【求助】资源占用100％，explorer.exe和cmd.exe各占一半 bbs.ikaka.com

iamh2 - 2006-9-29 23:09:00

附上木马克星的报告

内存中的进程:
[System Process]
alg.exe
Apache.exe
conime.exe
csrss.exe
ctfmon.exe
DefWatch.exe
DllHost.exe
EXPLORER.EXE
iparmo.exe
LSASS.EXE
Maxthon.exe
mysqld-nt.exe
pfw.exe
regedit.exe
Rtvscan.exe
SERVICES.EXE
smss.exe
spoolsv.exe
SVCHOST.EXE
System
TASKMGR.EXE
VPTray.exe
winlogon.exe
C:\WINDOWS\system32\ACTIVEDS.dll
C:\WINDOWS\system32\adsldpc.dll
C:\WINDOWS\system32\advapi32.dll
C:\WINDOWS\system32\appHelp.dll
C:\WINDOWS\system32\ATL.DLL
C:\WINDOWS\system32\CLBCATQ.DLL
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
C:\WINDOWS\system32\comdlg32.dll
C:\WINDOWS\system32\COMRes.dll
C:\WINDOWS\system32\CRYPT32.dll
C:\WINDOWS\system32\CRYPTUI.dll
C:\WINDOWS\system32\GDI32.dll
C:\Program Files\iparmor\getportlistxp.dll
C:\Program Files\iparmor\hookhookdll.dll
C:\WINDOWS\system32\IMAGEHLP.dll
C:\WINDOWS\system32\IMM32.DLL
C:\WINDOWS\system32\inetmib1.dll
C:\Program Files\iparmor\iparmo.exe
C:\WINDOWS\system32\iphlpapi.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\LPK.DLL
C:\WINDOWS\system32\MFC42.DLL
C:\WINDOWS\system32\MFC42LOC.DLL
C:\WINDOWS\system32\mpr.dll
C:\WINDOWS\system32\MPRAPI.dll
C:\WINDOWS\system32\MSASN1.dll
C:\WINDOWS\system32\MSCTF.dll
C:\WINDOWS\system32\msctfime.ime
C:\WINDOWS\system32\mslbui.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\netapi32.dll
C:\WINDOWS\system32\ntdll.dll
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\oleaut32.dll
C:\WINDOWS\system32\oledlg.dll
C:\WINDOWS\system32\olepro32.dll
C:\WINDOWS\system32\RICHED20.DLL
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\rsaenh.dll
C:\WINDOWS\system32\rtutils.dll
C:\WINDOWS\system32\SAMLIB.dll
C:\WINDOWS\system32\Secur32.dll
C:\WINDOWS\system32\SETUPAPI.dll
C:\WINDOWS\system32\shdocvw.dll
C:\WINDOWS\system32\shell32.dll
C:\WINDOWS\system32\SHLWAPI.dll
C:\WINDOWS\system32\snmpapi.dll
C:\WINDOWS\system32\urlmon.dll
C:\WINDOWS\system32\user32.dll
C:\WINDOWS\system32\USERENV.dll
C:\WINDOWS\system32\USP10.dll
C:\WINDOWS\system32\uxtheme.dll
C:\WINDOWS\system32\version.dll
C:\WINDOWS\system32\wininet.dll
C:\WINDOWS\system32\winmm.dll
C:\WINDOWS\system32\winspool.drv
C:\WINDOWS\system32\WINTRUST.dll
C:\WINDOWS\system32\WLDAP32.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\WS2HELP.dll
C:\WINDOWS\system32\wsock32.dll
C:\WINDOWS\AppPatch\AcGenral.DLL
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\comctl32.dll
C:\WINDOWS\system32\conime.exe
C:\WINDOWS\system32\IMM32.dll
C:\WINDOWS\system32\MSACM32.dll
C:\WINDOWS\system32\OLEAUT32.dll
C:\WINDOWS\system32\SHELL32.dll
C:\WINDOWS\system32\ShimEng.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\UxTheme.dll
C:\WINDOWS\system32\VERSION.dll
