感染文件: C:\c.exe>>upack0.39

病毒名: Trojan.Win32.Mnless.zyt



自行用杀软斩杀了一气,Mnless果然名不虚传. 其盗号木马涵盖面积之广几乎已经令人叹为观止了.

但杀掉的大部分只是小病小灾. 罪魁祸首Trojan.Win32.Mnless.zyt还在电脑上耀武扬威.

目前的状况是, 开网页一切正常. 但IE属性里的"使用当前页"是灰的,点不了(也怀疑是黄山IE修复专家弄的). 另外很大的一个问题.我自己弄了个自制网页当IE首页. 这个网页文件是在本地磁盘上的. 当网络书签使. 现在用它的话IE会自动关闭,然后杀软报毒.感染文件: C:\c.exe>>upack0.39 . 病毒名: Trojan.Win32.Mnless.zyt. 无论是杀毒还是删除文件都不行. 我还找不到这个文件的位置,无法手动删除...


真要命啊. 不知道该怎么办.



PS:系统还原被报销了....





诊断报告




诊断时间: 2008-01-24  19:19:10
诊断平台: Microsoft Windows XP  Service Pack 2
IE版本: Internet Explorer V6.0.2900.2180 Build:62900.2180
计算机物理内存:2.00GB - 当前可用内存:1.54GB
100 - 未知 - Process: PnkBstrA.exe [] - C:\WINDOWS\system32\PnkBstrA.exe
R0 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page=http://www.ttjj.com/
R0 - 未知 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=about:blank
R0 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page=about:blank
R0 - 未知 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=about:blank
R0 - 未知 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=about:blank
R1 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL=about:blank
R1 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL=about:blank
R1 - 未知 - HKLM\Software\Microsoft\Internet Explorer\Main,Window Title=Internet Explorer
R1 - 未知 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title=Internet Explorer
O2 - 未知 - BHO: (ThunderAtOnce Class) - [迅雷浏览器高级特性支持模块] - {01443AEC-0FD1-40fd-9C87-E93D1494C233} - C:\Program Files\Thunder\ComDlls\TDAtOnce_Now.dll
O8 - 未知 - Extra context menu item: 使用迅雷下载 - C:\Program Files\Thunder\Program\geturl.htm
O8 - 未知 - Extra context menu item: 使用迅雷下载全部链接 - C:\Program Files\Thunder\Program\getallurl.htm
O8 - 未知 - Extra context menu item: 用比特精灵下载(&B) - C:\Program Files\BitSpirit\bsurl.htm
O16 - 未知 - DPF: {CA234A53-E68D-44D5-A07C-481C051D0C7A} (KVFileUpdate) - http://online1.jiangmin.com/kvbaidukillonline/OLDown.cab
O23 - 未知 - Service: mi-raysat_3dsMax2008_32 [mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit] - "C:\Program Files\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe" - (not running)
O23 - 未知 - Service: mi-raysat_3dsmax9_32 [mental ray 3.5 Satellite (32-bit)] - "F:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe" - (not running)
O23 - 未知 - Service: PnkBstrA [PunkBuster Service Component [v1029] http://www.evenbalance.com] - C:\WINDOWS\system32\PnkBstrA.exe - (running)
O30 - 未知 - HKCU\..\Desktop: [Scrnsave.exe] [] C:\WINDOWS\system32\夜光时钟.SCR
=======================================
100 - 安全 - Process: smss.exe [进程为会话管理子系统用以初始化系统变量，ms-dos驱动名称类似lpt1以及com，调用win32壳子系统和运行在windows登陆过程。] - C:\WINDOWS\System32\smss.exe
100 - 安全 - Process: csrss.exe [客户端服务子系统，用以控制windows图形相关子系统。] - C:\WINDOWS\system32\csrss.exe ObjectDirectory=\Windows SharedSection=1024,3072,512 Windows=On SubSystemType=Windows ServerDll=base
100 - 安全 - Process: WINLOGON.EXE [windows nt用户登陆程序。] - C:\WINDOWS\system32\winlogon.exe
100 - 安全 - Process: services.exe [用于管理windows服务系统进程。] - C:\WINDOWS\system32\services.exe
100 - 安全 - Process: lsass.exe [本地安全权限服务控制windows安全机制。] - C:\WINDOWS\system32\lsass.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k DcomLaunch
