9,506
社区成员
发帖
与我相关
我的任务
分享呵呵,好久没来了!总是到有解决不了的问题才想起CSDN来!不好意思呀!各位高手帮帮忙吧!急呀!
系统为WIN200SERVER 机器为IBM服务器!
系统启动后大概每间隔5分钟左右会自动打开以下网站:
http://www.intern-etadvertising.com/normal/yyy102.html
(等等,太多了。地址都很长)
使用上网助手的“高级修复”功能检测如下DNS项被更改,所在文件目录为:
c:\winnt\system32\drivers\etc\hosts
共更改如下几项:
sds-qckads.com
status.qckads.com
www.qoolaid.com
www.qoologic.com
www.clkprecision.com
www.urllogic.com
www.clkoptimizer.com
www.isearch.com
isearch.com
www.idownload.com
修复后重新启动依然会自动打开IE访问上述网站。上面各项依然存在!
使用hijackthis.exe的检测结果如下:
HijackThis_815汉化版扫描日志 V1.99.1
保存于 21:08:26, 日期 2006-1-8
操作系统: Windows 2000 SP4 (WinNT 5.00.2195)
浏览器: Internet Explorer v6.00 SP1 (6.00.2800.1106)
当前运行的进程:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\PROGRA~1\NAV\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cba\pds.exe
C:\WINNT\System32\llssrv.exe
C:\PROGRA~1\NAV\Rtvscan.exe
C:\Program Files\SSC\NSCTOP.EXE
C:\Program Files\Symantec\Quarantine\Server\qserver.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Symantec\Quarantine\Server\ScanExplicit.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Symantec\Quarantine\Server\IcePack.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\NAV\vptray.exe
C:\WINNT\SVCHOST.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\conime.exe
D:\notes\nserver.exe
C:\WINNT\system32\rundll32.exe
D:\notes\nRouter.EXE
D:\notes\nReplica.EXE
C:\WINNT\System32\svchost.exe
D:\notes\nUpdate.EXE
D:\notes\nStats.EXE
C:\WINNT\system32\wuauclt.exe
D:\notes\nAmgr.EXE
D:\notes\namgr.EXE
D:\notes\namgr.EXE
D:\notes\nSched.EXE
D:\notes\nCalConn.EXE
D:\notes\nAdminP.EXE
D:\notes\nReport.EXE
D:\notes\nEvent.EXE
C:\WINNT\System32\svchost.exe
D:\notes\NLNOTES.EXE
D:\notes\naldaemn.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrator\桌面\新建文件夹\HijackThis1991汉化版\HijackThis1991zww.exe
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - 启动项HKLM\\Run: [vptray] C:\PROGRA~1\NAV\vptray.exe
O4 - 启动项HKLM\\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - 启动项HKLM\\Run: [MS-4011 Memory Patch] C:\Documents and Settings\Administrator\桌面\RavSasser.exe -Patch
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - Startup: Lotus Domino.lnk = D:\notes\nserver.exe
O11 - Options group: [!CNS] 网络实名
O17 - HKLM\System\CCS\Services\Tcpip\..\{96D7E6D9-94E1-49F8-9AD8-481617F45EF1}: NameServer = 210.76.0.2,64.157.143.38,210.76.0.2
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\\NavLogon.dll
O20 - Winlogon Notify: Nls - C:\WINNT\system32\hpj0231mg.dll
O21 - SSODL: System - {FB76AD7E-8BAA-4177-80DC-4EC8081E69CA} - C:\WINNT\system32\winsock32.dll
O23 - NT 服务: DefWatch - Symantec Corporation - C:\PROGRA~1\NAV\DefWatch.exe
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Symantec Quarantine Agent (IcePack) - IBM Corp. - C:\Program Files\Symantec\Quarantine\Server\IcePack.exe
O23 - NT 服务: Intel Alert Handler - Intel? Corporation - C:\WINNT\system32\ams_ii\hndlrsvc.exe
O23 - NT 服务: Intel Alert Originator - Intel? Corporation - C:\WINNT\system32\ams_ii\iao.exe
O23 - NT 服务: Intel File Transfer - Intel? Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - NT 服务: Intel PDS - Intel? Corporation - C:\WINNT\system32\cba\pds.exe
O23 - NT 服务: Symantec AntiVirus Server (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\NAV\Rtvscan.exe
O23 - NT 服务: Symantec 系统中心搜索服务 (NSCTOP) - Symantec Corporation - C:\Program Files\SSC\NSCTOP.EXE
O23 - NT 服务: Symantec Central Quarantine (qserver) - Symantec Corporation - C:\Program Files\Symantec\Quarantine\Server\qserver.exe
O23 - NT 服务: Symantec Quarantine Scanner (ScanExplicit) - IBM Corp. - C:\Program Files\Symantec\Quarantine\Server\ScanExplicit.exe
前一段使用NORTON查出backdoor.nibu的病毒。NORTON隔离了!系统启动后提示无法加载:amslib.dll、dmsti.exe及无法找到:io.exe、hndlrsvc.exe好像还有一个叫DMSTI的可执行文件找不到(应该是病毒产生的文件被NORTON给隔离了!)
