12   1  /  2  页   跳转

[已解决] 登录时被自动注销关机

登录时被自动注销关机

登录时被自动注销关机
rt,电脑刚输入用户名密码后,提示“windows正在登录”,接着就提示“正在注销”,然后“windows正在关机”就被关机了。。。。命令行输入进入msconfig把启动方式重正常启动改为诊断启动后可以登录(安全模式也可以登录),登录后总是有一个类似病毒的进程,每次名字都不一样,极其郁闷,sreng扫描启动项目中有个mnmhhsrv.dll的,删除后刷新仍存在也就是无法删除,附上sreng扫描日志,望各位帮忙谢谢。

从别人电脑上拷贝了userinit.exe在dos下覆盖了 是可以正常进入系统了,不过病毒文件应该还是存在,望各个大侠帮忙看下日志,让我彻底的删除此病毒。(另外还有个症状就是桌面我的电脑的图标被更改为系统不认识的图标,我重新指定电脑图标后正常,不知道这个跟病毒疣没关系)

附件附件:

下载次数:180
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-15 20:42:31
描述:log

最后编辑jxd107 最后编辑于 2008-07-16 00:22:48
分享到:
gototop
 

回复: 登录时被自动注销关机

希望楼主将日志作为附件上传
gototop
 

回复: 登录时被自动注销关机

en  已修改
gototop
 

回复: 登录时被自动注销关机

异常项目如下:

注册表
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{8C8D1401-A58D-A81C-CD24-A5915C4517C8}><C:\WINDOWS\system32\mnmhhsrv.dll>  []

驱动程序
[Ntpapi / Ntpapi][Stopped/Manual Start]
  <\??\C:\WINDOWS\system32\drivers\ntpapi.sys><N/A>

浏览器加载项
[DyynoX Class]
  {4E218431-2F07-40BD-A9D3-035324C1F13F} <C:\WINDOWS\Downloaded Program Files\DyynoX.dll, Dyyno>(不知道是啥东西)

正在运行的进程
C:\WINDOWS\mubr.exe(拥有全套厂商签名信息,不过仍然可疑)
C:\WINDOWS\system32\mnmhhsrv.dll
C:\WINDOWS\system32\explorer.exe(这个文件应该是被病毒从c:\windows目录下移动到c:\windows\system32路径下了,c:\windows下的同名文件估计已是病毒的傀儡,这就是“我的电脑”图标改变的根本原因)

建议:将以下文件压缩,把压缩包作为附件上传:
C:\WINDOWS\mubr.exe
C:\WINDOWS\Downloaded Program Files\DyynoX.dll
打酱油的……
gototop
 

回复: 登录时被自动注销关机

感谢帮忙,按照您的提示,下载了windows清理助手进行了清理,并把c:\windows/下的exploer.exe用system32下的exploer.exe覆盖了,不过注册表中找不到mnmhhsrv.dll。。。附件中是重新扫描的sreng日志以及那2个文件,帮忙看下还有没啥问题。

附件附件:

下载次数:161
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-15 22:10:27
描述:log

附件附件:

文件名:DyynoX.rar
下载次数:255
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-15 22:10:27
描述:rar

gototop
 

回复:登录时被自动注销关机

OK了
没问题了
gototop
 

回复: 登录时被自动注销关机

en 似乎是没有问题了。。。不过桌面那个图标还是有点小问题,桌面上我的电脑的图标要指定用system32下的explorer.exe图标才正常,而用c:\windows下的exploer.exe还是那个系统不认识的图标,尽管windows下的exploer.exe是我用system32下复制粘贴覆盖下去的。把windows下的exploer.exe删除了也会自动生成。。。
本地连接的状态无法打开(可以正常上网。。。)让它在任务栏右下角显示也没有显示。。。
最后编辑jxd107 最后编辑于 2008-07-15 22:44:30
gototop
 

回复: 登录时被自动注销关机

删除那个浏览器加载项,然后重启电脑后,再删除两个文件。
主流杀软都报病毒了,包括瑞星:

