瑞星卡卡安全论坛

我中了这个毒！杀不了，安全模式下也不行。什么杀毒软件都用了，杀木马的也用了，就是不行，进程里找不出可疑的进程，直接删文件说被占用，也没有可疑的程序访问网络，请斑竹帮忙。

我也是同样遭遇

一样，昨天一晚上都没解决掉。卡巴和瑞星都没用。

高手在吗

此病毒好像是注入explorer.exe进程，并写注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce中。病毒根据电脑随机生成6位字母+2位数字的dll文件，不知道它的母文件是哪个？怎么感染的？

中了Trojan-Downloader.Win32.QQHelper.mo,卡巴提示发现: 木马程序 Trojan-Downloader.Win32.QQHelper.mo 文件: C:\WINDOWS\system32\clokqu67.dll,重起也杀不掉!我错手删除了clokqu67.dll文件后,卡巴到是不报警了.可每次开机都会提示找不到动态连接clokqu67.dll,谁来帮帮我啊!!

HijackThis_zww汉化版扫描日志 V1.99.1
保存于      10:24:03, 日期 2006-10-20
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP2 (6.00.2900.2180)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\VIA\RAID\raid_tool.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Gadmei\GADMEI TVR\ScheduleTVR.exe
C:\Program Files\D-Tools\daemon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
D:\DOCUME~1\ADMINI~1\MYDOCU~1\NEROPH~1\data\Xtras\mssysmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Documents and Settings\Administrator\My Documents\Huawei\PortalServer\218.2.135.36\PortalClient.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
F:\eMule\emule.exe
F:\eMule\update\Update.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Thunder\Program\Thunder5.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.016\hijackthis1.99.1汉化第二版(7月16日).exe
C:\Program Files\HijackThis1991汉化版\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
O2 - BHO: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)
O2 - BHO: 超级兔子上网精灵 - {7369D35A-5B70-4A5B-B789-B25FE09B4AF3} - D:\Program Files\Super Rabbit\MagicSet\haokanbar.dll (file missing)
O2 - BHO: ThunderBHO - {889D2FEB-5411-4565-8998-1DD2C5261283} - (no file)
O3 - IE工具栏增项: 雅虎助手 - {406F94F0-504F-4a40-8DFD-58B0666ABEBD} - (no file)
O3 - IE工具栏增项: 超级兔子上网精灵 - {43869BB3-22FD-4F15-9B46-238106BA2F4E} - D:\Program Files\Super Rabbit\MagicSet\haokanbar.dll (file missing)
O4 - 启动项HKLM\\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - 启动项HKLM\\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - 启动项HKLM\\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - 启动项HKLM\\Run: [RaidTool] C:\Program Files\VIA\RAID\raid_tool.exe
O4 - 启动项HKLM\\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - 启动项HKLM\\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - 启动项HKLM\\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - 启动项HKLM\\Run: [StormCodec_Helper] "C:\Program Files\Ringz Studio\Storm Codec\StormSet.exe" /S /opti
O4 - 启动项HKLM\\Run: [yassistse] "C:\PROGRA~1\Yahoo!\Assistant\yassistse.exe"
O4 - 启动项HKLM\\Run: [ScheduleTV] C:\Program Files\Gadmei\GADMEI TVR\ScheduleTVR.exe
O4 - 启动项HKLM\\Run: [DAEMON Tools-2052] "C:\Program Files\D-Tools\daemon.exe"  -lang 2052
O4 - 启动项HKLM\\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - 启动项HKLM\\Run: [RTHDCPL] RTHDCPL.EXE
O4 - 启动项HKLM\\Run: [SkyTel] SkyTel.EXE
O4 - 启动项HKLM\\Run: [Alcmtr] ALCMTR.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [bgswitch] C:\WINDOWS\system32\bgswitch.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] D:\DOCUME~1\ADMINI~1\MYDOCU~1\NEROPH~1\data\Xtras\mssysmgr.exe
O8 - IE右键菜单中的新增项目: &使用迅雷下载 - C:\Program Files\Thunder\Program\GetUrl.htm
O8 - IE右键菜单中的新增项目: &使用迅雷下载全部链接 - C:\Program Files\Thunder\Program\GetAllUrl.htm
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - D:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - D:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - D:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - D:\Program Files\Tencent\QQ\SendMMS.htm
O9 - 浏览器额外的按钮: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder\Thunder.exe
O9 - 浏览器额外的“工具”菜单项: 启动迅雷 - {0062C9BD-B349-40DE-91A0-755F37ACD559} - C:\Program Files\Thunder\Thunder.exe
O9 - 浏览器额外的按钮: Web反病毒保护 - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - 浏览器额外的按钮: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - 浏览器额外的“工具”菜单项: 番茄花园 - {6096E38F-5AC1-4391-8EC4-75DFA92FB32F} - http://www.tomatolei.com (file missing)
O9 - 浏览器额外的按钮: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-151?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - 浏览器额外的“工具”菜单项: 易趣购物 - {BE9C13C3-9E46-4db1-BC05-BD8DA44599F2} - http://adfarm.mediaplex.com/ad/ck/4080-22910-9640-151?cn=song;icon;hp&mpro=http://www.ebay.com.cn (file missing)
O9 - 浏览器额外的按钮: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O9 - 浏览器额外的“工具”菜单项: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Program Files\Tencent\QQ\QQIEHelper.dll
O16 - DPF: {E4E2F180-CB8B-4DE9-ACBB-DA745D3BA153} (Rising Web Scan Object) - http://download.rising.com.cn/register/pcver/autoupgradepad/pcver2006new/OL2006.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O23 - NT 服务: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - NT 服务: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - NT 服务: 卡巴斯基互联网安全套装 6.0 (AVP) - Unknown owner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

