瑞星卡卡安全论坛

登录时被自动注销关机
rt，电脑刚输入用户名密码后，提示“windows正在登录”，接着就提示“正在注销”，然后“windows正在关机”就被关机了。。。。命令行输入进入msconfig把启动方式重正常启动改为诊断启动后可以登录（安全模式也可以登录），登录后总是有一个类似病毒的进程，每次名字都不一样，极其郁闷，sreng扫描启动项目中有个mnmhhsrv.dll的，删除后刷新仍存在也就是无法删除，附上sreng扫描日志，望各位帮忙谢谢。

从别人电脑上拷贝了userinit.exe在dos下覆盖了 是可以正常进入系统了，不过病毒文件应该还是存在，望各个大侠帮忙看下日志，让我彻底的删除此病毒。（另外还有个症状就是桌面我的电脑的图标被更改为系统不认识的图标，我重新指定电脑图标后正常，不知道这个跟病毒疣没关系）

附件: SREngLOG0715.log

希望楼主将日志作为附件上传

en  已修改

异常项目如下：

注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{8C8D1401-A58D-A81C-CD24-A5915C4517C8}><C:\WINDOWS\system32\mnmhhsrv.dll>  []

驱动程序
[Ntpapi / Ntpapi][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ntpapi.sys><N/A>

浏览器加载项
[DyynoX Class]
  {4E218431-2F07-40BD-A9D3-035324C1F13F} <C:\WINDOWS\Downloaded Program Files\DyynoX.dll, Dyyno>（不知道是啥东西）

正在运行的进程
C:\WINDOWS\mubr.exe（拥有全套厂商签名信息，不过仍然可疑）
C:\WINDOWS\system32\mnmhhsrv.dll
C:\WINDOWS\system32\explorer.exe（这个文件应该是被病毒从c:\windows目录下移动到c:\windows\system32路径下了，c:\windows下的同名文件估计已是病毒的傀儡，这就是“我的电脑”图标改变的根本原因）

建议：将以下文件压缩，把压缩包作为附件上传：
C:\WINDOWS\mubr.exe
C:\WINDOWS\Downloaded Program Files\DyynoX.dll

感谢帮忙，按照您的提示，下载了windows清理助手进行了清理，并把c:\windows/下的exploer.exe用system32下的exploer.exe覆盖了，不过注册表中找不到mnmhhsrv.dll。。。附件中是重新扫描的sreng日志以及那2个文件，帮忙看下还有没啥问题。

附件: SREngLOG0715_v2.log

附件: DyynoX.rar

OK了
没问题了

en 似乎是没有问题了。。。不过桌面那个图标还是有点小问题，桌面上我的电脑的图标要指定用system32下的explorer.exe图标才正常，而用c:\windows下的exploer.exe还是那个系统不认识的图标，尽管windows下的exploer.exe是我用system32下复制粘贴覆盖下去的。把windows下的exploer.exe删除了也会自动生成。。。
本地连接的状态无法打开（可以正常上网。。。）让它在任务栏右下角显示也没有显示。。。

删除那个浏览器加载项，然后重启电脑后，再删除两个文件。
主流杀软都报病毒了，包括瑞星：

文件名称 :	DyynoX.rar
文件大小 :	700962 byte
文件类型 :	RAR archive data, v1d, os
MD5 :	e1e02063937493eed296192785f547ad
SHA1 :	4d2dd7b211b6212d3fdb049e01785cc943cf13a3

扫描结果

扫描结果 :

53%的杀软(19/36)报告发现病毒

软件名称	引擎版本	病毒库版本	病毒库时间	扫描结果	时间
a-squared	3.5.0.22	2008.07.14	2008-07-14	-	3.775
AntiVir	7.8.0.64	7.0.5.117	2008-07-15	TR/Dldr.Agent.Mts.1	27.822
Arcavir	1.0.4	200807141245	2008-07-14	Heur.Win32.I	13.588
AVAST!	1.0.8	080715-0	2008-07-15	-	19.616
AVG	7.5.51.442	270.4.11/1553	2008-07-15	Generic10.BBNK	16.025
BitDefender	7.60825.1379732	7.20017	2008-07-15	Trojan.Crypt.DJ	26.577
CA (VET)	9.0.0.143	31.6.5956	2008-07-15	Win32/Flsme!generic trojan.	2.083
ClamAV	0.93	7716	2008-07-15	PUA.Packed.UPack-2	0.104
Comodo	2.11	2.0.0.586	2008-07-15	-	2.038
CP Secure	1.1.0.715	2008.07.15	2008-07-15	-	48.370
Dr.Web	4.44.0.9170	2008.07.15	2008-07-15	DLOADER.Trojan	49.445
ewido	4.0.0.2	2008.07.15	2008-07-15	-	5.151
F-Prot	4.4.1.52	20080714	2008-07-14	Possible W32/Threat-SysVenFakU-based!Maximus	20.054
F-Secure	5.51.6100	2008.07.15.04	2008-07-15	Trojan-Downloader.Win32.Agent.vwl [AVP]	43.488
Ikarus	T3.1.01.26	2008.07.15.71098	2008-07-15	-	0.000
Microsoft	1.3704	2008.07.02	2008-07-02	-	7.242
mks_vir	2.01	2008.07.15	2008-07-15	-	0.000
Norman	5.93.01	5.93.00	2008-07-11	W32/Suspicious_U.gen	62.223
nProtect	2008-07-15.00	1689018	2008-07-15	Trojan-Downloader/W32.Small.6748	5.681
Quick Heal	9.50	2008.07.14	2008-07-14	-	3.125
Sophos	2.75.4	4.31	2008-07-15	-	0.000
Sunbelt	3.1.1536.1	2143	2008-07-14	Trojan-Downloader.Win32.Agent.vwl	3.985
The Hacker	6.2.96	v00379	2008-07-12	W32/Behav-Heuristic-060	3.419
VBA32	3.12.8.0	20080714.1831	2008-07-14	-	20.401
ViRobot	20080715	2008.07.15	2008-07-15	-	2.638
VirusBuster	4.5.11.10	10.79.1/594378	2008-06-19	-	23.667
卡巴斯基	5.5.10	2008.07.15	2008-07-15	Trojan-Downloader.Win32.Agent.vwl	3.702
安博士V3	2008.07.15.00	2008.07.15	2008-07-15	Win-Trojan/Agent.977920.B	2.465
江民杀毒	11.0.706	2008.07.15	2008-07-15	TrojanDownloader.Agent.akxc	17.769
熊猫卫士	9.05.01	2008.07.15	2008-07-15	-	4.754
瑞星	20.0	20.53.12.00	2008-07-15	Win32.ExplorerDL.i	2.653
赛门铁克	1.3.0.24	20080714.003	2008-07-14	-	5.716
趋势科技	8.700-1004	5.407.00	2008-07-15	-	1.016
迈克菲	5.2.00	5338	2008-07-14	-	0.000
金山毒霸	2008.1.14.15	2008.7.15.18	2008-07-15	Win32.ExplorerDL.d.77824	3.283
飞塔	2.81-3.11	9.313	2008-07-15	W32/Agent.VWL!tr.dldr	4.578

建议弄完后，用杀软弄个全盘杀毒。

注意：以后每个文件请单独压缩打包，便于区别哪个是病毒……:default2:

o...我瑞星没更新。。是7.03号的没提示。。。更新下杀 谢谢你们。

刚更新了瑞星 解压后单独查DyynoX.dll没查出病毒。。。

回复楼主，你的电脑被人安装上了“暴力关机器”，是由“红色黑客网”下载，现在我将此软件发上来，供各位参考分析。

附件: boligj.zip