C:\WINDOWS\system32\WINMM.dll
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\MSUTB.dll
C:\WINDOWS\system32\DllHost.exe
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\fusion.dll
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.2180_x-ww_522f9f82\gdiplus.dll
C:\Program Files\Common Files\Microsoft Shared\Ink\InkObj.dll
C:\WINDOWS\system32\MSCOREE.DLL
C:\WINDOWS\system32\msi.dll
C:\WINDOWS\system32\MSIMG32.dll
C:\WINDOWS\system32\MSVCP60.dll
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\MSVCR71.dll
C:\Program Files\Common Files\Microsoft Shared\INK\SKCHOBJ.DLL
C:\WINDOWS\system32\xpsp2res.dll
C:\Program Files\MP3播放器管理工具 4.05\AMVConverter\AmvTransform.dll
C:\WINDOWS\system32\BatMeter.dll
C:\WINDOWS\system32\browselc.dll
C:\WINDOWS\system32\BROWSEUI.dll
C:\Program Files\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.chs
C:\Program Files\Adobe\Acrobat 6.0\Acrobat Elements\ContextMenu.dll
C:\WINDOWS\system32\contmenu.dll
C:\WINDOWS\system32\credui.dll
C:\WINDOWS\System32\CSCDLL.dll
C:\WINDOWS\System32\cscui.dll
C:\WINDOWS\System32\davclnt.dll
C:\WINDOWS\system32\DNSAPI.dll
C:\WINDOWS\System32\drprov.dll
C:\WINDOWS\system32\DUSER.dll
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hnetcfg.dll
C:\WINDOWS\system32\LINKINFO.dll
C:\WINDOWS\system32\midimap.dll
C:\WINDOWS\system32\mlang.dll
C:\WINDOWS\system32\MPR.dll
C:\WINDOWS\system32\msacm32.drv
C:\WINDOWS\system32\msadp32.acm
C:\WINDOWS\system32\MSGINA.dll
C:\Program Files\winrar\msn.dll
C:\Program Files\Microsoft Office\OFFICE11\msohev.dll
C:\WINDOWS\system32\mstask.dll
C:\WINDOWS\system32\msutb.dll
C:\WINDOWS\system32\msv1_0.dll
C:\WINDOWS\system32\MSVCR71.dll
C:\WINDOWS\system32\mswsock.dll
C:\WINDOWS\system32\NETAPI32.dll
C:\WINDOWS\System32\NETRAP.dll
C:\WINDOWS\system32\NETSHELL.dll
C:\WINDOWS\System32\NETUI0.dll
C:\WINDOWS\System32\NETUI1.dll
C:\WINDOWS\system32\NTDSAPI.dll
C:\WINDOWS\System32\ntlanman.dll
C:\WINDOWS\system32\ntshrui.dll
C:\WINDOWS\system32\occache.dll
C:\WINDOWS\system32\ODBC32.dll
C:\WINDOWS\system32\odbcint.dll
C:\Program Files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
C:\WINDOWS\system32\POWRPROF.dll
C:\Program Files\WinRAR\rarext.dll
C:\WINDOWS\system32\rasadhlp.dll
C:\WINDOWS\system32\RASAPI32.DLL
C:\WINDOWS\system32\rasman.dll
C:\WINDOWS\system32\RICHED20.dll
C:\WINDOWS\system32\RichEd32.dll
C:\WINDOWS\System32\SAMLIB.dll
C:\WINDOWS\system32\sensapi.dll
C:\WINDOWS\system32\shdoclc.dll
C:\WINDOWS\system32\SHDOCVW.dll
C:\WINDOWS\system32\stobject.dll
C:\WINDOWS\system32\SXS.DLL
C:\WINDOWS\system32\TAPI32.dll
C:\WINDOWS\system32\themeui.dll
C:\WINDOWS\system32\URLMON.DLL
C:\Program Files\Common Files\Symantec Shared\SSC\vpshell2.dll