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost -k rpcss
100 - 安全 - Process: CCenter.exe [瑞星杀毒软件控制台相关程序。] - C:\Program Files\Rising\Rav\CCenter.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k netsvcs
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k NetworkService
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k LocalService
100 - 安全 - Process: RavMonD.exe [瑞星杀毒软件的一部分。] - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
100 - 安全 - Process: RavStub.exe [瑞星出品的杀毒软件相关程序。] - C:\PROGRAM FILES\RISING\RAV\RavStub.exe
100 - 安全 - Process: spoolsv.exe [windows打印任务控制程序，用以打印机就绪。] - C:\WINDOWS\system32\spoolsv.exe
100 - 安全 - Process: explorer.exe [windows program manager或者windows explorer用于控制windows图形shell，包括开始菜单、任务栏，桌面和文件管理。] - C:\WINDOWS\Explorer.EXE
100 - 安全 - Process: rundll32.exe [windows rundll32为了需要调用dlls的程序。] - C:\WINDOWS\system32\RUNDLL32.EXE
100 - 安全 - Process: RavTask.exe [瑞星出品的杀毒软件相关程序。] - C:\Program Files\Rising\Rav\RavTask.exe
100 - 安全 - Process: ctfmon.exe [office xp输入法图标。] - C:\WINDOWS\system32\ctfmon.exe
100 - 安全 - Process: RavMon.exe [瑞星杀毒软件防火墙。] - C:\Program Files\Rising\Rav\Ravmon.exe
100 - 安全 - Process: nvsvc32.exe [nvidia driver helper service在nvida显卡驱动中被安装。] - C:\WINDOWS\system32\nvsvc32.exe
100 - 安全 - Process: alg.exe [这是一个应用层网关服务用于网络共享。] - C:\WINDOWS\System32\alg.exe
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\System32\svchost.exe -k HTTPFilter
100 - 安全 - Process: svchost.exe [service host process是一个标准的动态连接库主机处理服务。] - C:\WINDOWS\system32\svchost.exe -k imgsvc
100 - 安全 - Process: TTraveler.exe [腾讯出品的一款第三方浏览器软件，支持多窗口。] - C:\Program Files\Tencent\TT\TTraveler.exe
100 - 安全 - Process: 360Safe.exe [360安全卫士相关程序。] - C:\Program Files\360safe\360Safe.exe
100 - 安全 - Process: 360tray.exe [360安全卫士实时监控程序。] - C:\Program Files\360safe\safemon\360Tray.exe
R1 - 安全 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page=about:blank
R1 - 安全 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page=about:blank
O2 - 安全 - BHO: (Thunder Browser Helper) - [迅雷附带下载监视器相关文件。] - {889D2FEB-5411-4565-8998-1DD2C5261283} - C:\Program Files\Thunder\ComDlls\xunleiBHO_Now.dll
O4 - 安全 - HKLM\..\Run: [NvCplDaemon] [是NVIDIA显示卡相关动态链接库文件。] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - 安全 - HKLM\..\Run: [NvMediaCenter] [是NVidia显示卡相关文件。] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - 安全 - HKLM\..\Run: [nwiz] [是NVidia的Nview特性相关程序。该程序用于用户对其特性进行配置，将桌面扩展到多台显示器上。 ] nwiz.exe /install
O4 - 安全 - HKLM\..\Run: [RavTask] [瑞星杀毒软件的任务计划程序。] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - 安全 - HKCU\..\Run: [ctfmon.exe] [office xp输入法图标。] C:\WINDOWS\system32\ctfmon.exe
O8 - 安全 - Extra context menu item: 导出到 Microsoft Office Excel(&X) - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O18 - 安全 - Protocol: OFFICE 相关 - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
O21 - 安全 - Protocol Icons: HKCR\http\shell\open\command - "C:\Program Files\Tencent\TT\TTraveler.exe" "%1"
O21 - 安全 - Protocol Icons: HKCR\ftp\shell\open\command - "C:\Program Files\Tencent\TT\TTraveler.exe" "%1"
O21 - 安全 - Protocol Icons: HKCR\https\shell\open\command - "C:\Program Files\Tencent\TT\TTraveler.exe" "%1"
