瑞星卡卡安全论坛

请高手帮忙~~~我中了一个病毒~~~
如今有种上网色变的感觉~~~昨天上网找了点工具~~~
结果中了好多的流氓软件，木马和病毒~~~经过一番清理之后~~~
病毒基本干净了~~~结果今天打开电脑~~~提示LSASS.EXE系统进程找不到结点~~~
无法进入系统自动重起了~~~然后我恢复上次的正确配置进入了系统~~~
开始还比较正常~~~之后电脑里又出现了昨天的病毒~~~经过检查是运行迅雷和QQ激活的~~~
我重装了迅雷和QQ运行之后~~~C:\Program Files目录下生成了一个AvRack目录里面只有一个问题CNNE.exe瑞星检查没反应~~~进程里多了一个CNNE.exe的进程~~~我检查C盘，单独检查迅雷和QQ都没病毒提示~~~病毒特征开始就进程里就一个CNNE.exe进程可能是没连网的关系~~~没进一步恶化~~~进一步的效果是AvRack目录里生成N个文件大概有8个吧~~~其中有可以被杀出来的~~~WINDOWS目录里生成一个图片病毒~~~SYSTEM目录里生成3个文件其中一个是iexplore.exe~~~SYSTEM32里生成3个文件（其中一个删除了就会提示找不到结点）~~~一般的TEMP临时文件夹里多出了好多病毒文件~~~还有iexplore临时文件里也有好多病毒文件夹~~~关键的是服务里多了一个WIN....什么的服务，描述是远程IP什么的~~~卡卡还发现应用程序初始化连接库连接的是那个图片病毒~~~可能还有别的~~~暂时没发现~~~
这是木马克星的部分检查报告：
C:\Program Files\Rising\Rav\RavScrCh.dll文件被系统注入: C:\Program Files\Internet Explorer\iexplore.exe 程序
C:\WINDOWS\System32\WINABCX.IME文件被系统注入: C:\Program Files\Internet Explorer\iexplore.exe 程序
C:\Program Files\Thunder Network\Thunder\ComDlls\XunLeiBHO_004.dll文件被系统注入: C:\Program Files\Internet Explorer\iexplore.exe 程序
C:\WINDOWS\system32\3721.8.dll文件被系统注入: C:\WINDOWS\Explorer.EXE 程序
C:\WINDOWS\System32\WINABCX.IME文件被系统注入: D:\[ROCK]备份\Tencent\QQ\QQ.exe 程序
C:\WINDOWS\System32\windhcp.ocx文件被系统注入: C:\WINDOWS\Explorer.EXE 程序
C:\WINDOWS\75976M.BMP文件被系统注入: [System Process] 程序
C:\WINDOWS\System32\Cnscheck100.dll文件被系统注入: [System Process] 程序
C:\WINDOWS\System32\windhcp.ocx文件被系统注入: [System Process] 程序
C:\WINDOWS\System32\Cnscheck100.dll文件被系统注入: C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe 程序
C:\WINDOWS\System32\Cnscheck100.dll文件被系统注入: C:\WINDOWS\System32\ctfmon.exe 程序
C:\WINDOWS\System32\Cnscheck100.dll文件被系统注入: C:\WINDOWS\explorer.exe 程序
C:\WINDOWS\System32\windhcp.ocx文件被系统注入: C:\WINDOWS\explorer.exe 程序
C:\WINDOWS\System32\WINABCX.IME文件被系统注入: D:\[ROCK]备份\Tencent\QQ\QQ.exe 程序
请高手帮忙分析一下~~~需要什么别的东西请说一下~~~

怎么就没有高手来发表点看法啊~~~我自己顶上去~~~

看来我遇到的问题~~~高手也爱莫能助了~~~

终于干掉了那个病毒~~~原来自己也算个小高手了~~~呵呵~~~
感觉病毒为什么能一直被激活~~~原来那个病毒针对QQ，迅雷WINRAR这些常用工具~~~而做了假名的临时备份~~~TMP临时文件~~~其实只是为了来掩饰自己是病毒的~~~只不过这次美中不足的是瑞星18.55.42最新版依然对病毒的初始文件没有反应~~~病毒用临时文件掩饰的也就是他的初始文件~~~难怪我清干净一遍后又杀了一遍毒会没有效果~~~希望瑞星快些更新~~~