C:\WINDOWS\system32\wdmaud.drv
C:\WINDOWS\system32\webcheck.dll
C:\WINDOWS\system32\WININET.dll
C:\WINDOWS\system32\WINSPOOL.DRV
C:\WINDOWS\system32\WINSTA.dll
C:\WINDOWS\System32\wshtcpip.dll
C:\WINDOWS\system32\WSOCK32.dll
C:\WINDOWS\system32\WTSAPI32.dll
C:\WINDOWS\system32\browseui.dll
C:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\COMCTL32.dll
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\CorperfmonExt.dll
C:\WINDOWS\system32\DCIMAN32.dll
C:\WINDOWS\system32\DDRAW.dll
C:\WINDOWS\system32\ddrawex.dll
C:\WINDOWS\system32\dxtmsft.dll
C:\WINDOWS\system32\dxtrans.dll
C:\WINDOWS\system32\jscript.dll
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\Maxthon\maxzlib.dll
C:\WINDOWS\system32\mscoree.dll
C:\WINDOWS\system32\mshtml.dll
C:\WINDOWS\system32\msimtf.dll
C:\WINDOWS\system32\msls31.dll
C:\PROGRA~1\COMMON~1\SYSTEM\MSMAPI\2052\MSMAPI32.DLL
C:\Program Files\Common Files\Microsoft Shared\office11\mso.dll
C:\WINDOWS\System32\mswsock.dll
C:\WINDOWS\system32\NTMARTA.DLL
C:\WINDOWS\system32\odbcbcp.dll
C:\WINDOWS\system32\oleacc.dll
C:\WINDOWS\system32\OLEPRO32.DLL
C:\WINDOWS\system32\pdh.dll
C:\Program Files\Common Files\Microsoft Shared\INK\PENCHS.DLL
C:\WINDOWS\system32\PSAPI.dll
C:\WINDOWS\system32\pschdprf.dll
C:\Program Files\Maxthon\Services\RealTime\real_time.dll
C:\WINDOWS\System32\rsvpperf.dll
C:\WINDOWS\IME\SPGRMR.DLL
C:\WINDOWS\ime\sptip.dll
C:\WINDOWS\system32\tapiperf.dll
C:\WINDOWS\system32\TRAFFIC.dll
C:\WINDOWS\system32\UNISPIM5.IME
C:\WINDOWS\system32\WbCodeU.dll
C:\WINDOWS\system32\WBJJU.IME
C:\WINDOWS\System32\winrnr.dll
C:\WINDOWS\system32\WMI.dll
C:\WINDOWS\system32\COMDLG32.DLL
C:\WINDOWS\system32\wbem\fastprox.dll
C:\WINDOWS\system32\MPR.DLL
C:\WINDOWS\system32\MSWSOCK.dll
C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe
C:\PROGRA~1\SKYNET\FIREWALL\SKYMISC.DLL
C:\WINDOWS\system32\wbem\wbemcomn.dll
C:\WINDOWS\system32\wbem\wbemprox.dll
C:\WINDOWS\system32\wbem\wbemsvc.dll
C:\WINDOWS\system32\WINMM.DLL
C:\WINDOWS\system32\WS2_32.DLL
C:\WINDOWS\system32\ACLUI.dll
C:\WINDOWS\system32\AUTHZ.dll
C:\WINDOWS\system32\clb.dll
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\COMCTL32.dll
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\ulib.dll
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\UTILDLL.dll
C:\WINDOWS\system32\VDMDBG.dll
C:\Program Files\Symantec AntiVirus\Cliproxy.dll
C:\Program Files\Symantec AntiVirus\Cliscan.dll
C:\WINDOWS\system32\MSVCP71.dll
C:\PROGRA~1\SYMANT~1\NAVNTUTL.DLL
C:\WINDOWS\system32\PSAPI.DLL
C:\Program Files\Symantec AntiVirus\SAVRT32.DLL
C:\WINDOWS\system32\SFC.DLL
C:\WINDOWS\system32\sfc_os.dll
C:\WINDOWS\system32\shfolder.dll
C:\WINDOWS\system32\userenv.dll
C:\PROGRA~1\SYMANT~1\VPTray.exe

