瑞星卡卡安全论坛

我中木马了！是dumprep。

最开始的症状是，自动重起，瑞星不能升级，木马克星无法开启，IE开了就出错。

在我忍无可忍的情况下，我都有心把电脑for了，只是xp系统还真是不会！

于是我就趁这个木马没有发作的时候用木马克星杀了一下

真的查出在内存中有这样的木马：

%systemroot%\system32\dumprep 0 -K

杀掉的当时系统的确是没问题了，但也只能坚持几个小时，系统就又自动重起。

自动重起后，马上开木马克星，仍然能查出那个木马。瑞星根本查不到（最新版本）。

所以我每次开机都先用木马克星杀一下，也就能让我暂时正常使用。

但今天愈发厉害了，不停的重起，甚至winXP都无法运行起来。

我不能坐视不理了，就到system32下面去查，找到一个dumprep.exe的文件。

删除掉，但是不到一分钟又自动生成一个。反复如此。

运行注册表修改，找到这个键值，删掉。再删除这个exe文件，仍然可以自动生成。

上网查找了相关信息，说是用checkrun能查一下看看系统。

我就照办了，但是看不懂！

请大虾们帮着看看，以及教教我接下来该如何做？？我已经快被折磨疯了。

Checkrun结果：


==========================================================================
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
==========================================================================
IMJPMIG8.1----------"D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef

/Migration32

PHIME2002ASync----------D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

PHIME2002A----------D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

RavTimer----------D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE

RavMon----------D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM

RfwMain----------"D:\Program Files\Rising\Rfw\rfwmain.exe" -Startup

TkBellExe----------"D:\Program Files\Common

Files\Real\Update_OB\realsched.exe"  -osboot

NMGameX_AutoRun----------D:\WINDOWS\system32\Rundll32.exe

NMGameX.dll,LiveProcess /aa

NeroCheck----------D:\WINDOWS\system32\NeroCheck.exe


==========================================================================
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
==========================================================================

==========================================================================
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
==========================================================================

==========================================================================
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
==========================================================================
ctfmon.exe----------D:\WINDOWS\system32\ctfmon.exe


==========================================================================
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
==========================================================================

==========================================================================
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
==========================================================================

==========================================================================
常用注册表关联项目
==========================================================================
EXE文件关联----------正常
COM文件关联----------正常
BAT文件关联----------正常
PIF文件关联----------正常
SCR文件关联----------正常
REG文件关联----------正常
TXT文件关联----------正常

==========================================================================
启动组
==========================================================================
[D:\Documents and Settings\Pinky\「开始」菜单\程序\启动]

[D:\Documents and Settings\All Users\「开始」菜单\程序\启动]

==========================================================================
WIN.INI
==========================================================================
load =
run =

==========================================================================
SYSTEM.INI
==========================================================================
shell = Explorer.exe


================================文档结束==================================

http://forum.ikaka.com/topic.asp?board=28&artid=6979213
用1楼的工具扫个日志发上来瞧瞧!~

那东西怎么用啊？？
下载后，双击打开，然后就不知道装到哪里了。。。
菜单里什么地方都没有啊。
我的系统是xp会不会用不了？！

下载后,双击,是让你解压,
解压在哪个目录下,你仔细看一下就知道了,然后点里面的程序,运行后,就自动出来的嘛,会自动生成一个文本文件,里面就是你的日志

你应该先for重装系统,在安装系统,断开网络.下载那几个常用的补丁后打好后.装上杀毒软件,在开启电脑网络升级杀毒软件.

如果还不行,那你硬件可能还有问题

或者装上 绿鹰PC万能精灵 V3.97

你看一下cpu占用率是多少
用ctrl+alt+del

用一个正常的系统文件复制到system32文件夹下,并改名为dumprep.exe,属性中设置为只读.不过先要删除原病毒文件.

to 【三国鼎立】黄帝:

