中招求助：trojan-downloader.js.pasyme.kf

shenrenrenren

[Automatic Updates / wuauserv][Stopped/Auto Start]
  <C:\WINDOWS\system32\drivers\svchost.exe><N/A>此文件路径不对，明线病毒
bootdrv / bootdrv][Stopped/Boot Start]
  <\SystemRoot\System32\Drivers\bootdrv.sys><N/A>

ALEXBLAIR

不过两个都已经停止了，已经不构成威胁了。
还是感谢支持。

shenrenrenren

启动的进程都没有看了，呵呵。

wwwsohu

原帖由 ALEXBLAIR 于 2007-8-28 11:57 发表
日志没问题，ARP攻击，建议安装ARP防火墙
用木马剑客，查杀一下。

现在的日志是我今天的日志，跟昨天的不一样了啊。

另外：
RVA  错误： LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryW (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： GetProcAddress (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

是什么意思？
昨天我用木马剑客杀了，但是没有找到，用的木马清道夫才清除了几个。

[ 本帖最后由 wwwsohu 于 2007-8-28 12:54 编辑 ]

ALEXBLAIR

原帖由 wwwsohu 于 2007-8-28 12:52 发表


现在的日志是我今天的日志，跟昨天的不一样了啊。

另外：
RVA  错误： LoadLibraryA (危险等级: 高,  被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA  错误： LoadLibraryExA (危险 ...

这个是卡巴斯基安全软件自身的驱动加载。

wwwsohu

那是不是说明现在的机器没有什么问题呢？另外这个我的机器原来是自身存在病毒还是被局域网内的病毒所攻击？

wwwsohu

文件关联中的.CHM  Error. ["hh.exe" %1]有问题吗？

ALEXBLAIR

从得到的资料上看，应该是别人中的，同一个网内的电脑.

1. 
   
2. 文件关联中的.CHM  Error. ["hh.exe" %1]有问题吗？
   

复制代码

这个由于 QQ医生的补丁造成的。

wwwsohu

原帖由 ALEXBLAIR 于 2007-8-28 13:10 发表
从得到的资料上看，应该是别人中的，同一个网内的电脑.

文件关联中的.CHM  Error. ["hh.exe" %1]有问题吗？

这个由于 QQ医生的补丁造成的。

多谢了！是不是我的电脑也缺少xp补丁呢？是否要把ARP补丁打上？

ALEXBLAIR

不客气，
这个，，，不清楚了。
ARP工具里面这个使用比较简单（免费的）
你可以试试看。或许有用。
http://www.antiarp.com/download.htm
选择个人版下载。