iamh2 - 2006-9-29 23:12:00

请高人指点，非常感谢！

iamh2 - 2006-9-30 0:27:00

沉得太快，求助！

zzq11211 - 2006-9-30 1:01:00

附：hijackthis下载地址 http://forum.ikaka.com/topic.asp?board=28&artid=8105899 扫出全部日志

iamh2 - 2006-9-30 1:48:00

谢谢，扫描如下：

Logfile of HijackThis v1.99.1
Scan saved at 1:35:06, on 2006-9-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\conime.exe
D:\usr\local\apache\Apache.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
D:\usr\local\apache\Apache.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
D:\usr\local\mysql\bin\mysqld-nt.exe
C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\Program Files\Tencent\qq\TMDlls\TM.exe
C:\Program Files\Tencent\qq\TMDlls\TIMPlatform.exe
C:\Program Files\BitSpirit\BitSpirit.exe
E:\下载\20060929\ha_hijackthis_1991\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Program Files\winrar\msn.com
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: ←设置内容 - C:\Program Files\BBS帖子精灵\html\SetContent.htm
O8 - Extra context menu item: ←设置标题 - C:\Program Files\BBS帖子精灵\html\SetTitle.htm
O8 - Extra context menu item: →提取图片 - C:\Program Files\BBS帖子精灵\html\GetPic.htm
O8 - Extra context menu item: →提取链接 - C:\Program Files\BBS帖子精灵\html\GetHref.htm
O8 - Extra context menu item: →获取内容 - C:\Program Files\BBS帖子精灵\html\GetContent.htm
O8 - Extra context menu item: →获取标题 - C:\Program Files\BBS帖子精灵\html\GetTitle.htm
O8 - Extra context menu item: ∈提取全部图片 - C:\Program Files\BBS帖子精灵\html\GetAllPic.htm
O8 - Extra context menu item: ∈获取Flash列表 - C:\Program Files\BBS帖子精灵\html\ListFlash.htm
O8 - Extra context menu item: ⊙快速回复 - C:\Program Files\BBS帖子精灵\html\QuickNote.htm
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\flashget\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\flashget\jc_all.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O16 - DPF: {3F166327-8030-4881-8BD2-EA25350E574A} (CellWeb5 Control) - http://211.101.228.172/wsnj/applet/cellweb5.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {6E6C2901-1750-40BF-81B1-865787F6A49D} (CongnamulMap4World Control) - http://www.congbird.com/ActiveX/CongnamulMap4World.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Apache - Unknown owner - D:\usr\local\apache\Apache.exe" --ntservice (file missing)
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: MySQL - Unknown owner - D:\usr\local\mysql\bin\mysqld-nt.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