大家不要着急,我已经和卡巴斯基技术服务部联系了,把病毒样本和报告已经发过去了,估计很快会有解决方案的

急死了都

我也中毒了。症状一模一样。帮忙看看我的情况。

HijackThis_815汉化版扫描日志 V1.99.1
保存于      23:37:48, 日期 2006-10-21
操作系统：  Windows XP SP2 (WinNT 5.01.2600)
浏览器：    Internet Explorer v6.00 SP1 (6.00.2800.1106)

当前运行的进程：         
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\regedit.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\FlashGet\flashget.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Program Files\WinRAR\WinRAR.exe
C:\Downloads\HijackThis1991zww.exe

R3 - 默认的URLSearchHook丢失。用HijackThis修复
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - IE工具栏增项: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - IE工具栏增项: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - IE工具栏增项: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Program Files\Save Flash\SaveFlash.dll
O3 - IE工具栏增项: (no name) - {39852EFE-325B-45ef-9A60-3DBECD2DDDD5} - C:\WINDOWS\System32\thsbar.dll (file missing)
O4 - 启动项HKLM\\Run: [kis] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] ; "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - IE右键菜单中的新增项目: 上传到QQ网络硬盘 - E:\Program Files\Tencent\QQ\AddToNetDisk.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载 - C:\Program Files\FlashGet\jc_link.htm
O8 - IE右键菜单中的新增项目: 使用网际快车下载全部链接 - C:\Program Files\FlashGet\jc_all.htm
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Excel(&x) - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 导出到 Microsoft Office Excel(&X) - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - IE右键菜单中的新增项目: 添加到QQ自定义面板 - E:\Program Files\Tencent\QQ\AddPanel.htm
O8 - IE右键菜单中的新增项目: 添加到QQ表情 - E:\Program Files\Tencent\QQ\AddEmotion.htm
O8 - IE右键菜单中的新增项目: 用QQ彩信发送该图片 - E:\Program Files\Tencent\QQ\SendMMS.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O17 - HKLM\System\CCS\Services\Tcpip\..\{7929AF33-792D-47A0-B924-4E096EB30777}: NameServer = 202.102.134.68 202.102.128.68
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE00FD9D-8889-4038-9C4F-2DBEF95712FC}: NameServer = 192.168.0.1
O18 - 列举现有的协议: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - NT 服务: 卡巴斯基互联网安全套装 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - NT 服务: Sound Sservice Driver  (Sound Service) - Unknown owner - C:\WINDOWS\System32\cfmon.exe (file missing)