既然楼主已经搞定了，本来也不需要再说什么。不过，楼主提供的信息，除了前面杂乱无章的描述（产生了什么文件，连文件名、注册表项很多都没有提及到），就只有后面的木马克星的报告有那么一点参考价值。所以，在只有楼主所说的这点情况的前提下，也只能针对那个报告给出方法了
就此报告提及的东西，大概处理方法：
用SREng在“启动项目”-“注册表”中选中此项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><75976M.BMP> []
双击，删除“值”中的75976M.BMP

再删除以下项目：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{9A0CFC58-5A6F-41ba-9FFE-4320F4F62FB1}><C:\WINDOWS\system32\Cnscheck100.dll> []

同样用SREng在“启动项目”-“服务”-“Win32服务应用程序”中删除以下项目：
[Windows DHCP Service / WinDHCPsvc]
<C:\WINDOWS\system32\rundll32.exe windhcp.ocx,start><Microsoft Corporation>

在“系统修复”-“浏览器加载项”中删除：
[]
{E42222A2-B6E6-4242-A943-CDC0415AD763} <C:\WINDOWS\system32\3721.8.dll, 3721公司<推荐使用>>

并且很有可能还有以下服务项目：
[host Service For Windows / mshostsr]
<C:\WINDOWS\mshostsr.exe><N/A>
或
[host Service For Windows / mshost]
<C:\WINDOWS\mshost.exe><N/A>
也应该一并删除

重启到安全模式下，删除：
C:\WINDOWS\system32\Cnscheck100.dll
C:\WINDOWS\System32\windhcp.ocx
C:\WINDOWS\system32\3721.8.dll
以及上面所说的可能有的服务项的对应文件

斑竹说只有文章没有很清楚的信息~~~因为我不想让病毒再次被激活~~~可就当我刚搞定的时候病毒又被激活了~~~正好我把病毒的相关资料发给了瑞星~~~不过还是很遗憾~~~直到现在的瑞星18.56.02还是没办法检查出那个文件是病毒~~~病毒的初体是一个17KB的CNNE.exe文件被放在C:\Program Files\AvRack目录下~~~而且当CNNE.exe被激活就是有了CNNE.EXE的进程时~~~而且还没扩散的情况下~~~正在运行的QQ,迅雷和WINRAR都会被感染~~~同时在相关目录下生成大小为17KB名字为QQ,迅雷和WINRAR主程序同名扩展名为TMP的临时文件~~~当感染QQ,迅雷和WINRAR被运行时病毒被激活~~~特别说明2006版的QQ还会被感染QQ空间~~~也就是我为什么清除病毒后病毒又会被激活的原因了~~~至于病毒扩散出好多的病毒的原因~~~暂时还不清除~~~不过被扩散的病毒多数都检查的出来~~~75976M.BMP这个图片病毒用UNLOCKER也可以删除并清除相关关联信息~~~所以中了此病毒的朋友最关键的是先清除病毒然后检查QQ,迅雷和WINRAR避免病毒被再次激活~~~

我也中了这个毒,不过感染的不严重:

    我没有在启动项，windows服务，系统服务，驱动中看到任何异常（可能是每次cnne.exe一生成就被我删除了，来不及做太多的手脚,所以那些位图病毒,服务,注册表项我都没有看到)。

    病毒感染了我的文件:winrar.exe,magicflash.exe,qzone.exe,timplatform.exe.而qq.exe则没有被感染(因为平时用的是TM),生成的文件名就是原文件名加.tmp,例如winrar.exe.tmp

我也中了耶！
可是我的AvRack目录在D盘！
我的QQ装在D盘！
我应该怎么清除呀？？