iamh2 - 2006-9-30 1:56:00

上面那个是关掉cmd进程后的，这个是重启后的：

Logfile of HijackThis v1.99.1
Scan saved at 1:44:11, on 2006-9-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
D:\usr\local\apache\Apache.exe
C:\WINDOWS\system32\conime.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Symantec AntiVirus\DefWatch.exe
D:\usr\local\apache\Apache.exe
D:\usr\local\mysql\bin\mysqld-nt.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Maxthon\Maxthon.exe
C:\WINDOWS\system32\DllHost.exe
E:\下载\20060929\ha_hijackthis_1991\HijackThis.exe
C:\Program Files\Symantec\LiveUpdate\AUpdate.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Program Files\winrar\msn.com
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll (file missing)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [SKYNET Personal FireWall] C:\PROGRA~1\SKYNET\FIREWALL\pfw.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: ←设置内容 - C:\Program Files\BBS帖子精灵\html\SetContent.htm
O8 - Extra context menu item: ←设置标题 - C:\Program Files\BBS帖子精灵\html\SetTitle.htm
O8 - Extra context menu item: →提取图片 - C:\Program Files\BBS帖子精灵\html\GetPic.htm
O8 - Extra context menu item: →提取链接 - C:\Program Files\BBS帖子精灵\html\GetHref.htm
O8 - Extra context menu item: →获取内容 - C:\Program Files\BBS帖子精灵\html\GetContent.htm
O8 - Extra context menu item: →获取标题 - C:\Program Files\BBS帖子精灵\html\GetTitle.htm
O8 - Extra context menu item: ∈提取全部图片 - C:\Program Files\BBS帖子精灵\html\GetAllPic.htm
O8 - Extra context menu item: ∈获取Flash列表 - C:\Program Files\BBS帖子精灵\html\ListFlash.htm
O8 - Extra context menu item: ⊙快速回复 - C:\Program Files\BBS帖子精灵\html\QuickNote.htm
O8 - Extra context menu item: 使用网际快车下载 - C:\Program Files\flashget\jc_link.htm
O8 - Extra context menu item: 使用网际快车下载全部链接 - C:\Program Files\flashget\jc_all.htm
O8 - Extra context menu item: 用比特精灵下载(&B) - C:\Program Files\BitSpirit\bsurl.htm
O9 - Extra button: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - C:\Program Files\Tencent\QQ\QQIEHelper.dll (file missing)
O16 - DPF: {3F166327-8030-4881-8BD2-EA25350E574A} (CellWeb5 Control) - http://211.101.228.172/wsnj/applet/cellweb5.cab
O16 - DPF: {488A4255-3236-44B3-8F27-FA1AECAA8844} (CEditCtrl Object) - https://img.alipay.com/download/1007/aliedit.cab
O16 - DPF: {6E6C2901-1750-40BF-81B1-865787F6A49D} (CongnamulMap4World Control) - http://www.congbird.com/ActiveX/CongnamulMap4World.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Apache - Unknown owner - D:\usr\local\apache\Apache.exe" --ntservice (file missing)
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program Files\Symantec AntiVirus\DefWatch.exe
O23 - Service: MySQL - Unknown owner - D:\usr\local\mysql\bin\mysqld-nt.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program Files\Symantec AntiVirus\Rtvscan.exe

非常感谢！！！

iamh2 - 2006-9-30 12:11:00

问题依旧，救命啊！

iamh2 - 2006-9-30 13:19:00

有没有哪位老大能伸出援助之手啊？

iamh2 - 2006-9-30 19:20:00

请高手帮忙！

爬围墙上青天 - 2006-9-30 19:32:00

郁闷`````explorer.exe和cmd.exe 在搞怪```你试试别的杀毒软件```或用你自己的杀毒软件升级最新`或安全模式杀``然后扫描漏洞看看什么出问题````另外推荐http://online.rising.com.cn/free/index.htm在线杀毒```可能要下载东西````日久会更严重的```--没用的话问问版主````

爬围墙上青天 - 2006-9-30 19:32:00

杀毒最重要````

iamh2 - 2006-10-1 10:01:00

谢谢楼上的兄弟。

估计是要重装的命了。
不过，我非常奇怪这个病毒的工作原理。

我猜它是把自己做成dll，绑定在explorer里面，不过我找不到，郁闷啊。

iamh2 - 2006-10-3 15:35:00

因为杀毒，导致系统无法进入，只好重装。

该病毒资料如下：

关于服务器被攻击导致众多用户染毒的说明，附专杀工具！
首先，推荐您使用下面的手工杀毒方法来解决该问题，如果您实在看不懂操作步骤，或者根据步骤搞不定，请使用附件中的专杀工具来杀毒（得加强自己的基础知识啊！！）。但在此之前，请务必先看一下本帖2楼的重要说明，否则您的系统可能出现“严重”问题！

9月1日，一名来自北京怀柔的攻击者利用8月份在安全焦点爆出的PHP重大漏洞，成功拿到了54服务器的部分权限，放上了自己准备好的网页木马（最新变种，90%的杀毒软件都没反应），成功对所有访问54master的用户进行了攻击。

