瑞星卡卡安全论坛

我中了Worm mail Brontok bs这个病毒！

用瑞星杀出500多个worm mail brontok bs！！！重启之后仍然有！怎么也杀不掉！郁闷无比！造成机器不定时重启，网速下降等症状……这个恶心的病毒！
有谁知道的赶快帮忙呀！

另外，BerasJatah.exe这个是什么东东？

病毒文件路径？http://forum.ikaka.com/topic.asp?board=28&artid=8105899
下载HijackThis...把日志帖上来

【回复“yanmings”的帖子】
HijackThis_815汉化版扫描日志 V1.99.1
保存于      13:01:12, 日期 2006-7-23
操作系统：  Windows XP SP1 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Rising\Rav\CCenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Rising\Rav\Ravmond.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\Program Files\Rising\Rav\RavStub.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\Rising\Rav\RavTask.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Rising\Rav\Ravmon.exe
C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
C:\WINDOWS\System32\conime.exe
C:\WINDOWS\System32\mssvcc.exe
D:\Program Files\PDF\Distillr\Acrotray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Tencent\TT\TTraveler.exe
D:\Program Files\Tencent\QQ\QQ.exe
C:\Program Files\Tencent\QQ\TIMPlatform.exe
C:\WINDOWS\NOTEPAD.EXE
C:\WINDOWS\System32\rundll32.exe
C:\DOCUME~1\xjh\LOCALS~1\Temp\Rar$EX00.922\HijackThis1991zww.exe

R3 - URLSearchHook: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\BerasJatah.exe"
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program Files\PDF\ActiveX\AcroIEHelper.dll
O2 - BHO: MonitorURL Class - {08A312BB-5409-49FC-9347-54BB7D069AC6} - C:\PROGRA~1\DESKAD~1\deskipn.dll
O2 - BHO: BrowserHelper Class - {2D99E8F4-56B7-457B-9A92-61B5D247D263} - C:\WINDOWS\System32\WinDefendor.dll
O2 - BHO: yPhtb - {33BBE430-0E42-4f12-B075-8D21ACB10DCB} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yphtb.dll
O2 - BHO: Anti Fish - {38928D50-8A48-44C2-945F-D2F23F771410} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yangling.dll
O2 - BHO: IE Browser Helper - {3CE496D1-1746-41CD-9489-3C0B93DF10E2} - C:\WINDOWS\Downlo~1\qkm.dll
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O2 - BHO: FlpLauncher Class - {4401FDC3-7996-4774-8D2B-C1AE9CD6CC25} - C:\PROGRA~1\E-BOOK~1\FLIPVI~1\fplaunch.dll
O2 - BHO: YDragSearch - {62EED7C6-9F02-42f9-B634-98E2899E147B} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\YDRAGS~1.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program Files\PDF\Acrobat\AcroIEFavClient.dll
O2 - BHO: DownloadBHO T2BHO - {B1D147E7-873E-4909-8127-695D9BB78728} - C:\WINDOWS\Downloaded Program Files\barhelp24.0.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: 天下搜索 - {56A7DC70-E102-4408-A34A-AE06FEF01586} - C:\WINDOWS\Downloaded Program Files\iebar23.0.dll
O3 - IE工具栏增项: 卡卡上网安全助手 - {DB9ECD4F-FB8F-4311-B3CE-90B976C2707C} - C:\WINDOWS\System32\KakaTool.dll
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll
O3 - IE工具栏增项: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program Files\PDF\Acrobat\AcroIEFavClient.dll
O3 - IE工具栏增项: MSN 工具栏 - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.2607.0\zh-cn\msntb.dll (file missing)
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - 启动项HKLM\\Run: [Y[KL_RKR] C:\WINDOWS\System32\zuxwco.exe
O4 - 启动项HKLM\\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe
O4 - 启动项HKLM\\Run: [YLive.exe] C:\PROGRA~1\Yahoo!\ASSIST~1\YLive.exe
O4 - 启动项HKLM\\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\sempalong.exe"
O4 - 启动项HKLM\\Run: [bk6otmi] RunDll32 "C:\WINDOWS\Downlo~1\bk6otmi.dll",Run
O4 - 启动项HKLM\\Run: [MS-4011 Memory Patch] D:\Program Files\装机\病毒专杀工具\RavSasser.exe -Patch
O4 - 启动项HKLM\\Run: [msconfig38] mssvcc.exe
O4 - 启动项HKLM\\Run: [Acrobat Assistant 7.0] "D:\Program Files\PDF\Distillr\Acrotray.exe"
O4 - 启动项HKLM\\Run: [qcsszjcz] c:\chenhu2\chenqxms.exe
O4 - 启动项HKLM\\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - 启动项HKLM\\RunServices: [msconfig38] mssvcc.exe
O4 - 启动项HKLM\\RunOnce: [RavStub] "C:\Program Files\Rising\Rav\ravstub.exe" /RUNONCE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\xjh\Local Settings\Application Data\smss.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: Empty.pif = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: IE-BAR.lnk = ?
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?SystemRoot%\Installer\{AC76BA86-2052-0000-7760-100000000002}\SC_Acrobat.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 添加到雅虎订阅(&Y) - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yrss.dll/YRSSMENUEXT
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O8 - IE右键菜单中的新增项目: 转换为 Adobe PDF - res://D:\Program Files\PDF\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: 转换为现有 PDF - res://D:\Program Files\PDF\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 转换选定的链接为 Adobe PDF - res://D:\Program Files\PDF\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - IE右键菜单中的新增项目: 转换选定的链接为现有 PDF - res://D:\Program Files\PDF\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - IE右键菜单中的新增项目: 转换选项为 Adobe PDF - res://D:\Program Files\PDF\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: 转换选项为现有 PDF - res://D:\Program Files\PDF\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 转换链接目标为 Adobe PDF - res://D:\Program Files\PDF\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - IE右键菜单中的新增项目: 转换链接目标为现有 PDF - res://D:\Program Files\PDF\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - IE右键菜单中的新增项目: 雅虎搜索 - res://C:\PROGRA~1\Yahoo!\ASSIST~1\Assist\yasbar.dll/246
O9 - 浏览器额外的按钮: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的“工具”菜单项: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - 浏览器额外的按钮: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O9 - 浏览器额外的“工具”菜单项: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - C:\Program Files\Tencent\QQ\QQ.EXE (file missing)
O16 - DPF: {56A7DC70-E102-4408-A34A-AE06FEF01586} (天下搜索) - http://iebar.t2t2.com/iebar.cab
O16 - DPF: {A984ED9F-E8DA-44E5-BC18-C14B9ABEF79D} (photo_uploader Control) - http://upload.photo.163.com/photoup.cab
O16 - DPF: {DA984A6D-508E-11D6-AA49-0050FF3C628D} (Ravonline) - http://download.rising.com.cn/QQ/QQkill/rsonline.cab
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CBB138ED-19BD-4DA2-82FE-6C45A7B1F9F2}: NameServer = 202.96.209.134 202.96.209.6
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - NT 服务: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - NT 服务: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - NT 服务: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

