刚才真凶险！

显示全部楼层 · 发表于 2007-6-4 17:36:08

刚才上网，上着上着，突然出现个CMD的框跑出来，我又没运行CMD，然后他自动写着一大些东西，然后又跑出来几个，我都给关了！然后NOD32就报警，抱了没多久又报了几个，现在我在打字时是疯狂地报，一看就知道是被入侵了，请问该怎么办？

以下是NOD32的日记：
时间模块对象名称病毒操作用户名称信息
2007-6-4 17:31:15 AMON 文件 C:\WINNT\System32\810.exe Win32/Agent.NAU 蠕虫的变种已隔离 - 已删除在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 17:31:02 AMON 文件 C:\WINNT\System32\cc_wjf.exe 可能是 Win32/Agent.NEO 木马的一个变种已隔离 - 已删除在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 17:30:56 AMON 文件 C:\WINNT\System32\263net_001.exe 可能是 Win32/TrojanDownloader.Delf.ATB 木马的一个变种已隔离 - 已删除在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 17:30:49 AMON 文件 C:\WINNT\System32\1156.exe Win32/Agent.NEO 木马的变种已隔离 - 已删除在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 17:30:41 AMON 文件 C:\WINNT\System32\yatou001.exe 可能是 Win32/Agent.NEO 木马的一个变种已隔离 - 已删除在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 17:30:34 AMON 文件 C:\WINNT\System32\bind_50442.exe 可能是 Win32/TrojanDownloader.QQHelper 木马的一个变种已隔离 - 已删除 YUYUANZH-5UMBU6\Administrator 在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 17:23:39 AMON 文件 C:\WINNT\TEMP\hp8mhrqn.dll Win32/Rootkit.Vanti 木马的变种已隔离 - 已删除在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 17:23:26 AMON 文件 C:\WINNT\IEXPLORE.BAT Win32/Hupigon 木马的变种已隔离 - 已删除在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 17:23:18 AMON 文件 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\hp8mhrqn.dll Win32/Rootkit.Vanti 木马的变种已隔离 - 已删除在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 17:23:08 AMON 文件 C:\d.exe Win32/Hupigon 木马的变种已隔离 - 已删除在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 17:17:19 AMON 文件 C:\WINNT\System32\as3.exe 可能是 Win32/Genetik 木马的一个变种已隔离 - 已删除程序新建文件时发生事件： C:\WINNT\system32\ftp.exe. 文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 17:04:22 AMON 文件 C:\WINNT\System32\as3.exe 可能是 Win32/Genetik 木马的一个变种已隔离 - 已删除程序新建文件时发生事件： C:\WINNT\system32\ftp.exe. 文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 17:04:12 AMON 文件 C:\WINNT\System32\owxmuzzu.exe Win32/Poebot 木马的变种已隔离 - 已删除 NT AUTHORITY\SYSTEM 程序新建文件时发生事件： C:\WINNT\system32\svchost.exe. 文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 16:42:19 IMON 文件 http://www.nad0nad.com/soo.exe 未查明的 NewHeur_PE 病毒 NT AUTHORITY\SYSTEM
2007-6-4 16:36:28 AMON 文件 C:\WINNT\System32\frsst.exe Win32/Poebot 木马的变种已隔离 - 已删除 NT AUTHORITY\SYSTEM 程序新建文件时发生事件： C:\WINNT\system32\svchost.exe. 文件已被移入隔离区。您可以关闭本窗口。
2007-6-4 16:36:10 IMON 文件 http://www.nad0nad.com/soo2.exe 可能是 Win32/TrojanProxy.Ranky 木马的一个变种 NT AUTHORITY\SYSTEM
2007-6-3 23:29:09 AMON 文件 C:\WINNT\System32\whskybak.exe Win32/Poebot 木马已隔离 - 已删除 NT AUTHORITY\SYSTEM 程序新建文件时发生事件： C:\WINNT\system32\svchost.exe. 文件已被移入隔离区。您可以关闭本窗口。

以下是用hijackthis扫的：

Logfile of HijackThis v1.99.1
Scan saved at 17:35:03, on 2007-6-4
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

Running processes:

O2 - BHO: VnetCookie Class - {4E83D567-4697-4F7B-B1F0-A513B01DB89A} - c:\PROGRA~1\chinanet\VNETTR~1.DLL
O3 - Toolbar: @msdxmLC.dll,-1@2052,电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Spooler SubSystem App] C:\WINNT\System32\spooIsv.exe
O4 - HKCU\..\Run: [Internat.exe] internat.exe
O8 - Extra context menu item: 上传到QQ网络硬盘 - C:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - C:\Program Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - C:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - C:\Program Files\Tencent\QQ\SendMMS.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{A5EF567F-EC04-479E-B3D4-7E50750144B1}: NameServer = 202.96.128.166 202.96.144.47
O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe

显示全部楼层 · 发表于 2007-6-4 17:45:53

刚发玩，又出来了几个CMD！和病毒，哪个高人给看下啊！
时间模块对象名称病毒操作用户名称信息
时间模块对象名称病毒操作用户名称信息
时间模块对象名称病毒操作用户名称信息
2007-6-4 17:43:23 AMON 文件 C:\WINNT\TEMP\2.dll Win32/Pacex.Gen 病毒已隔离 - 已删除 NT AUTHORITY\SYSTEM 在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
时间模块对象名称病毒操作用户名称信息
2007-6-4 17:43:18 AMON 文件 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\2.dll Win32/Pacex.Gen 病毒已隔离 - 已删除在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
时间模块对象名称病毒操作用户名称信息
2007-6-4 17:43:06 AMON 文件 C:\qq.exe Win32/Pacex.Gen 病毒已隔离 - 已删除在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
时间模块对象名称病毒操作用户名称信息
2007-6-4 17:38:28 AMON 文件 C:\WINNT\System32\sgoshpim.exe Win32/Poebot 木马的变种已隔离 - 已删除 NT AUTHORITY\SYSTEM 在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。
时间模块对象名称病毒操作用户名称信息
2007-6-4 17:31:15 AMON 文件 C:\WINNT\System32\810.exe Win32/Agent.NAU 蠕虫的变种已隔离 - 已删除在新建立的文件上发生事件。文件已被移入隔离区。您可以关闭本窗口。

显示全部楼层 · 发表于 2007-6-4 17:54:12

楼上的，你先升级杀毒软件，再断网，安全模式下全盘杀毒再来

你这种病毒窝式的系统，一言两语说不尽

显示全部楼层 · 发表于 2007-6-4 20:29:15

为什么我连“凶险”的资格都没有...

显示全部楼层 · 发表于 2007-6-5 13:01:48

昨天，等到后来，居然连鼠标都被他控制了，他想关掉NOD32，幸好我设了密码，最后狠下心，拔掉网线，重装系统！

显示全部楼层 · 发表于 2007-6-5 18:07:05

ANI漏洞？LZ的系统打补丁了么？