我的CPU使用率不超标，3%而已。

我下个月要for机器了，但我自己for不了，xp我还真没for过。

dos下找不到系统盘符，怎么for阿！！郁闷呢！

Logfile of HijackThis v1.99.2
Scan saved at 16:07:01, on 2005-10-31
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\PROGRAM FILES\RISING\RAV\Ravmond.exe
D:\PROGRAM FILES\RISING\RAV\RavStub.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
D:\WINDOWS\system32\svchost.exe
D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
D:\PROGRA~1\RISING\RAV\RAVMON.EXE
D:\Program Files\Common Files\Real\Update_OB\realsched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Program Files\国天利达\宽带接入客户端\FBNClient\fbnClient.exe
D:\Program Files\Internet Explorer\iexplore.exe
D:\WINDOWS\system32\wuauclt.exe
d:\program files\rising\rfw\rfwsrv.exe
d:\program files\rising\rfw\RfwMain.exe
D:\DOCUME~1\Pinky\LOCALS~1\Temp\HijackThis.exe
D:\WINDOWS\system32\Rundll32.exe
D:\WINDOWS\system32\Rundll32.exe

R3 - URLSearchHook: (no name) - {BB936323-19FA-4521-BA29-ECA6A121BC78} - (no

file)
O2 - BHO: QQIEHelper - {54EBD53A-9BC1-480B-966A-843A333CA162} - D:\Program

Files\Tencent\QQ\QQIEHelper.dll
O2 - BHO: BrowserHAP Class - {AEF6F648-78D8-4456-BEE7-5ADE23D209FD} -

D:\Program Files\HBClient\hapast.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil

/RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32

\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE

/IMEName
O4 - HKLM\..\Run: [RavTimer] D:\PROGRA~1\RISING\RAV\RAVTIMER.EXE
O4 - HKLM\..\Run: [RavMon] D:\PROGRA~1\RISING\RAV\RAVMON.EXE -SYSTEM
O4 - HKLM\..\Run: [RfwMain] "D:\Program Files\Rising\Rfw\rfwmain.exe" -

Startup
O4 - HKLM\..\Run: [TkBellExe] "D:\Program Files\Common

Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [NMGameX_AutoRun] D:\WINDOWS\system32\Rundll32.exe

NMGameX.dll,LiveProcess /aa
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [hbpassport] D:\PROGRA~1\HBClient\hbast.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: !搜一搜(&S) - res://D:\Program

Files\yisou\yisou.dll/232
O8 - Extra context menu item: &Download by NetAnts - D:\PROGRA~1

\NetAnts\NAGet.htm
O8 - Extra context menu item: Download &All by NetAnts - D:\PROGRA~1

\NetAnts\NAGetAll.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Program

Files\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Program

Files\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Program

Files\Tencent\QQ\SendMMS.htm
O8 - Extra context menu item: 解霸实时播放 - D:\Program

Files\hero\MPURLGET.HTM
O9 - Extra button: 手机短信 - {00000000-0000-0001-0001-596BAEDD1289} -

http://sms.3721.com/ie/index.htm?pid=U_herozh_129663 (file missing)
O9 - Extra button: 解霸 - {367E0A21-8601-4986-9C9A-153BF5ACA118} -

D:\Program Files\hero\MPLAYER.EXE
O9 - Extra 'Tools' menuitem: 超级解霸 - {367E0A21-8601-4986-9C9A-

153BF5ACA118} - D:\Program Files\hero\MPLAYER.EXE
O9 - Extra button: Yahoo 1G电邮 - {507F9113-CD77-4866-BA92-0E86DA3D0B97} -

http://cn.mail.yahoo.com/promo/rd1 (file missing)
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} -

D:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-

444553540000} - D:\PROGRA~1\NetAnts\NetAnts.exe
O9 - Extra button: 上网助手 - {5D73EE86-05F1-49ed-B850-E423120EC338} -

http://assistant.3721.com/index.htm?fb=Cns (file missing)
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - D:\Program

Files\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b}

- D:\Program Files\Tencent\QQ\QQ.EXE
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} -

D:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-

4983E5A8AFE6} - D:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - Extra button: 情景聊天 - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} -

http://cn.rd.yahoo.com/home/messenger/bjk/clientbtn/?

http://cn.messenger.yahoo.com/ (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

D:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-

00C04F795683} - D:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage

Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -

http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient

Class) -

http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

(MsnMessengerSetupDownloadControl Class) -

http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {DE3496D2-AFB9-47EB-A8C2-C3B330222513} (PhotoUpload Control) -

http://www.photo.163.com/PhotoUpload.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) -

http://download.rising.com.cn/register/pcver/autoupgradepad/Ver2005/OL2005.c

ab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBC0DA85-A594-4796-BC7F-

1B06C59E1AC5}: NameServer = 202.106.0.20,202.99.8.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

