中了木马,请大家分析下

222333628

下载反恐注册机中毒,打开网页有时会链接到莫名其妙的网页,偶已用金山杀毒还是不行,以下是hijackthis的扫描日志,请大家给分析下

Logfile of HijackThis v1.99.0
Scan saved at 9:05:36, on 2006-9-15
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\KAV2006\KWatch.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\KAV2006\KPfwSvc.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\KAV2006\KAVStart.exe
C:\KAV2006\KPFW32.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\KAV2006\KMailMon.EXE
C:\Program Files\Thunder\Thunder.exe
F:\hijackthis.exe

O2 - BHO: ThunderIEHelper - {0005A87D-D626-4B3A-84F9-1D9571695F55} - C:\Program Files\Thunder\xunleibho_v13.dll
O2 - BHO: OsbornTech Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\system32\ms.dll
O4 - HKLM\..\Run: [KavStart] "C:\KAV2006\KAVStart.exe" -startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\RunOnce: [uninsrest] C:\DOCUME~1\liu\LOCALS~1\Temp\uninrest.exe
O4 - HKCU\..\Run: [KavPFW] "C:\KAV2006\KPFW32.EXE"
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: 使用迅雷下载 - C:\Program Files\Thunder\geturl.htm
O8 - Extra context menu item: 使用迅雷下载全部链接 - C:\Program Files\Thunder\getallurl.htm
O8 - Extra context menu item: 黄河&Flash播放器 - D:\的\黄河Flash播放器\geturl.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://www.htcnc.net/cabs/swflash.cab
O23 - Service: InstallDriver Table Manager - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Kingsoft Personal Firewall Service - Kingsoft Corporation - C:\KAV2006\KPfwSvc.EXE
O23 - Service: Kingsoft Antivirus KWatch Service - Kingsoft Corporation - C:\KAV2006\KWatch.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

6618

看日志没发现什么到问题，把那个反恐注册机传上来，我下载来试试。

[ 本帖最后由 6618 于 2006-9-15 10:06 AM 编辑 ]

222333628

O2 - BHO: OsbornTech Popup Blocker - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} - C:\WINDOWS\system32\ms.dll
怀疑这个修复后还有.不好意思那是个winrar压缩的exe里面有很多流氓插件已被 我删了

[ 本帖最后由 222333628 于 2006-9-15 11:21 AM 编辑 ]

6618

应该是这个，之前我曾去百度搜了一下，说是：
进程知识库>>其它DLL>>Microsoft Color Matching System DLL

进程名称：Microsoft Color Matching System DLL进程文件：mscms.dll描述：ms.dll是微软图像色彩管理系统相关文件。出品者：Windows属于：Windows系统进程：True后台程序：False使用网络：False硬件相关：False常见错误：File Not Found, Missing File, Exception Errors内存使用：未知N/A安全等级(0-5)：0间谍软件：False广告软件：False病毒：False木马：False

现在看来，应是流氓才对，我的机子只有mscms.dll，没有ms.dll

6618

直接用KILLBOX把这个MS.DLL删掉。顶这个帖子，也学习了一下。

222333628

killbox有下的吗

6618

请看这一帖的19楼，这里有下，还有简单说了是怎么用的。

http://bbs.wuyou.net/forum.php?m ... page%3D1&page=2

[ 本帖最后由 6618 于 2006-9-15 11:31 AM 编辑 ]

222333628

不行,竟然删不了有没有其它的了,重启后还有

6618

删不了？你是否点了重启后删除？我还没遇过删不了的。

222333628

点了删不了,dos 下也不行,ms.在启动后还有.并且会在c根目录下有个killbox的文件夹,里面也有个ms.dll文件

用hijackthis修复如不重启,打开网页仍然时不时会跑到别的网站.怎么办啊?

[ 本帖最后由 222333628 于 2006-9-15 02:48 PM 编辑 ]

牛B越来越牛B

学习了

6618

原帖由 222333628 于 2006-9-15 02:20 PM 发表
点了删不了,dos 下也不行,ms.在启动后还有.并且会在c根目录下有个killbox的文件夹,里面也有个ms.dll文件

用hijackthis修复如不重启,打开网页仍然时不时会跑到别的网站.怎么办啊?

