发觉电脑运行很慢！怀疑有点病毒木马之类的！不过用360和清理大师均查不出什么！劳请看一下进程！谢谢！


日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 8:46:24,2008-8-18
操作系统: Windows XP SP2 (WinNT 5.01.2600)
IE版本: Internet Explorer v6.00 SP2 (6.00.2900.2180)
启动模式: 正常

正在运行的进程:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM FILES\RISING\RAV\ravmond.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAM FILES\RISING\RAV\RavStub.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
D:\Program Files\征途\data\zhengtu.dat
D:\Program Files\征途\data\weapon.dat
D:\Program Files\hijackthis\HijackThis.exe

O2 - BHO: 卡卡上网安全助手 - {98B7C13A-E9CD-4959-8B46-FBEAB41E42A8} - C:\WINDOWS\system32\UrlFilter.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O8 - 扩展右键菜单项: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - 扩展右键菜单项: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O9 - 额外的按钮: (未命名) - {0062C9BD-B349-40DE-91A0-755F37ACD559} - (没有文件)
O9 - 额外的按钮: JUJU猫 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.jujumao.com(文件不存在)
O9 - 额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 额外的“工具”菜单项目: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 额外的按钮: 时尚精品，体验快感 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-290?cn=chaoyue;site;hp&mpro=http://www.ebay.com.cn(文件不存在) (HKCU)
O9 - 额外的“工具”菜单项目: 易趣购物 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-290?cn=chaoyue;site;hp&mpro=http://www.ebay.com.cn(文件不存在) (HKCU)
O15 - Trusted Zone: easyabc.95599.cn
O15 - Trusted Zone: www.95599.cn
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wind ... e.cab?1156070122671
O17 - HKLM\System\CCS\Services\Tcpip\..\{C946F4E5-DF6D-4C20-BF3B-5BD08ED29CF4}: NameServer = 202.103.224.68,202.103.225.68
O20 - AppInit_DLLs: kmon.dll
O23 - NT 服务:   NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务:   Rising Process Communication Center (RsCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务:   Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

--
文件结束 - 3899 字节

引用:

原帖由 狼心狗肺 于 2008-8-18 08:55 发表
发觉电脑运行很慢！怀疑有点病毒木马之类的！不过用360和清理大师均查不出什么！劳请看一下进程！谢谢！

日志文件 Trend Micro HijackThis v 2.0.2
日志保存时间: 8:46:24,2008-8-18
操作系统: Windows XP SP ...

Socon 此帖等你先来了!

楼主先用windows 清理助手杀一下木马 (有木马的)!

[ 本帖最后由 闲逸 于 2008-8-18 12:47 编辑 ]

学过hijackthis ,实习一下不过仅作参考意见，详细要看老大的观点，我只是想说说自己的看法，及对日志的理解，不对之处海涵！开始工作

先用WINDOWS清理助手，清理一下，下载请在本坛里找
O2 - BHO: 卡卡上网安全助手 - {98B7C13A-E9CD-4959-8B46-FBEAB41E42A8} - C:\WINDOWS\system32\UrlFilter.dll
浏览器辅助卡卡上网安全助手，瑞星杀软虽然占内存小，且免费但实际功能一般，安全是安全就是查不出木马，建议用卡巴
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
imjpmig.exe是微软Microsoft输入法编辑器程序。建议关闭该进程，防止被人利用，减少对内存的占有率
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
tintsetp.exe/sync是Office的输入法软件相关程序。
tintsetp.exe是微软智能输入法主程序。
/sync是参数“动态”。
如果没有太大的必要，可以修复，请楼主回贴注明你的输入法，为什么设成自动
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
是nvidia的显卡快速调整程序，可方便调整各种设置，一旦设置好了可以在msconfig.exe中将其禁用
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
这个好象是你的显卡，装了驱动之后,启动里就会增加3个进程,分别是nviz.exe nvcpl.dll nvmctray.dll .关掉其的好处是减少内存使用，和不被 别的木马所用，请回贴时看一下你的显卡是什么牌子的
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
soundman.exe是Realtek声卡相关程序，但有一种病毒也是伪装这样，楼主发现机子变慢估计就是它在做怪强烈修复

