最近机子有点反常,高手帮着看中了什么毒了?

猪一头 · 发表于 2007-4-4 23:29:55

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 23:26:17, on 2007-4-4
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\KAV2007\KWatch.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\KAV2007\KPfwSvc.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\CMDLL32.EXE------用hijackthis修复，病毒来的，删掉病毒文件CMDLL32.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\KAV2007\KMailMon.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe
C:\Program Files\TTPlayer\TTPlayer.exe
E:\清毒屋\HiJackThis_v2_PConline.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe------用hijackthis修复，这项给病毒修改了。
O2 - BHO: IE6Image Class - {CD6C2ABD-F988-40CA-B834-74C3EF0F5B14} - C:\WINDOWS\system32\BR0WSEU1.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] ; nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] ; RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] ; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KavStart] "C:\KAV2007\KAVStart.exe" -startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [KavPFW] "C:\KAV2007\KPFW32.EXE"
O4 - S-1-5-18 Startup: 腾讯QQ.lnk = E:\QQ\QQ.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: 腾讯QQ.lnk = E:\QQ\QQ.exe (User 'Default user')
O4 - Startup: 腾讯QQ.lnk = E:\QQ\QQ.exe
O4 - Global Startup: 360Disabled------用hijackthis修复,估计是禁止360什么之类的，不是什么好东西
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\QQ\SendMMS.htm
O8 - Extra context menu item: 金山毒霸反钓鱼... - C:\KAV2007\KAF\ShowSet.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\QQ\QQ.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C58A07BC-81A6-477E-9E4F-92717AE201ED}: NameServer = 202.96.128.86 202.96.134.133
O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - E:\PROGRA~1\KuGoo3\InExtend\KUGOO3~1.OCX
O22 - SharedTaskScheduler: Browseui 预加载程序 - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: 组件类别缓存程序 - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: COMMAND DLL32 (CMD_DLL32) - Unknown owner - C:\WINDOWS\system32\CMDLL32.EXE------用hijackthis修复，病毒的服务，删掉病毒文件CMDLL32.EXE
O23 - Service: Kingsoft Personal Firewall Service (KPfwSvc) - Kingsoft Corporation - C:\KAV2007\KPfwSvc.EXE
O23 - Service: Kingsoft Antivirus KWatch Service (KWatchSvc) - Kingsoft Corporation - C:\KAV2007\KWatch.EXE
O23 - Service: MICR0SOFT SVCH0ST (MS_SVCH0ST) - Unknown owner - C:\WINDOWS\system\SVCH0ST.EXE (file missing)------用hijackthis修复，病毒文件已丢失，修掉这个服务就行了
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 4169 bytes

[ 本帖最后由 6618 于 2007-4-5 05:12 AM 编辑 ]

猪一头 · 发表于 2007-4-4 23:31:29

还有一个ATTRLB.EXE,我把它关掉了,不过重启又有了

6618 · 发表于 2007-4-5 05:11:23

这里并没有看到楼主说的attrlb.exe病毒，为方便操作我直接在一楼进行了编辑，楼主你去看看吧。

lgfzy · 发表于 2007-4-5 08:35:43

学习了！！！！！！

sansa520 · 发表于 2007-4-5 14:40:43

我想学一下怎么看这些．．请教６６１８．．是不是一般有：Unknown owner 这东东一般都是有问题的？

sansa520 · 发表于 2007-4-5 14:45:20

:lol 大家一起学习.......

[ 本帖最后由 6618 于 2007-4-5 04:36 PM 编辑 ]

6618 · 发表于 2007-4-5 15:27:28

原帖由 sansa520 于 2007-4-5 02:40 PM 发表
我想学一下怎么看这些．．请教６６１８．．是不是一般有：Unknown owner 这东东一般都是有问题的？

基本是这样，但具体还是要看看后面跟的EXE的名字是什么，看看这个EXE的可疑度有多大，如果不能确定，还可以去百度搜一搜，确定一下是不是病毒。

sansa520 · 发表于 2007-4-5 15:28:34

懂了．．谢谢兄弟指教．．．．

6618 · 发表于 2007-4-5 16:38:05

不用客气，再顶一帖。

猪一头 · 发表于 2007-4-5 18:36:20

谢谢6618,谢谢各位.现在再扫描一下,
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:34:17, on 2007-4-5
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
E:\max浏览器\Maxthon\Maxthon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\CMDLL32.EXE
E:\清毒屋\HiJackThis_v2_PConline.exe
O2 - BHO: IE6Image Class - {CD6C2ABD-F988-40CA-B834-74C3EF0F5B14} - C:\WINDOWS\system32\BR0WSEU1.DLL
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] ; nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] ; RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] ; RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - S-1-5-18 Startup: 腾讯QQ.lnk = E:\QQ\QQ.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: 腾讯QQ.lnk = E:\QQ\QQ.exe (User 'Default user')
O4 - Startup: 腾讯QQ.lnk = E:\QQ\QQ.exe
O8 - Extra context menu item: &使用迅雷下载 - C:\Program Files\Thunder Network\Thunder\Program\GetUrl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - C:\Program Files\Thunder Network\Thunder\Program\GetAllUrl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - E:\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: 添加到QQ自定义面板 - E:\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - E:\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - E:\QQ\SendMMS.htm
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - E:\QQ\QQ.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C58A07BC-81A6-477E-9E4F-92717AE201ED}: NameServer = 202.96.128.86 202.96.134.133
O18 - Protocol: KuGoo3 - {6AC4FBC7-AA38-45EC-9634-D6D20B679EFC} - E:\PROGRA~1\KuGoo3\InExtend\KUGOO3~1.OCX
O22 - SharedTaskScheduler: Browseui 预加载程序 - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: 组件类别缓存程序 - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: COMMAND DLL32 (CMD_DLL32) - Unknown owner - C:\WINDOWS\system32\CMDLL32.EXE
O23 - Service: Kingsoft Personal Firewall Service (KPfwSvc) - Unknown owner - C:\KAV2007\KPfwSvc.EXE (file missing)
O23 - Service: MICR0SOFT SVCH0ST (MS_SVCH0ST) - Unknown owner - C:\WINDOWS\system\SVCH0ST.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 3638 bytes

猪一头 · 发表于 2007-4-5 18:37:42

WINDOWS\system32\CMDLL32.EXE------用hijackthis修复，病毒来的，删掉病毒文件CMDLL32.EXE
这项还在哦,我删了,它自己又重生了

sansa520 · 发表于 2007-4-5 19:22:53

在注册表里查找相关的键值也删掉

jimmy_3030 · 发表于 2007-4-6 00:14:30

我跟你一样的问题，hijackthis修复了了安全模式下也删了c：\windows\system32\cmdll32.exe
注册表所有出现cmdll32.exe这项的也删了
但是重启后c：\windows\system32 和注册表还是有它
进程里倒是没有了
期望高手赐教

猪一头 · 发表于 2007-4-6 20:08:28

问题还在呢,我顶出水面

鹤冲天 · 发表于 2007-4-6 20:56:15

那就是还有文件没有找到，
在扫描下看看
注重看下有没有线程注入！

大雨落幽燕 · 发表于 2007-4-6 22:03:12

原帖由 猪一头 于 2007-4-5 06:37 PM 发表
WINDOWS\system32\CMDLL32.EXE------用hijackthis修复，病毒来的，删掉病毒文件CMDLL32.EXE
这项还在哦,我删了,它自己又重生了

建议重新扫描，最好关闭不用的程序，重点扫描系统服务和已经加载的驱动程序，尤其是隐含的驱动程序，扫描的时候最好要扫描文件的数字签名，没有任何数字签名的exe,dll.sys文件是很可疑的。

rock269 · 发表于 2007-4-7 11:53:08

学习一下，看来手工杀毒还得有一定功力才行哦

hcj3496 · 发表于 2007-4-7 11:55:26

进来学习一下,真不错...............不过你装的软件不多哦

hcj3496 · 发表于 2007-4-7 11:56:44

原帖由 jimmy_3030 于 2007-4-6 12:14 AM 发表
我跟你一样的问题，hijackthis修复了了安全模式下也删了c：\windows\system32\cmdll32.exe
注册表所有出现cmdll32.exe这项的也删了
但是重启后c：\windows\system32 和注册表还是有它
进程里倒是没有了
...

是否在其它盘也有隐藏系统的病毒文件,我以前遇到过!

wangmjng · 发表于 2007-4-7 12:49:13

请问楼主是用什么软件可以得出上述扫描结果的？

sansa520 · 发表于 2007-4-9 22:03:01

我顶上去。。此贴还未解决。。最近好像很多朋友都中了“cmdll32。exe"
看一下有谁能解决这问题。。。搜索了一下。。网上没有相关的资料。。

唯一的一篇还是出自无忧。。也就是这篇贴。。

大雨落幽燕 · 发表于 2007-4-10 10:13:28

你扫描的c:\windows\system32\ BR0WSEU1.DLL，这个文件不是不还在？

		自动登录	找回密码
密码			注册

最近机子有点反常,高手帮着看中了什么毒了?

BR0WSEU1.DLL这个文件还在吗？