O21 - 安全 - Protocol Icons: HKCR\htmlfile\shell\open\command - "C:\Program Files\Tencent\TT\TTraveler.exe" "%1"
O23 - 安全 - Service: Autodesk Licensing Service [Autodesk的服务程序。] - "C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe" - (not running)
O23 - 安全 - Service: NVSvc [是NVIDIA显示卡相关程序。] - C:\WINDOWS\system32\nvsvc32.exe - (running)
O23 - 安全 - Service: RsCCenter [是瑞星杀毒软件控制台相关程序。] - "C:\Program Files\Rising\Rav\CCenter.exe" - (running)
O23 - 安全 - Service: RsRavMon [是瑞星杀毒软件相关监控程序。] - "C:\PROGRAM FILES\RISING\RAV\Ravmond.exe" - (running)
=======================================
O31 - 未知 - SEApproved: {42071714-76d4-11d1-8b24-00a0c9068ff3} - deskpan.dll -  -  -  - 0 -
O31 - 未知 - SEApproved: 无效的CLSID：Shell extensions for file compression -  -  -  -  - 0 -
O31 - 未知 - SEApproved: 无效的CLSID：加密上下文菜单 -  -  -  -  - 0 -
O31 - 未知 - SEApproved: {0DF44EAA-FF21-4412-828E-260A8728E7F1} -  -  -  -  - 0 -
O31 - 未知 - SEApproved: {00E7B358-F65B-4dcf-83DF-CD026B94BFD4} -  -  -  -  - 0 -
O31 - 未知 - SEApproved: {7A9D77BD-5403-11d2-8785-2E0420524153} -  -  -  -  - 0 -
O31 - 未知 - SEApproved: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - C:\Program Files\WinRAR\rarext.dll -  -  -  - 125440 - 41bb01bd6b374ce13c98493ab4c1ad66
O31 - 未知 - SEApproved: {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4} - C:\Program Files\Real\RealPlayer\rpshell.dll - RealNetworks, Inc. - RealPlayer Shell Extensions - 1.0.1.2237 - 49198 - d6315dc9fcc6c62fd54e02f0907030e3
O31 - 未知 - SEApproved: {A70C977A-BF00-412C-90B7-034C51DA2439} - C:\WINDOWS\system32\nvcpl.dll - NVIDIA Corporation - NVIDIA Display Properties Extension - 6.14.11.6902 - 8527872 -
O31 - 未知 - SEApproved: {FFB699E0-306A-11d3-8BD1-00104B6F7516} - C:\WINDOWS\system32\nvcpl.dll - NVIDIA Corporation - NVIDIA Display Properties Extension - 6.14.11.6902 - 8527872 -
O31 - 未知 - SEApproved: {1CDB2949-8F65-4355-8456-263E7C208A5D} - C:\WINDOWS\system32\nvshell.dll -  -  - 6.14.10.11126 - 466944 - b7de2edb2a6568feea0e4b2a8ad75065
O31 - 未知 - SEApproved: {1E9B04FB-F9E5-4718-997B-B8DA88302A47} - C:\WINDOWS\system32\nvshell.dll -  -  - 6.14.10.11126 - 466944 - b7de2edb2a6568feea0e4b2a8ad75065
O31 - 未知 - SEApproved: {1E9B04FB-F9E5-4718-997B-B8DA88302A48} - C:\WINDOWS\system32\nvshell.dll -  -  - 6.14.10.11126 - 466944 - b7de2edb2a6568feea0e4b2a8ad75065
O31 - 未知 - SEApproved: {e82a2d71-5b2f-43a0-97b8-81be15854de8} - C:\WINDOWS\system32\dfshim.dll - Microsoft Corporation - Application Deployment Support Library - 2.0.50727.42 - 83456 - b3511383c8be3a8c5b88a78971fc1141
O31 - 未知 - SEApproved: {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75} - C:\WINDOWS\system32\dfshim.dll - Microsoft Corporation - Application Deployment Support Library - 2.0.50727.42 - 83456 - b3511383c8be3a8c5b88a78971fc1141
O31 - 未知 - Directory Menu: {B41DB860-8EE4-11D2-9906-E49FADC173CA} - C:\Program Files\WinRAR\rarext.dll -  -  -  - 125440 - 41bb01bd6b374ce13c98493ab4c1ad66
O31 - 未知 - BootExecute: bsmain -  -  -  - 0 -
O31 - 未知 - BootExecute:  -  -  -  - 0 -
O31 - 未知 - LSA: Security Packages - sv1_0.dll -  -  -  - 0 -
O31 - 未知 - LSA: Security Packages - channel.dll -  -  -  - 0 -