文件名称 :  DyynoX.rar
文件大小 :  700962 byte
文件类型 :  RAR archive data, v1d, os
MD5 :  e1e02063937493eed296192785f547ad
SHA1 :  4d2dd7b211b6212d3fdb049e01785cc943cf13a3

扫描结果
扫描结果 :  53%的杀软(19/36)报告发现病毒
软件名称引擎版本
病毒库版本
病毒库时间
扫描结果
时间
a-squared3.5.0.222008.07.142008-07-14-
3.775
AntiVir7.8.0.647.0.5.1172008-07-15TR/Dldr.Agent.Mts.1
27.822
Arcavir1.0.42008071412452008-07-14Heur.Win32.I
13.588
AVAST!1.0.8080715-02008-07-15-
19.616
AVG7.5.51.442270.4.11/15532008-07-15Generic10.BBNK
16.025
BitDefender7.60825.13797327.200172008-07-15Trojan.Crypt.DJ
26.577
CA (VET)9.0.0.14331.6.59562008-07-15Win32/Flsme!generic trojan.
2.083
ClamAV0.9377162008-07-15PUA.Packed.UPack-2
0.104
Comodo2.112.0.0.5862008-07-15-
2.038
CP Secure1.1.0.7152008.07.152008-07-15-
48.370
Dr.Web4.44.0.91702008.07.152008-07-15DLOADER.Trojan
49.445
ewido4.0.0.22008.07.152008-07-15-
5.151
F-Prot4.4.1.52200807142008-07-14Possible W32/Threat-SysVenFakU-based!Maximus
20.054
F-Secure5.51.61002008.07.15.042008-07-15Trojan-Downloader.Win32.Agent.vwl [AVP]
43.488
IkarusT3.1.01.262008.07.15.710982008-07-15-
0.000
Microsoft1.37042008.07.022008-07-02-
7.242
mks_vir2.012008.07.152008-07-15-
0.000
Norman5.93.015.93.002008-07-11W32/Suspicious_U.gen
62.223
nProtect2008-07-15.0016890182008-07-15Trojan-Downloader/W32.Small.6748
5.681
Quick Heal9.502008.07.142008-07-14-
3.125
Sophos2.75.44.312008-07-15-
0.000
Sunbelt3.1.1536.121432008-07-14Trojan-Downloader.Win32.Agent.vwl
3.985
The Hacker6.2.96v003792008-07-12W32/Behav-Heuristic-060
3.419
VBA323.12.8.020080714.18312008-07-14-
20.401
ViRobot200807152008.07.152008-07-15-
2.638
VirusBuster4.5.11.1010.79.1/5943782008-06-19-
23.667
卡巴斯基5.5.102008.07.152008-07-15Trojan-Downloader.Win32.Agent.vwl
3.702
安博士V32008.07.15.002008.07.152008-07-15Win-Trojan/Agent.977920.B
2.465
江民杀毒11.0.7062008.07.152008-07-15TrojanDownloader.Agent.akxc
17.769
熊猫卫士9.05.012008.07.152008-07-15-
4.754
瑞星20.020.53.12.002008-07-15Win32.ExplorerDL.i
2.653
赛门铁克1.3.0.2420080714.0032008-07-14-
5.716
趋势科技8.700-10045.407.002008-07-15-
1.016
迈克菲5.2.0053382008-07-14-
0.000
金山毒霸2008.1.14.152008.7.15.182008-07-15Win32.ExplorerDL.d.77824
3.283
飞塔2.81-3.119.3132008-07-15W32/Agent.VWL!tr.dldr
4.578
最后编辑超级游戏迷 最后编辑于 2008-07-15 23:09:42
打酱油的……
gototop
 

回复: 登录时被自动注销关机

建议弄完后,用杀软弄个全盘杀毒。

注意:以后每个文件请单独压缩打包,便于区别哪个是病毒……
最后编辑超级游戏迷 最后编辑于 2008-07-15 23:30:29
打酱油的……
gototop
 

回复: 登录时被自动注销关机

o...我瑞星没更新。。是7.03号的没提示。。。更新下杀 谢谢你们。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT