前因：访问武汉理工大学网络学院(http://wutde.whut.edu.cn/) 后中此病毒

症状：不定时弹出过外广告页，为什么可以这么肯定呢，
因为有的广告页只是网页页面中的一小块，明显是广告病毒程序。

曾用最新病库瑞星（正版）查杀，安全模式兼普通用户模式下均杀过，
效果很不尽人意，意思就是杀不掉，或者检查不出病毒（某些Dll、exe）

经朋友推荐，他拷贝了他的正版木马克星给我，解压缩，
打开后（安全模式）全面查杀系统，得此病毒信息：
c:\MTE3NDI6ODoxNg.exe 发现木马:tro2006-3-12-MT,25105
c:\MTE3NDI6ODoxNg.exe木马已经清除.
木马中分离地址:笞衯闺瀒vus#袼x唗€
c:\sk02.exe 发现木马:tro2005-7-30-VCMnet7 updated 030905,38021
c:\sk02.exe木马已经清除.
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PHIY2FDT\sk02[1].exe 发现木马:tro2005-7-30-VCMnet7 updated 030905,38021
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\PHIY2FDT\sk02[1].exe木马已经清除.
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\QDRBHIY2\MTE3NDI6ODoxNg[1].exe 发现木马:tro2006-3-12-MT,25105
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\QDRBHIY2\MTE3NDI6ODoxNg[1].exe木马已经清除.
木马中分离地址:笞衯闺瀒vus#袼x唗€
c:\WINDOWS\services.exe 怀疑为木马.
c:\WINDOWS\emx6\asappsrv.dll 怀疑为木马.
c:\WINDOWS\emx6\asappsrv.dll 发现广告程序:tro2006-2-13-adware-asappsrv,187904
c:\WINDOWS\emx6\asappsrv.dll广告已经清除.
c:\WINDOWS\emx6\command.exe 怀疑为木马.
c:\WINDOWS\emx6\command.exe 发现木马:tro2006-2-13-co,293888
c:\WINDOWS\emx6\command.exe木马已经清除.

大家注意看，
木马中分离地址:笞衯闺瀒vus#袼x唗€ 这个是个很长的网址，
中毒后不定时弹出的网址（很多不同网址，起码上15个）

VCMnet7、adware 此2病毒名称，没使用过这软件，应该是病毒名称吧？

栽取重要信息：地址如下
c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5

我打开后发现里面有四个文件夹，
每个文件夹里面都有几个病毒程序，是用VB弄的 还有就是 2 到 3个网页

我整理了下它网页的内容，大家请看
1： smartload[1].htm

http://194.187.45.55/MTE3NDI6ODoxNg.exe,c:\MTE3NDI6ODoxNg.exe,,,||http://content.dollarrevenue.com/newname10.exe,c:\windows\newname10.exe,,,||http://content.dollarrevenue.com/mousepad10.exe,c:\windows\mousepad10.exe,,,||http://content.dollarrevenue.com/keyboard10.exe,c:\windows\keyboard10.exe,,,||http://content.dollarrevenue.com/sk02.exe,c:\sk02.exe,,,||http://promo.dollarrevenue.com/webmasterexe/drsmartload45a.exe,c:\drsmartload45a.exe,,,||

是不是很眼熟，上面从网站上下载下来的地址，还有就是安装路径，
部分都在木马克星的查杀内，
而且数量还很多。

2：data[1].htm


ew,http://content.dollarrevenue.com/keyboard10.exe,c:\windows\keyboard10.exe

sp,http://www.findthewebsiteyouneed.com
sb,http://searchbar.findthewebsiteyouneed.com

as,0

rd,http://content.dollarrevenue.com/mousepad10.exe,c:\windows\mousepad10.exe
tb,0
spy,0

exe,http://content.dollarrevenue.com/newname10.exe,c:\windows\newname10.exe
dll,0