我这边中的是Trojan-Downloader.Win32.QQHelper.fv或者Trojan-Downloader.Win32.QQHelper.fu。
电脑怎么弄都弄不好，好象是一个木马下载变种，带QQ字样的是不是和QQ有关啊？
中毒之后的电脑系统变的很慢，而且有的硬盘可用空间被迅速吃掉，是不是被人入侵了成了别人的肉鸡？

快点解决这个病毒吧  无奈了 这电脑跟裸机机没区别了
我都不知道怎么中的~

我昨天也也中了,卡巴斯基提示说

计算机重启后删除: 木马程序 Trojan-Downloader.Win32.QQHelper.mo文件: C:\WINDOWS\system32\muljuv22.dll

计算机重启后删除: 木马程序 Trojan.Win32.Zapchast.ch文件: C:\WINDOWS\system32\drivers\muljuv22.sys

可是重启后该病毒并未删除....

从昨天开始

感染: 木马程序 Trojan-Downloader.Win32.QQHelper.mo c:\windows\system32\muljuv22.dll 48 KB
感染: 木马程序 Trojan.Win32.Zapchast.ch c:\windows\system32\drivers\muljuv22.sys 7.4 KB


卡巴斯基发现后,手动能当时能杀病毒,但是卡巴斯基提示-----


计算机重启后删除: 木马程序 Trojan-Downloader.Win32.QQHelper.mo 文件: C:\WINDOWS\system32\muljuv22.dll

计算机重启后删除: 木马程序 Trojan.Win32.Zapchast.ch        文件: C:\WINDOWS\system32\drivers\muljuv22.sys


可是每次计算机重启后木马程序病毒还在,请各位高手给点建议.....

http://forum.ikaka.com/topic.asp?board=28&artid=8195687

看5楼的操作

木马查杀软件扫描出受感染N多 就是怎么都隔离不了 更不用说清除了~
今儿更好了  连卡巴都被禁止了~

终于搞定了............


这个病毒在安全模式里用卡巴也删除不掉的，下面是手动的方法。
下载一个叫unlocker的软件，很小的，然后安装。 C:\WINDOWS\system32 下找到病毒文件（文件应该是一个DLL文件，由字母和数字组成的，卡巴应该是能查到这个病毒但是删不了，可以在卡巴里找到这个病毒文件名），右击选择unlocker进行解锁（安装完那个软件后会在右键菜单上生成一个unlocker的菜单项）。然后就可以把病毒文件删除了。再进入C:\WINDOWS\system32\drivers 里找到×.sys文件（×跟之前那个文件同名，只是扩展名不一样）用同样的方法先解锁后删除。然后在运行里输入REGEDIT打开注册表编辑器，分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项）

转引：
下载一个叫unlocker的软件，很小的，然后安装。 C:\WINDOWS\system32 下找到病毒文件（文件应该是一个DLL文件，由字母和数字组成的，卡巴应该是能查到这个病毒但是删不了，可以在卡巴里找到这个病毒文件名），右击选择unlocker进行解锁（安装完那个软件后会在右键菜单上生成一个unlocker的菜单项）。然后就可以把病毒文件删除了。再进入C:\WINDOWS\system32\drivers 里找到×.sys文件（×跟之前那个文件同名，只是扩展名不一样）用同样的方法先解锁后删除。然后在运行里输入REGEDIT打开注册表编辑器，分别在
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
下找到以病毒文件名命名的项并删除(这是删除病毒文件的注册项）

本人已经按此方法杀掉病毒了。建议到华军软件下载多国语言版的