - HKUS\\.DEFAULT\\..\\Run: [ctfmon.exe] C:\\WINDOWS\\system32\\CTFMON.EXE (User \'Default user\')
这些完全不了解，我是电脑小白:awkward:


启动项到还好，进桌面之后很快就蹦出来了:awkward:

现在动不动就100%，开个IE用了半天:awkward: ，刚把文件备份好，格盘装系统去了:awkward:

wikit

瑞星: 技术是什么? 实际上我们是一个伟大的公关公司

巧克果子

如果是中毒的话 可能病毒在其他盘里 你要查看其他盘符的根目录下的隐藏的系统文件看有没有 类似病毒的exe和ini 文件 然后手动杀 杀不了的话 下几个杀木马软件杀杀

然后最简便的方法就是再重装 然后所有盘干净了就好了