"D:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: APIHookDll.dll
O23 - Service: Macromedia Licensing Service - Unknown owner - D:\Program

Files\Common Files\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Rising Personal Firewall Service (RfwService) - Beijing

Rising Technology Corporation Limited - d:\program

files\rising\rfw\rfwsrv.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - rising -

D:\PROGRAM FILES\RISING\RAV\CCENTER.EXE
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co.,

Ltd. - D:\PROGRAM FILES\RISING\RAV\Ravmond.exe

上面哪个是我用HijackThis v1.99.2扫的~~

麻烦忙帮看看~~~~谢谢~~~

APIHookDll.dll
这个文件很可疑啊!~~~~~~~~~

O4 - HKLM\..\Run: [NMGameX_AutoRun] D:\WINDOWS\system32\Rundll32.exe

NMGameX.dll,LiveProcess /aa
这个是个啥子啊?

那具体是什么？到底有没有问题呢？？
我已经看糊涂了~~
谁来救救我啊~~~
就刚才查这个，就死了不下30回机！

APIHookDll.dll
如果是它的问题,就找到它把它给删掉就好了!~

D:\WINDOWS\system32\wuauclt.exe,D:\WINDOWS\system32\NeroCheck.exe
有问题

现在市场里买的盗版winxp软件都带删除分区跟for命令的.用光驱启动安装

Wuauclt.exe是Windows自动升级管理程序
nerocheck.exe是Nero的CD烧录软件的一部分

引用:

【病毒新手的贴子】O4 - HKLM\..\Run: [NMGameX_AutoRun] D:\WINDOWS\system32\Rundll32.exe NMGameX.dll,LiveProcess /aa 这个是个啥子啊? ...........................

这个我也不知道是什么~~~

我好像看见过这个东西是新建文件，木马克星提示的

引用:

【病毒新手的贴子】APIHookDll.dll 如果是它的问题,就找到它把它给删掉就好了!~ ...........................

你确定否？？
这是什么东东呢？？？

这个文件没问题的.

你给haohe斑竹发个悄悄话,叫他来看看!~~
看是不是
O4 - HKLM\..\Run: [NMGameX_AutoRun] D:\WINDOWS\system32\Rundll32.exe

NMGameX.dll,LiveProcess /aa
这个惹的祸!~

引用:

【【三国鼎立】黄帝的贴子】D:\WINDOWS\system32\wuauclt.exe,D:\WINDOWS\system32\NeroCheck.exe 有问题 ...........................

这些是什么呢？真的可以删掉吗？

那个NeroCheck好像是Nero刻录软件的！！

引用:

【粉红pinky的贴子】 这些是什么呢？真的可以删掉吗？ 那个NeroCheck好像是Nero刻录软件的！！ ...........................

Wuauclt.exe是Windows自动升级管理程序
nerocheck.exe是Nero的CD烧录软件的一部分

我被你们两个说糊涂了~~

我到底该怎么做？？

该删哪个？！

不会删错了，回头都运行不了XP了，我可就....

引用:

【病毒新手的贴子】你给haohe斑竹发个悄悄话,叫他来看看!~~ 看是不是 O4 - HKLM\..\Run: [NMGameX_AutoRun] D:\WINDOWS\system32\Rundll32.exe NMGameX.dll,LiveProcess /aa 这个惹的祸!~ ...........................

http://www.cpcfan.com/bbs/showthread.php?s=&threadid=34846

引用:

【baohe的贴子】 引用: 【病毒新手的贴子】你给haohe斑竹发个悄悄话,叫他来看看!~~ 看是不是 O4 - HKLM\..\Run: [NMGameX_AutoRun] D:\WINDOWS\system32\Rundll32.exe NMGameX.dll,LiveProcess /aa 这个惹的祸!~ ........................... http://www.cpcfan.com/bbs/showthread.php?s=&threadid=34846 ...........................