C盘killbox下有个ms.dll是正常现象——KILLBOX删除病毒时会在这里备一个份，删除后系统系统运行正常的话，可以把它删除。

[ 本帖最后由 6618 于 2006-9-15 04:28 PM 编辑 ]

6618

估计是病毒是有线程保护，删除后又自动生成？除了C盘的KILLBOX下有这个ms.dll外，还有哪里有这个文件？

6618

看图：

222333628

还有5个 .dll同样现象,分别是nlenmac.dll   fctmlu.dll  ontwps.dll  xresut.dll  yptappm.dll不上网这五个会自动生成,上网生成ms.dll  另外怀疑System Idle Process此进程有问题.而hijackthis只能检测到ms.dll. 6个.dll都在system32下基本上是在同一时间创立.其它地方没有同名ms.dll的文件.同一时间的两个ini文件也删了系统没问题

[ 本帖最后由 222333628 于 2006-9-15 05:05 PM 编辑 ]

6618

与这个进程无关，System Idle Process的使用率越大，表明系统可用的资源越多，这是我的机子的截图，建议，到安全模式，用KILLBOX删掉MS.DLL，再直接删掉上面的几个DLL。

222333628

不行一个也删不了,删了眼看着一个一个跑出来没办法.我是将6个.dll放到一个文件夹里一起删的

[ 本帖最后由 222333628 于 2006-9-15 05:46 PM 编辑 ]

6618

原帖由 222333628 于 2006-9-15 05:40 PM 发表
不行一个也删不了,删了眼看着一个一个跑出来没办法.我是将6个.dll放到一个文件夹里一起删的

奇了，怎样把6个文件放到一个文件夹去删？

222333628

不是有个所有文件的选项吗

6618

倒，那么牛B的病毒，试试我写的批处理看能否KILL掉它，注，时间关系，做成了四个小文件，下载下来后解压后，分别是以下四个小文件：
regdel.cmd del.cmd del.reg undel.reg    你是看不到后缀名的。
解压后退出所有的杀毒软件（很多杀软件会阻止在RUN处加注册表项，放心杀完毒后会自动清除，信得过我就试一试，反正你的机子都中毒了）再运regdel.cmd，只需运行regdel.cmd (你是看不到后缀名的）这时机子会重启，耐心等待，重启后会自行删掉那些病毒。

[ 本帖最后由 6618 于 2006-9-15 06:42 PM 编辑 ]

6618

注：最好先用HIJACKTHIS修了那一项再试，另，修正一下那个批理，使用方法同上。试试吧，这个批理估计能解决你的问题，不行再跟帖，我决心和你一起KILL掉那个牛B的病毒。

6618

累了，回家吃饭去，回过头来再看看这个帖子，如果1楼的楼主信得过我，就试试我上传的批处理，那是我为你中的这个牛B的病毒量身定做的，就算杀不掉，对你的系统也是一点影响也没有的，相反，也很有可能能KILL掉你机子的那个东东，如果人与人之间连那么一点信任也没有的话，算了——那就别试了。如果试，最好能退出杀毒软件再试，原因很简单，这个批处理要在RUNONCE处添加一个启动项，但删除病毒文件后会自行删除的，放心好了。

[ 本帖最后由 6618 于 2006-9-15 07:07 PM 编辑 ]

222333628

谢谢你,6188.昨天6点30我下班了,所以没见到你的帖子.谢谢你付出的辛勤劳动.昨天回去后想了 一下,今天来后打开了隐藏属性,发现了一些隐藏的文件,并在一个叫做ex的文件夹中有3个.dll的文件.并在system32发现一个奇怪的.dll 文件,创立时期有时是8月23日,有时是9月13日,按昭你说的方法在安全模式下全部删了.一个多小时了不在弹网页,但ms.dll仍在.问题好好像也解决.再次感谢你.其它..dll不在出现,如有问题再向你请教.折腾了我三天,不过学到了一些东西.真好这个论坛.另外你的批处理以后能用上吗.感谢6188版主的细心和耐心