O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe
bgswitch.exe是xp桌面壁纸自动换软件的程序,非系统进程，不是病毒，不过没什么用，建议修复

卸载它的方法：
1.注销组件:开始>>运行>>输入regsvr32.exe /u c:\windows\system32\bgswitch.dll
2.删除文件:c:\windows\system32\下面的bgswitch.exe和bgswitch.dll
3.清理注册表:[HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run] "bgswitch"="C:\\WINDOWS\\system32\\bgswitch.exe"



O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
这是XP一个动态输入法，我只是不明白为什么会有这么多项，本地用户服务，网络用户服务，系统用户，还有恢复原值 ，建议对比别的电脑修复，闲版该你说话了
O8 - 扩展右键菜单项: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
这个可以修复影响不大
O8 - 扩展右键菜单项: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O9 - 额外的按钮: (未命名) - {0062C9BD-B349-40DE-91A0-755F37ACD559} - (没有文件)

O9 - 额外的按钮: JUJU猫 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.jujumao.com(文件不存在)
O9 - 额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 额外的“工具”菜单项目: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 额外的按钮: 时尚精品，体验快感 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-290?cn=chaoyue;site;hp&mpro=http://www.ebay.com.cn(文件不存在) (HKCU)
O9 - 额外的“工具”菜单项目: 易趣购物 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-290?cn=chaoyue;site;hp&mpro=http://www.ebay.com.cn(文件不存在) (HKCU)
O15 - Trusted Zone: easyabc.95599.cn
O15 - Trusted Zone: www.95599.cn
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wind ... e.cab?1156070122671
O17 - HKLM\System\CCS\Services\Tcpip\..\{C946F4E5-DF6D-4C20-BF3B-5BD08ED29CF4}: NameServer = 202.103.224.68,202.103.225.68
O20 - AppInit_DLLs: kmon.dll
O23 - NT 服务:   NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - NT 服务:   Rising Process Communication Center (RsCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务:   Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe

[ 本帖最后由 Socon 于 2008-8-29 12:06 编辑 ]

休息一下该吃饭 了

O9 - 额外的按钮: (未命名) - {0062C9BD-B349-40DE-91A0-755F37ACD559} - (没有文件)

这个是迅雷5下载软件，楼主还在用吗，如果没有请修复
O9 - 额外的按钮: JUJU猫 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.jujumao.com(文件不存在)
这是安装WINDOWS系统猪猪安装的没用，修复
O9 - 额外的按钮: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - 额外的“工具”菜单项目: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
这是MSN正常，不过是垃级广告的滋生地
O9 - 额外的按钮: 时尚精品，体验快感 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-290?cn=chaoyue;site;hp&mpro=http://www.ebay.com.cn(文件不存在) (HKCU)
O9 - 额外的“工具”菜单项目: 易趣购物 - {6E5EECAF-8879-4a75-8A88-B44B6382A763} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-290?cn=chaoyue;site;hp&mpro=http://www.ebay.com.cn(文件不存在) (HKCU)
以上易趣购物强列修复
O15 - Trusted Zone: easyabc.95599.cn
O15 - Trusted Zone: www.95599.cn
这两个网址修复第一个是易趣，盗号木马最爱的网站，另一个也是个中国农业银行网址，

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wind ... e.cab?1156070122671
O17 - HKLM\System\CCS\Services\Tcpip\..\{C946F4E5-DF6D-4C20-BF3B-5BD08ED29CF4}: NameServer = 202.103.224.68,202.103.225.68
O20 - AppInit_DLLs: kmon.dll
注册表键值自启动项，这可不是病毒,是卡卡监测文件，不知道用处大不大
O23 - NT 服务:   NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
修复，显卡服务程序，没用
O23 - NT 服务:   Rising Process Communication Center (RsCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务:   Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
这是瑞星杀毒

[ 本帖最后由 Socon 于 2008-8-29 13:17 编辑 ]

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/wind ... e.cab?1156070122671
微软的自动更新功能，就是它发现了盗版的数量，
O17 - HKLM\System\CCS\Services\Tcpip\..\{C946F4E5-DF6D-4C20-BF3B-5BD08ED29CF4}: NameServer = 202.103.224.68,202.103.225.68