最重要的是机器在运行一段时间大概半天左右吧!就会自动重启,补丁都打了,基本可以排除冲击波、震荡波!
各位高手给看看,该如何来解决这些问题!或者能告知是中了什么病毒造成的!!!
系统启动后大概每间隔5分钟左右会自动打开以下网站:
http://www.intern-etadvertising.com/normal/yyy102.html
(等等,太多了。地址都很长)
使用上网助手的“高级修复”功能检测如下DNS项被更改,所在文件目录为:
c:\winnt\system32\drivers\etc\hosts
共更改如下几项:
sds-qckads.com
status.qckads.com
www.qoolaid.com
www.qoologic.com
www.clkprecision.com
www.urllogic.com
www.clkoptimizer.com
www.isearch.com
isearch.com
www.idownload.com
修复后重新启动依然会自动打开IE访问上述网站。上面各项依然存在!
使用hijackthis.exe的检测结果如下:
HijackThis_815汉化版扫描日志 V1.99.1
保存于 21:08:26, 日期 2006-1-8
操作系统: Windows 2000 SP4 (WinNT 5.00.2195)
浏览器: Internet Explorer v6.00 SP1 (6.00.2800.1106)
当前运行的进程:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\PROGRA~1\NAV\DefWatch.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\cba\pds.exe
C:\WINNT\System32\llssrv.exe
C:\PROGRA~1\NAV\Rtvscan.exe
C:\Program Files\SSC\NSCTOP.EXE
C:\Program Files\Symantec\Quarantine\Server\qserver.exe
C:\WINNT\system32\regsvc.exe
C:\Program Files\Symantec\Quarantine\Server\ScanExplicit.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Program Files\Symantec\Quarantine\Server\IcePack.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\Explorer.EXE
C:\PROGRA~1\NAV\vptray.exe
C:\WINNT\SVCHOST.exe
C:\WINNT\system32\rundll32.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\conime.exe
D:\notes\nserver.exe
C:\WINNT\system32\rundll32.exe
D:\notes\nRouter.EXE
D:\notes\nReplica.EXE
C:\WINNT\System32\svchost.exe
D:\notes\nUpdate.EXE
D:\notes\nStats.EXE
C:\WINNT\system32\wuauclt.exe
D:\notes\nAmgr.EXE
D:\notes\namgr.EXE
D:\notes\namgr.EXE
D:\notes\nSched.EXE
D:\notes\nCalConn.EXE
D:\notes\nAdminP.EXE
D:\notes\nReport.EXE
D:\notes\nEvent.EXE
C:\WINNT\System32\svchost.exe
D:\notes\NLNOTES.EXE
D:\notes\naldaemn.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINNT\system32\NOTEPAD.EXE
C:\Documents and Settings\Administrator\桌面\新建文件夹\HijackThis1991汉化版\HijackThis1991zww.exe
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - 启动项HKLM\\Run: [vptray] C:\PROGRA~1\NAV\vptray.exe
O4 - 启动项HKLM\\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - 启动项HKLM\\Run: [MS-4011 Memory Patch] C:\Documents and Settings\Administrator\桌面\RavSasser.exe -Patch
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O4 - HKCU\..\Run: [WebSpecials] rundll32 "C:\Program Files\WebSpecials\webspec.dll",run
O4 - Startup: Lotus Domino.lnk = D:\notes\nserver.exe
O11 - Options group: [!CNS] 网络实名
O17 - HKLM\System\CCS\Services\Tcpip\..\{96D7E6D9-94E1-49F8-9AD8-481617F45EF1}: NameServer = 210.76.0.2,64.157.143.38,210.76.0.2
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\\NavLogon.dll
O20 - Winlogon Notify: Nls - C:\WINNT\system32\hpj0231mg.dll
O21 - SSODL: System - {FB76AD7E-8BAA-4177-80DC-4EC8081E69CA} - C:\WINNT\system32\winsock32.dll
O23 - NT 服务: DefWatch - Symantec Corporation - C:\PROGRA~1\NAV\DefWatch.exe
O23 - NT 服务: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - NT 服务: Symantec Quarantine Agent (IcePack) - IBM Corp. - C:\Program Files\Symantec\Quarantine\Server\IcePack.exe
O23 - NT 服务: Intel Alert Handler - Intel? Corporation - C:\WINNT\system32\ams_ii\hndlrsvc.exe
O23 - NT 服务: Intel Alert Originator - Intel? Corporation - C:\WINNT\system32\ams_ii\iao.exe
O23 - NT 服务: Intel File Transfer - Intel? Corporation - C:\WINNT\system32\cba\xfr.exe
O23 - NT 服务: Intel PDS - Intel? Corporation - C:\WINNT\system32\cba\pds.exe
O23 - NT 服务: Symantec AntiVirus Server (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\NAV\Rtvscan.exe
O23 - NT 服务: Symantec 系统中心搜索服务 (NSCTOP) - Symantec Corporation - C:\Program Files\SSC\NSCTOP.EXE
O23 - NT 服务: Symantec Central Quarantine (qserver) - Symantec Corporation - C:\Program Files\Symantec\Quarantine\Server\qserver.exe
O23 - NT 服务: Symantec Quarantine Scanner (ScanExplicit) - IBM Corp. - C:\Program Files\Symantec\Quarantine\Server\ScanExplicit.exe
前一段使用NORTON查出backdoor.nibu的病毒。NORTON隔离了!系统启动后提示无法加载:amslib.dll、dmsti.exe及无法找到:io.exe、hndlrsvc.exe好像还有一个叫DMSTI的可执行文件找不到(应该是病毒产生的文件被NORTON给隔离了!)
最重要的是机器在运行一段时间大概半天左右吧!就会自动重启,补丁都打了,基本可以排除冲击波、震荡波!
各位高手给看看,该如何来解决这些问题!或者能告知是中了什么病毒造成的!!!
...全文
请发表友善的回复…
发表回复
soft2049 2006-02-06
- 打赏
- 举报
WEB挂的木马居多,
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\conime.exe
D:\notes\nUpdate.EXE
D:\notes\namgr.EXE
C:\WINNT\system32\NOTEPAD.EXE
D:\notes\namgr.EXE
D:\notes\nSched.EXE
D:\notes\nCalConn.EXE
D:\notes\nAdminP.EXE
D:\notes\nReport.EXE
D:\notes\nEvent.EXE
D:\notes\NLNOTES.EXE
D:\notes\naldaemn.EXE
如果是一启动就自动加载,如果没有那些文件就自动下载并安装的,重装吧!备份好要的数据,C,D都格掉。因为这已经改了HOSTS,挂上了核心DLL,删除的工作量太大了。
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\conime.exe
D:\notes\nUpdate.EXE
D:\notes\namgr.EXE
C:\WINNT\system32\NOTEPAD.EXE
D:\notes\namgr.EXE
D:\notes\nSched.EXE
D:\notes\nCalConn.EXE
D:\notes\nAdminP.EXE
D:\notes\nReport.EXE
D:\notes\nEvent.EXE
D:\notes\NLNOTES.EXE
D:\notes\naldaemn.EXE
如果是一启动就自动加载,如果没有那些文件就自动下载并安装的,重装吧!备份好要的数据,C,D都格掉。因为这已经改了HOSTS,挂上了核心DLL,删除的工作量太大了。
dragonatneight 2006-01-30
- 打赏
- 举报
用"微软恶意软件清除工具"试试,再用"木马专家","木马克星"查查一下木马,最后在注册表里搜索一下那些网址,删除相关键值.并打开msconfig.exe,查看打开的"服务",将不正常的禁用,
用在安全模式下删除相关文件.
用在安全模式下删除相关文件.
xluanlin 2006-01-30
- 打赏
- 举报
http://www.bleepingcomputer.com/forums/lofiversion/index.php/t42356.html
自己看吧。同一个pop-up
估计你也结不了贴了。
自己看吧。同一个pop-up
估计你也结不了贴了。
lllyb 2006-01-24
- 打赏
- 举报
开始-运行-regedit 搜索带http://www.intern-etadvertising.com/normal/yyy102.html的所有键值,然后都给删掉,然后打开3721用强力修复,然后点重起修复,然后再看行不行
zhyw2000 2006-01-13
- 打赏
- 举报
我看最好别安装两面三刀个杀毒软件,不然效果会受影响,你把上面的发给江民,他帮你分析一下比较好
ilovemorgana 2006-01-13
- 打赏
- 举报
是啊!其实重做系统也是个最好的办法!
dyh0 2006-01-13
- 打赏
- 举报
也许不一定是病毒,可能是中了马或者后门等。我认为中了什么并不重要,现在变种太多,删了这个也许还有别的,重要的是避免再次发生类似情况。
它可能是通过WEB(浏览过的网站被挂马或本机WEB服务器被注入等)、文件的copy、其他机器的访问等进入的。
建议重做系统。
它可能是通过WEB(浏览过的网站被挂马或本机WEB服务器被注入等)、文件的copy、其他机器的访问等进入的。
建议重做系统。
suspension 2006-01-09
- 打赏
- 举报
查看事件日志
看看msconfig是否加载异常程序
看看msconfig是否加载异常程序
log1123456 2006-01-08
- 打赏
- 举报
好多啊!看都看不过来,个人意见,把你需要的软件卸载后重装,帮你顶 一下
bangzzdzzgd 2006-01-08
- 打赏
- 举报
各位看官高抬贵手!看了贴子即便不知也请给回贴顶一下吧!急呀!谢谢了!
