终于逮到go2000了,各路高手帮忙看看我的这个dll文件是不是出问题了

显示全部楼层 · 发表于 2009-6-8 06:07:12

我以前用IE上过go2000这个网站.估计是中了病毒.但是用红伞和NOD均杀不出来.以前每次开机点开我的电脑病毒会自动运行.把我的首页改成go2000.装了EQ后.今天阻止了运行.
这是日志文件.高手们帮忙分析下是shimgca.dll文件中了毒了

如果图看不清的话,可以下载日志文件

[ 本帖最后由 zerg1517 于 2009-6-8 06:14 编辑 ]

显示全部楼层 · 发表于 2009-6-8 06:14:29

方便起见.贴出来吧
2009-06-08 05:55:42 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\WINDOWS\System32\shimgca.dll
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\SetACL.exe
命令行: -on "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}"  -ot reg -actn ace -ace "n:everyone;p:read;m:grant;w:dacl" -actn setprot -op "dacl:p_nc" -actn setprot -op "dacl:p_nc" -actn clear -clr dacl
2009-06-08 05:55:42 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\WINDOWS\System32\shimgca.dll
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\SetACL.exe
命令行: -on "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" -ot reg -actn ace -ace "n:everyone;p:read;m:grant;w:dacl" -actn setprot -op "dacl:p_nc" -actn setprot -op "dacl:p_nc" -actn clear -clr dacl
2009-06-08 05:55:42 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\WINDOWS\System32\shimgca.dll
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\SetACL.exe
命令行: -on "HKCR\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command" -ot reg -actn ace -ace "n:everyone;p:read;m:grant;w:dacl" -actn setprot -op "dacl:p_nc" -actn setprot -op "dacl:p_nc" -actn clear -clr dacl
2009-06-08 05:55:42 注册表保护(创建注册表值)    操作:阻止
进程路径:C:\WINDOWS\System32\shimgca.dll
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}
注册表名称:[Key]
2009-06-08 05:55:42 注册表保护(创建注册表值)    操作:阻止
进程路径:C:\WINDOWS\System32\shimgca.dll
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}
注册表名称:[Key]
2009-06-08 05:55:42 注册表保护(创建注册表值)    操作:阻止
进程路径:C:\WINDOWS\System32\shimgca.dll
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}
注册表名称:[Key]
2009-06-08 05:55:42 注册表保护(创建注册表值)    操作:阻止
进程路径:C:\WINDOWS\System32\shimgca.dll
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}
注册表名称:[Key]
2009-06-08 05:55:42 注册表保护(修改注册表内容)    操作:阻止
进程路径:C:\WINDOWS\System32\shimgca.dll
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}
注册表名称:URL
更改后:http://www.go2000.cn/p/?q={searchTerms}
更改前:http://www.baidu.com/s?wd={searchTerms}&tn=leizhen&cl=3&ie=utf-8
2009-06-08 05:55:42 注册表保护(修改注册表内容)    操作:阻止
进程路径:C:\WINDOWS\System32\shimgca.dll
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}
注册表名称:DisplayName
更改后:网页搜索
更改前:百度
2009-06-08 05:55:42 注册表保护(修改注册表内容)    操作:阻止
进程路径:C:\WINDOWS\regedit.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
注册表名称:Start Page
更改后:http://www.go2000.org/?s
更改前:http://www.hao123.com/
2009-06-08 05:55:41 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\WINDOWS\System32\shimgca.dll
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\SetACL.exe
命令行: -on "HKCU\Software\Microsoft\Internet Explorer\Main" -ot reg -actn ace -ace "n:everyone;p:read;m:revoke;w:dacl" -actn setprot -op "dacl:np"
2009-06-08 05:55:41 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\WINDOWS\System32\shimgca.dll
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\SetACL.exe
命令行: -on "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" -ot reg -actn ace -ace "n:everyone;p:read;m:revoke;w:dacl" -actn setprot -op "dacl:np"
2009-06-08 05:55:41 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\WINDOWS\System32\shimgca.dll
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\SetACL.exe
命令行: -on "HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}" -ot reg -actn ace -ace "n:everyone;p:read;m:revoke;w:dacl" -actn setprot -op "dacl:np"
2009-06-08 05:55:41 应用程序保护(运行应用程序)    操作:阻止
进程路径:C:\WINDOWS\System32\shimgca.dll
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\SetACL.exe
命令行: -on "HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command" -ot reg -actn ace -ace "n:everyone;p:read;m:revoke;w:dacl" -actn setprot -op "dacl:np"

显示全部楼层 · 发表于 2009-6-8 09:26:47

這個發在病毒救援區比較適合

显示全部楼层 · 发表于 2009-6-8 09:43:10

:C:\Documents and Settings\Administrator\Local Settings\Temp\SetACL.exe

显示全部楼层 · 发表于 2009-6-8 11:25:26

C:\Documents and Settings\Administrator\Local Settings\Temp\SetACL.exe

但是这个文件夹里面根本就没有他

[ 本帖最后由 zerg1517 于 2009-6-8 11:26 编辑 ]

显示全部楼层 · 发表于 2009-6-8 11:57:53

隐藏文件

显示全部楼层 · 发表于 2009-6-8 12:09:36

所有的隐藏都打开了.

显示全部楼层 · 发表于 2009-6-8 15:29:17

辅助工具检查下

XT 天琊兵刃。。。。

显示全部楼层 · 发表于 2009-6-8 20:18:37

不管他了.装了EQ了.让这个病毒老死在我的硬盘里

显示全部楼层 · 发表于 2009-6-8 20:47:50

应该是和连接着网络有关系吧
买张ghost xp的光盘
进windows pe 把相关的注册表值全部废除
然后直接提取出ghost文件里的\WINDOWS\System32\shimgca.dll 覆盖
管他中不中毒的

另外试试windows清理助手吧对于篡改ie 这软件还是很有一套的

[其他相关] 终于逮到go2000了,各路高手帮忙看看我的这个dll文件是不是出问题了

本帖子中包含更多资源

这么明显

浏览过的版块