以上是日志

请帮我看看上传的日志

修复并删除相关文件(除非你知道它是什么)
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\BerasJatah.exe"
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: 255.255.255.255
O2 - BHO: DownloadBHO T2BHO - {B1D147E7-873E-4909-8127-695D9BB78728} - C:\WINDOWS\Downloaded Program Files\barhelp24.0.dll
O4 - 启动项HKLM\\Run: [Y[KL_RKR] C:\WINDOWS\System32\zuxwco.exe
O4 - 启动项HKLM\\Run: [Bron-Spizaetus] "C:\WINDOWS\ShellNew\sempalong.exe"
O4 - 启动项HKLM\\Run: [bk6otmi] RunDll32 "C:\WINDOWS\Downlo~1\bk6otmi.dll",Run
O4 - 启动项HKLM\\RunServices: [msconfig38] mssvcc.exe
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\xjh\Local Settings\Application Data\smss.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: IE-BAR.lnk = ?
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?SystemRoot%\Installer\{AC76BA86-2052-0000-7760-100000000002}\SC_Acrobat.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\BerasJatah.exe"
F2 - REG:system.ini: UserInit=userinit.exe
O1 - Hosts: 255.255.255.255 ar.atwola.com atdmt.com avp.ch avp.com avp.ru awaps.net ca.com dispatch.mcafee.com download.mcafee.com download.microsoft.com downloads.microsoft.com engine.awaps.net f-secure.com ftp.f-secure.com ftp.sophos.com go.microsoft.com liveupdate.symantec.com mast.mcafee.com mcafee.com msdn.microsoft.com my-etrust.com nai.com networkassociates.com office.microsoft.com phx.corporate-ir.net secure.nai.com securityresponse.symantec.com service1.symantec.com sophos.com spd.atdmt.com support.microsoft.com symantec.com update.symantec.com updates.symantec.com us.mcafee.com vil.nai.com viruslist.ru windowsupdate.microsoft.com www.avp.ch www.avp.com www.avp.ru www.awaps.net www.ca.com www.f-secure.com www.kaspersky.ru www.mcafee.com www.my-etrust.com www.nai.com www.networkassociates.com www.sophos.com www.symantec.com www.trendmicro.com www.viruslist.com www.viruslist.ru www3.ca.com