还有一个就是我发现它在我注册表启动项目里面自建了个假的用户启动名字

目的估计是用来防止瑞星等杀毒软件开机时候的查杀。


病毒前两天我查杀过，但是今天我开着Q聊天时候发现系统好象在下载东西、然后就是加载，估计是杀毒软件查杀不了它残留下来的程序发作导致从指定网站上下载恶意（病毒）程序下来安装，然后加载。

还有一重要线索，就是用木马克星查杀内存的时候发现 “灰鸽子”病毒

我知道灰鸽子有一让“肉鸡”自动下载地址的网页程序的功能，我想，
如果我机器如果中的前提是灰鸽子病毒，就现在能杀掉这个病毒，以后
控制我机器的坏蛋还是让我加载它的恶意程序的。

c:\WINDOWS\system32\MSDNSD32.exe 怀疑为木马.
c:\WINDOWS\system32\taskhosst.exe 怀疑为木马.


希望大家能帮帮我，或者加我QQ：443520119（可远程协助）

不详细的地方我还会补上，谢谢！

Logfile of HijackThis v1.99.1
Scan saved at 11:53:31, on 2006-4-12
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Network Monitor\netmon.exe
D:\安装\木马克星0409病毒库版\Iparmor\Iparmor.exe
D:\Tencent\QQ\QQ.exe
D:\Maxthon\Max.exe
D:\kill\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - C:\WINDOWS\DH.dll (file missing)
O2 - BHO: ltmenu Class - {78C21EFD-53BA-406C-AF1A-33A38ABD3958} - C:\Program Files\LtUcx\1002\c0.dll (file missing)
O3 - Toolbar: 电台(&R) - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O8 - Extra context menu item: &使用迅雷下载 - D:\Thunder\geturl.htm
O8 - Extra context menu item: &使用迅雷下载全部链接 - D:\Thunder\getallurl.htm
O8 - Extra context menu item: 上传到QQ网络硬盘 - D:\Tencent\QQ\AddToNetDisk.htm
O8 - Extra context menu item: 添加到QQ自定义面板 - D:\Tencent\QQ\AddPanel.htm
O8 - Extra context menu item: 添加到QQ表情 - D:\Tencent\QQ\AddEmotion.htm
O8 - Extra context menu item: 用QQ彩信发送该图片 - D:\Tencent\QQ\SendMMS.htm
O9 - Extra button: 视频聊天 - {6924091F-CD97-41E1-B1D4-D9079409D413} - http://www.liantang.net (file missing)
O9 - Extra 'Tools' menuitem: 视频聊天 - {6924091F-CD97-41E1-B1D4-D9079409D413} - http://www.liantang.net (file missing)
O9 - Extra button: 寻论网--中学作业解答 - {6924091F-CD97-41E1-B1D4-D9079409D423} - http://www.xunlun.com (file missing)
O9 - Extra 'Tools' menuitem: 中学作业 - {6924091F-CD97-41E1-B1D4-D9079409D423} - http://www.xunlun.com (file missing)
O9 - Extra button: QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Tencent\QQ\QQ.EXE
O9 - Extra 'Tools' menuitem: 腾讯QQ - {c95fe080-8f5d-11d2-a20b-00aa003c157b} - d:\Tencent\QQ\QQ.EXE
O9 - Extra button: (no name) - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Tencent\QQ\QQIEHelper.dll
O9 - Extra 'Tools' menuitem: QQ炫彩工具条设置 - {DEDEB80D-FA35-45d9-9460-4983E5A8AFE6} - d:\Tencent\QQ\QQIEHelper.dll
O14 - IERESET.INF: START_PAGE_URL=http://zjoa.gmcc.net
O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://www.liaoba.com/talk.cab
O16 - DPF: {7253A666-8D4A-11D7-A4DC-00E04C504779} (BDC Control) - http://www.y56.com/BDC.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{124D8C00-38D1-484F-B603-F4C174B330EC}: NameServer = 202.96.128.86 202.96.128.166
O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: RsRavMon Service (RsRavMon) - Beijing Rising Technology Co., Ltd. - C:\Program Files\Rising\Rav\Ravmond.exe

国际惯例，自己先顶

好的，谢谢