[ 本帖最后由 222333628 于 2006-9-16 10:45 AM 编辑 ]

222333628

如果哪位朋友机子里有ms.dll帮我看下其大小.谢谢

6618

朋友不用客气，我传的这个批处理只针对你的机子的问题而写的，以后用不上，这个批处理估计是能KILL掉这个MS.DLL的，我把批处理的内容帖出来，简单解释一下吧：
regdel.cmd:
copy del.cmd c:\     把文件复制到C盘目录下
copy del.reg c:\     同上
copy undel.reg c:\  同上
regedit /s del.reg  导入注册表的RUNONCE处，使用重启后马上执行del.cmd，这时病毒还没运行，RUNONCE的运行级别较高。
shutdown -r -t 0  重启机子

重启后马上运行del.cmd，这时病毒还没运行：
regsvr32 /u /s C:\WINDOWS\system32\ms.dll      反注册这些病毒的DLL
regsvr32 /u /s C:\WINDOWS\system32\nlenmac.dll   同上
regsvr32 /u /s C:\WINDOWS\system32\fctmlu.dll  同上
regsvr32 /u /s C:\WINDOWS\system32\ontwps.dll 同上
regsvr32 /u /s C:\WINDOWS\system32\resut.dll  同上
regsvr32 /u /s C:\WINDOWS\system32\yptappm.dll  同上
taskkill /f /t /im C:\WINDOWS\system32\ms.dll  结束这些病毒的进程模块
taskkill /f /t /im C:\WINDOWS\system32\nlenmac.dll   同上
taskkill /f /t /im C:\WINDOWS\system32\fctmlu.dll  同上
taskkill /f /t /im  C:\WINDOWS\system32\ontwps.dll 同上
taskkill /f /t /im  C:\WINDOWS\system32\resut.dll  同上
taskkill /f /t /im  C:\WINDOWS\system32\yptappm.dll  同上
attrib -s -r -h C:\WINDOWS\system32\ms.dll 去掉这些病毒的所有属性
attrib -s -r -h C:\WINDOWS\system32\nlenmac.dll   同上
attrib -s -r -h C:\WINDOWS\system32\fctmlu.dll 同上
attrib -s -r -h C:\WINDOWS\system32\ontwps.dll  同上
attrib -s -r -h C:\WINDOWS\system32\resut.dll  同上
attrib -s -r -h C:\WINDOWS\system32\yptappm.dll 同上
del /f /q C:\WINDOWS\system32\ms.dll   强行删除这些病毒
del /f /q c:\WINDOWS\system32\nlenmac.dll   同上
del /f /q C:\WINDOWS\system32\fctmlu.dll 同上
del /f /q C:\WINDOWS\system32\ontwps.dll 同上
del /f /q C:\WINDOWS\system32\resut.dll  同上
del /f /q C:\WINDOWS\system32\yptappm.dll 同上
regedit /s undel.reg  去掉RUNONCE的启动项
del c:\del.reg   删掉之前复制到C盘下的文件
del c:\undel.reg 同上
del c:\del.cmd 同上

至此，病毒删除完毕
最后，从你反馈的情况来看，你肯定是没用这个批处理的，不过没关系，把问题解决了就好。

[ 本帖最后由 6618 于 2006-9-16 04:42 PM 编辑 ]

222333628

是不是只有知道所有有毒的.dll才能套用此格式啊,只需修下.dll的前缀和路径是吗?6188.另外,我想问下,在禁用注册表后,再用在安全模式下killbox杀掉这6个后还会出来吗

[ 本帖最后由 222333628 于 2006-9-16 11:37 AM 编辑 ]

6618

这个要你试试才知道，因为具体我也没遇到过和杀个这个病毒。

鹤冲天

在这里我也感谢下6618！！

6618

不用客气，大家互相学习。

tmars10105

我下了6618写的代码，非常谢谢你的奉献！杀掉了其它的6个。.dll文件，但是最后那个ms.sll又回来了，问题依旧，只是弹出网页的频率好像没有以前高了，呵呵!不知道怎么办了