[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; .NET CLR 2.0.50727)

=======================================
O40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\system32\nvcpl.dll - NVIDIA Display Properties Extension -
O40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\system32\NVRSZHC.DLL - NVIDIA Simplified Chinese language resource library - 4f2e1228b86d6ca4c7a0a8f87fbcc4a0
O40 - Explorer.EXE - NVIDIA Corporation - C:\WINDOWS\system32\nvapi.dll - NVIDIA NVAPI Library, Version 169.02  - 2cf05e3e79bb45c9d5961e08ff341366
O40 - Explorer.EXE -  - C:\WINDOWS\system32\nvshell.dll -  - b7de2edb2a6568feea0e4b2a8ad75065
O40 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\dfshim.dll - Application Deployment Support Library - b3511383c8be3a8c5b88a78971fc1141
O40 - Explorer.EXE - Microsoft Corporation - C:\WINDOWS\system32\mscoree.dll - Microsoft .NET Runtime Execution Engine - 1ab73adc16af030acd595654183410a4
O40 - RUNDLL32.EXE - NVIDIA Corporation - C:\WINDOWS\system32\NvMcTray.dll - NVIDIA Media Center Library - 63119508d5c41435c96068648aa88bbc
O40 - RUNDLL32.EXE - NVIDIA Corporation - C:\WINDOWS\system32\nvapi.dll - NVIDIA NVAPI Library, Version 169.02  - 2cf05e3e79bb45c9d5961e08ff341366
O40 - RUNDLL32.EXE - NVIDIA Corporation - C:\WINDOWS\system32\NVRSZHC.DLL - NVIDIA Simplified Chinese language resource library - 4f2e1228b86d6ca4c7a0a8f87fbcc4a0
=======================================
O41 - JRAID - JMicron JR036X RAID Driver - C:\WINDOWS\system32\drivers\Jraid.sys - (running) - JMicron JR036X RAID Driver - JMicron Technology Corp. - f64fc8ff777ca76a81c097df7641306d
O41 - sptd - sptd - C:\WINDOWS\system32\drivers\sptd.sys - (running) -  -  -
O41 - ENTECH - ENTECH - C:\WINDOWS\system32\drivers\Entech.sys - (not running) -  - EnTech Taiwan - fd9fc82f134b1c91004ffc76a5ae494b
O41 - npkcrypt - npkcrypt - C:\Program Files\QQ2006\npkcrypt.sys - (not running) -  -  -
=======================================
360Safe.exe=3.7.0.1005
AntiAdwa.dll=3.6.3.1001
AntiEng.dll=3.6.4.1001
AntiActi.dll=2.0.0.3000
CleanHis.dll=3.0.2.1000
live.dll=1.0.1.1021
=======================================
操作历史报告：
----------清理恶评及系统插件历史----------
2008-01-24 14:01
清理恶评软件 - 盗号木马 -
清理恶评软件 - 机战盗号木马 -
清理恶评软件 - Wn_Sys木马程序 -
2008-01-24 15:39
清理恶评软件 - dllhost32 -
清理恶评软件 - 流行木马残留文件 -
2008-01-24 16:17
清理恶评软件 - 流行木马残留文件 -
2007-12-26 21:09
清理恶评插件 - CmdLineExt -
清理恶评插件 - 百度超级搜霸 - C:\Program Files\baidu\bar
2007-12-26 21:09
清理恶评插件 - CmdLineExt -
清理恶评插件 - 百度超级搜霸 - C:\Program Files\baidu\bar
2007-12-26 21:09
清理恶评插件 - CmdLineExt -
清理恶评插件 - 百度超级搜霸 - C:\Program Files\baidu\bar
2008-01-24 13:57
清理恶评插件 - 盗号木马 - C:\WINDOWS\Fonts\rarjfpi.dll
清理恶评插件 - 机战盗号木马 - C:\WINDOWS\Fonts\rsjzbpm.dll
清理恶评插件 - Wn_Sys木马程序 - C:\PROGRA~1\INTERN~1\PLUGINS\Wn_Sys8x.Sys
2008-01-24 13:57
清理恶评插件 - 未知系统文件镜像劫持 -
2008-01-24 14:05
清理恶评插件 - 流行木马残留文件 - C:\WINDOWS\kfnrthoh.dll
清理恶评插件 - dllhost32 - C:\WINDOWS\Fonts\system\ati2evxx.exe
清理恶评插件 - pkeusvq(Auto) -
清理恶评插件 - 未知系统文件镜像劫持 -
清理恶评插件 - Wxptdi下载器 - C:\WINDOWS\system32\wxptdi.sys
清理恶评插件 - Msskye木马程序 - C:\WINDOWS\system32\drivers\msaclue.sys
2008-01-24 15:34
清理恶评插件 - pkeusvq(Auto) -
清理恶评插件 - 未知系统文件镜像劫持 -
清理恶评插件 - Wxptdi下载器 -
2008-01-24 16:15
清理恶评插件 - 流行木马残留文件 - C:\WINDOWS\kiefncol.dll
2008-01-24 18:10
清理恶评插件 - 未知系统文件镜像劫持 -
----------全面诊断修复历史----------
2008-01-24 16:14
100 - 未知 - wiasoisao.exe - C:\WINDOWS\wiasoisao.exe
O4 - 未知 - wiasoisao - wiasoisao.exe
2008-01-24 16:33
O6 - 危险 - 禁止IE首页相关设置 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel
O6 - 危险 - 禁止IE相关功能 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions
O6 - 危险 - 禁止IE相关功能 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions
2008-01-24 16:34
100 - 未知 - wiasoisao.exe - C:\WINDOWS\wiasoisao.exe
=======================================