嘿嘿，刚说给斑竹发悄悄话，斑竹就来了~~

是啊，我的确有玩sina igame。

所以也就是说这个文件不是木马，对我的电脑无害了？

那我的电脑到底什么问题呢？？

木马克星也的确检测出了木马，只是解决不彻底。

下面是我刚才自动重起后木马克星监测到的：


正在扫描...
在内存中发现木马.
木马文件名:%SYSTEMROOT%\SYSTEM32\DUMPREP 0 -K
%SYSTEMROOT%\SYSTEM32\DUMPREP 0 -K 木马已经清除.
扫描了 25个进程，
扫描结束.
没有发现木马，系统安全!


新建文件: D:\WINDOWS\SYSTEM32\distributer.txt 2005-10-31 16:41:23
新建文件: D:\WINDOWS\SYSTEM32\hbcf.ini 2005-10-31 16:41:24
新建文件: D:\WINDOWS\SYSTEM32\hbhap.dll 2005-10-31 16:41:24
新建文件: D:\WINDOWS\SYSTEM32\hbkf.ini 2005-10-31 16:41:24
新建文件: D:\WINDOWS\SYSTEM32\hbu.ini 2005-10-31 16:41:24
新建文件: D:\WINDOWS\SYSTEM32\hbuf.ini 2005-10-31 16:41:24
新建文件: D:\WINDOWS\SYSTEM32\hsy.ini 2005-10-31 16:41:24
新建文件: D:\WINDOWS\SYSTEM32\unrar.dll 2005-10-31 16:41:24
新建文件: D:\WINDOWS\hburl.ini  2005-10-31 16:41:24
新建文件: D:\WINDOWS\hunt.dll  2005-10-31 16:41:24
扫描了 23个进程，
扫描结束.
没有发现木马，系统安全!



新建文件: D:\WINDOWS\RuVer.inf  2005-10-31 16:41:26
扫描了 22个进程，
扫描结束.
没有发现木马，系统安全!



删除广告程序注册项:hkcu\software\cydoor
删除广告程序注册项:hklm\software\cydoor
删除广告程序注册项:hkcu\software\cydoor services
新建文件: D:\WINDOWS\SYSTEM32\NoAdURL.ini 2005-10-31 16:41:43
扫描了 24个进程，
扫描结束.
没有发现木马，系统安全!

每次死机后重起，木马克星都会提示新建了一下文件：
不知是否正常，请大家看看！谢谢~~万分感谢~

正在扫描...
扫描了 23个进程，
扫描结束.
没有发现木马，系统安全!


新建文件: D:\WINDOWS\SYSTEM32\hbhap.dll 2005-10-31 17:20:05
新建文件: D:\WINDOWS\SYSTEM32\hbu.ini 2005-10-31 17:20:05
新建文件: D:\WINDOWS\SYSTEM32\hsy.ini 2005-10-31 17:20:05
新建文件: D:\WINDOWS\SYSTEM32\NoAdURL.ini 2005-10-31 17:20:05
新建文件: D:\WINDOWS\SYSTEM32\unrar.dll 2005-10-31 17:20:06
新建文件: D:\WINDOWS\SYSTEM32\updatevalue.ini 2005-10-31 17:20:06
扫描了 23个进程，
扫描结束.
没有发现木马，系统安全!



新建文件: D:\WINDOWS\SYSTEM32\uhbcf.ini 2005-10-31 17:20:08
扫描了 23个进程，
扫描结束.
没有发现木马，系统安全!



新建文件: D:\WINDOWS\SYSTEM32\hbcf.ini 2005-10-31 17:20:10
新建文件: D:\WINDOWS\SYSTEM32\hbuf.ini 2005-10-31 17:20:10
新建文件: D:\WINDOWS\SYSTEM32\uhbkf.ini 2005-10-31 17:20:10
扫描了 23个进程，
扫描结束.
没有发现木马，系统安全!



新建文件: D:\WINDOWS\hburl.ini  2005-10-31 17:20:14
新建文件: D:\WINDOWS\hunt.dll  2005-10-31 17:20:14
扫描了 22个进程，
扫描结束.
没有发现木马，系统安全!



新建文件: D:\WINDOWS\SYSTEM32\hbkf.ini 2005-10-31 17:20:15
扫描了 22个进程，
扫描结束.
没有发现木马，系统安全!

【回复“粉红pinky”的帖子】
我讨厌木马克星。也不用这个东东。那些莫名其妙的扫描记录——我看不明白。你去木马克星论坛问吧。那里应该有解答这类问题的专家。

木马克星不太准确