O23 - NT 服务:   Rising Process Communication Center (RsCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务:   Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
这是瑞星杀毒

[ 本帖最后由 Socon 于 2008-8-29 13:22 编辑 ]

O20 - AppInit_DLLs: kmon.dll
注册表键值自启动项，这可不是病毒,是卡卡监测文件，不知道用处大不大，主要是防止U盘自动打开，并向U盘自动写入免疫文件Autorun.inf ，防止U盘病毒自动传播的。该免疫文件为名为Autorun.inf的空文件夹。由于该功能有自动写入行为，具有一般病毒特征。所以很多杀软都将其列为疑似病毒。



因此，我们没有必要去查找并试图删除这一自启动项的内容。

O23 - NT 服务:   Rising Process Communication Center (RsCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务:   Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
这是瑞星信息监控软件及杀毒组件

[ 本帖最后由 Socon 于 2008-8-29 13:42 编辑 ]

O17 - HKLM\System\CCS\Services\Tcpip\..\{C946F4E5-DF6D-4C20-BF3B-5BD08ED29CF4}: NameServer = 202.103.224.68,202.103.225.68
这是本机的网络设置，偶也不太懂这个，请老大讲讲，学习中

[ 本帖最后由 Socon 于 2008-8-29 13:44 编辑 ]

引用:

原帖由 Socon 于 2008-8-29 13:39 发表
O17 - HKLM\System\CCS\Services\Tcpip\..\{C946F4E5-DF6D-4C20-BF3B-5BD08ED29CF4}: NameServer = 202.103.224.68,202.103.225.68
这是本机的网络设置，偶也不太懂这个，请老大讲讲，学习中

017项表示的是域劫持或DNS服务器地址 ，如NameServer = IP 地址不是自己的DNS服务器地址则发生了域劫持。

很好啊! 只补充下面内容。
O4 - HKUS\S-1-5-19\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [ctfmon.exe] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
这几项是冒充输入法的网马,需修复。真的输入法图标进程是下面的这一项;
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O9 - 额外的按钮: (未命名) - {0062C9BD-B349-40DE-91A0-755F37ACD559} - (没有文件)
这一项连网就有文件了，其它几项也是一样。需修复!

O15项表庆示 “受信任的站点”中的不速之客  。
楼主使用了中国农业银行网上支付,登录时该网站要验证身份(收集用户信息)，所以被软件列为;“不速之客”
至于易趣购物则往往是“不请自来”，它收集用户信息可不是为了用户的帐号安全,而是为了它的需要。

建议;以后帮别人分析时只列出需修复的内容，或者红色显示需修复的内容。这样更方便求助者!

谢谢闲版指教
学习了一下检测DNS服务器，不过在那看自己的服务器地址呀
是不是运行/cmd /ipconfigall中能看到吗
关于09项中的修复版版建议全部修复
关于你说的网马，怎么中上的呀，偶想知道下次好防范

[ 本帖最后由 Socon 于 2008-9-4 23:11 编辑 ]

引用:

原帖由 Socon 于 2008-9-4 23:04 发表
谢谢闲版指教
学习了一下检测DNS服务器，不过在那看自己的服务器地址呀
是不是运行/cmd /ipconfigall中能看到吗
关于09项中的修复版版建议全部修复
关于你说的网马，怎么中上的呀，偶想知道下次好防范

1.不过在那看自己的服务器地址呀
是不是运行/cmd /ipconfigall中能看到吗?
Re; 本地连接，状态....支持.......详细信息。
也可用网络命令查看。
2.关于09项中的修复版版建议全部修复?
Re; 关于08、09两次项;是其它软件在浏览器中添加的右键菜单新增项目和工具按扭，为使浏览器干净、快捷、安全，我是通通修复。其它人可根据自己的喜好决定去留。
3.关于你说的网马，怎么中上的呀，偶想知道下次好防范?
Re;当输入法存在安全漏洞，IE又启用了ActiveX控件时，浏览某些网站网页即可中招。

谢谢又学到了不少
以后我看进程的叫通知偶
我会努力为本坛尽力的