用HijackThis修复以上几项。。然后删除C:\WINDOWS\BerasJatah.exe这人文件。

用HijackThis修复了上两楼所列所有项，重启之后瑞星提示发现病毒，还是这个Worm mail Brontok bs！
想再运行HijackThis，可一运行就自动关机重启。运行其他程序不重启。试了三次都是这样，
郁闷中……高手们快来帮下忙

另外还有更郁闷的，每次下载文件到一半，就重启！！

病毒路径能说说么..

【回复“mopery”的帖子】
怎么查看病毒路径？？我是菜鸟

- -  杀软的杀毒记录中有..

上面的hj日志能看出路径吗？

HJ 那能看出路径..

路径：
C:\System Volume Information\_restore{306033D3-0F1C-4264-859F-117E3A7EE724}\RP17\A0045019.pif
还有好多。。。

我的电脑-右键-属性-系统还原-在所有磁盘上关闭系统还原  勾上..
重启 开启..

【回复“mopery”的帖子】

【回复“firstapril”的帖子】
、照楼上的做了之后，第一次重启瑞星不再弹出病毒提示，但运行瑞星杀毒，又杀出四个布伦特
Worm mail Brontok bs，路径分别为：C:\Documents and Settings\xjh\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\xjh\Local Settings\Application Data\service.exe
C:\Documents and Settings\xjh\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\xjh\Local Settings\Application Data\csrss.exe
然后我将系统还原勾去掉，再重启，运行瑞星，还是有好多worm mail brontok bs

文件名：A0000018.exe 
C:\System Volume Information\_restore{306033D3-0F1C-4264-859F-117E3A7EE724}\RP1
文件名：A0000030.EXE 
C:\System Volume Information\_restore{306033D3-0F1C-4264-859F-117E3A7EE724}\RP1
病毒名都是：Worm mail Brontok bs！！！！

【回复“firstapril”的帖子】
C:\Documents and Settings\xjh\Local Settings\Application Data\winlogon.exe
C:\Documents and Settings\xjh\Local Settings\Application Data\service.exe
C:\Documents and Settings\xjh\Local Settings\Application Data\lsass.exe
C:\Documents and Settings\xjh\Local Settings\Application Data\csrss.exe
随便找上面病毒文件中的任何一个，打包，加密（解压密码用virus），发到：baohelin@yahoo.com.cn。帮你看看怎么根治这滥东东。

【回复“baohe”的帖子】
一点击上面文件马上自动重启。

【回复“baohe”的帖子】
走到C:\Documents and Settings\xjh\Local Settings\Application Data这个地方，屏幕闪了一下，就自动重启了！根本无法动它

有点着急，再顶一下

这东西从没见过...如果清空了还原文件..除了baohe讲的那几个文件外 应该没有文件...

这是一蠕虫...个人比较建议你重装..

好的，谢谢mopery还有楼上各位。现在感染这个病毒的好象很多。
网页上有关于它的信息，希望各位网友小心了，中了这个比较麻烦！

它叫“布伦特(Worm.Mail.Brontok)”病毒的邮件蠕虫在东南亚一些国家和地区呈现爆发态势。
中该病毒之后，上网的时候老出现重启的现象,还不时地跳出什么“say no to sex,drug&force ”的网页,另外它具有自我保护的能力，一但威胁到自己，就会自动重启，还会阻止杀毒软件的升级。。。
马来西亚计算机病毒应急处理小组针对该病毒发出紧急警告。目前该病毒已出现多个变种，我国用户也需保持警惕。
这是一个能在WIN9X／NT／2000／XP系统上运行的蠕虫病毒。主要通过电子邮件进行传播，带毒邮件的发信地址等会随机变化，普通用户根本无法自行分辨邮件是否带毒。它会操纵中毒电脑攻击PLAYBOY的网站，有的病毒变种还会在中毒电脑里显示网页文件，反对性、毒品和暴力。

专家建议：个人用户不要随便打开陌生人发来的邮件，特别是邮件附件。平时应开启杀毒软件的邮件监控功能防范此类病毒。

我还是希望你在重装之前能把那几个文件压缩 发给baohe 斑竹..
让他看看..

【回复“mopery”的帖子】
行，我尽量试试