接到举报，我在第一时间检查并删除了木马程序，同时打上了由Discuz官方提供的补丁。由于当时上网条件不太好，所以未进行后门检测工作。第二天一大早，又有用户报告访问54有木马提示，我再次被电话吵醒，开始进行第二轮检查，这次检测过程一共持续了六七个小时。攻击者未做出更多的动作，第二次从上来到放完马走人总共不过三五分钟时间，然后就消失掉了。在找到并删除了木马后，我找到了网页木马MS0614 Generator的作者，从他那里我得到了一些思路上的帮助。

昨天早上一上班，我立刻就将访问日志拿下来进行分析，从500M纯文本里终于找到攻击者留下的蛛丝马迹，成功揪出隐藏巧妙的后门程序。经过分析发现，该后门程序是出自安全天使的PHPSPY，进行了简单修改，利用该程序可以对服务器上所有目录进行各种权限允许的操作，比如读写文件等。由于DZ论坛的数据库密码以明文方式写在一个文件中的，攻击者一定知道，所以他也一定拿到了数据库的密码。所以我在第一时间更改了数据库的密码，然后删除了PHPSPY。

这一刻，心中倍感轻松，学习黑客知识n年来，最成功的一次却是抓到一个外行攻击者（可以这么评价他）。

然而事情并没有完，从日志情况和以往统计数据分析，在这个该死的周末，至少有数万名浏览过54master（任何一个页面）的用户因自己的系统未打补丁而受到该木马的攻击，可能有数不清的受害者直到看到这张帖时都不知道自己已经中了那个该死的木马。但54master不能坐视不管，我们要对每一位用户负责，即使只少的可怜的人发现54服务器的这一不正常情况，我们也要帮助所有因此带来木马问题的人！于是偶一边将木马向各大杀毒软件上报，一边做感染实验摸清病毒的底细，并用批处理写出了专杀工具，直到发帖的这一刻，内心才稍微平静下来。
下面要告诉所有的用户，无论你是注册用户还是一名游客，请务必认真关注一下：

感染该木马最明显的特征是你的c:\program files目录下找不到winrar了。虽然你心里很清楚winrar就是装在这个目录下的，但它跑到哪去了呢？？实际上是被病毒给加上了“系统”和“隐藏”属性，如果你没有显示系统文件和隐藏文件的话，当然是看不到的。那么我们直接在“运行”里输入c:\program files\winrar进入，发现多了5个文件：

msn.dll和msn.com同样被加上了“系统”和“隐藏”属性，而且msn.dll会插入到Explorer的进程中，其他四个文件可直接删除。另外，该木马可能会从网上下载名为1.exe和2.exe的两个其他病毒，目前我已通知这两个病毒所在的服务器管理员进行处理。

更重要的是，你感染这个病毒因为两个原因，一个是因为你浏览的网页被攻击者放上了木马，另一个重要原因是你的系统并未打上MS06-14漏洞补丁，该漏洞可以导致你在通过浏览器浏览网页时自动下载并执行页面中隐藏的恶意程序。点这里检查你的系统是否存在此漏洞。如果你的系统存在此漏洞，现在亡羊补牢还来的及，要下载补丁和了解漏洞详细情况请到这里：http://www.microsoft.com/china/technet/Security/bulletin/ms06-014.mspx

===================================================================================================

该病毒的手动杀毒方法（推荐使用手工杀毒）：
步骤一：
运行regedit打开注册表编辑器，依次打开[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]，在右边窗口中找到Userinit，将其值修改为%systemroot%\syst\userinit.exe, ，请注意最后有个英文的逗号。

步骤二：
首先设置系统文件和隐藏文件可见，然后进入c:\program files\winrar目录，删除可能存在的以下几个文件：msn.com、msn.dll、1.txt、2.txt、internat5.exe、internat1.exe。删除时可能msn.dll文件不允许删除，提示系统正在使用，请结束掉explorer的进程再删除，或者重新启动一下，然后再删除msn.dll。

步骤三：
运行cleanmgr.exe，选择C盘，清理掉所有的系统临时文件。打开IE，依次选择工具——Internet选项——删除临时文件，这样即可清理掉所有的IE临时文件。

步骤四：
检查系统是否存在MS06-14漏洞（点这里检查），如果存在请立刻打上补丁。

瑞星卡卡安全论坛