帮我看看哪个是病毒 bbs.ikaka.com

完美的童话 - 2009-2-19 22:22:00

昨天晚上中的病毒，然后还原了一次。今天瑞星就一直提示有一些数字.exe的文件修改注册表。还每隔一小时提示一次发现病毒。删除了也不好使。大家帮我看看怎么解决啊
病毒名称处理结果发现日期查杀方式访问染毒文件的进程文件
Trojan.DL.Win32.Mnless.cfj 删除染毒文件成功 2009-02-17 20:48:15 文件监控 C:\WINDOWS\TEMP\77.EXE C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\A351.EXE>>upx_c
Trojan.DL.Win32.Mnless.cfj 删除染毒文件成功 2009-02-17 19:48:17 文件监控 C:\WINDOWS\TEMP\77.EXE C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\A351.EXE>>upx_c
Trojan.DL.Win32.Mnless.cga 不处理 2009-02-19 21:40:38 文件监控 C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\KZDGZRTEWEO.EXE C:\DOCUME~1\ADMINI~1\LOCALS~1\TEMP\SETUP.EXE
Trojan.Win32.QQFish.bh 删除染毒文件成功 2009-02-17 19:48:15 文件监控 C:\WINDOWS\TEMP\69.EXE C:\WINDOWS\TEMP\76.EXE>>upack0.39
Trojan.Win32.QQFish.bm 删除染毒文件成功 2009-02-19 20:00:39 文件监控 C:\WINDOWS\TEMP\81.EXE>>upack0.39
Trojan.Win32.QQFish.bm 删除染毒文件成功 2009-02-19 18:59:01 文件监控 C:\WINDOWS\TEMP\78.EXE>>upack0.39

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler 4.0)

附件: 新建文本文档.txt

附件: 新建文本文档 (2).txt

happysunday2003 - 2009-2-19 22:42:00

[c:\windows\system32\usmt\omrvhsvc.dll] [N/A, ]

[基于 Microsoft 的 Windows 程序和组件颁发的事件消息 / Rasmgrsvc][Running/Auto Start]
<C:\WINDOWS\system32\wdnveulv.exe><N/A>

上多引擎扫描网上扫下这两个文件

超级游戏迷 - 2009-2-19 22:56:00

以下服务项目异常：
[基于 Microsoft 的 Windows 程序和组件颁发的事件消息 / Rasmgrsvc][Running/Auto Start]
<C:\WINDOWS\system32\wdnveulv.exe><N/A>

建议将以下文件用冰刃找到，分别用冰刃右键的“copy to……”或“复制……”弄到其他目录下，然后用WINRAR分别压缩，将压缩包提交“可疑文件交流区”鉴定：
C:\WINDOWS\system32\usmt\eenlsin.dll
C:\WINDOWS\system32\wdnveulv.exe
c:\windows\system32\usmt\omrvhsvc.dll

完美的童话 - 2009-2-19 22:56:00

两个文件都有杀软报毒，可是删不掉，请确定磁盘未满或未被写保护而且文件未被使用

超级游戏迷 - 2009-2-19 23:03:00

引用:

原帖由 完美的童话 于 2009-2-19 22:56:00 发表
两个文件都有杀软报毒，可是删不掉，请确定磁盘未满或未被写保护而且文件未被使用

先看3楼，我看到3个可疑的东西……

建议用瑞星再扫描一下我多看的那个，如果瑞星不报，建议提交“可疑文件交流区”鉴定。

文件删不掉，是因为文件在被系统调用，日志中显示：

[PID: 872 / SYSTEM][C:\WINDOWS\system32\wdnveulv.exe] [N/A, ]
创建了进程，正在运行中的文件当然无法删除；

[PID: 4088 / SYSTEM][C:\WINDOWS\system32\svchost.exe] [(Verified) Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[c:\windows\system32\usmt\omrvhsvc.dll] [N/A, ]
病毒文件已经插入系统的核心进程，当然无法删除；

我看到的第三个文件：
[PID: 1668 / Administrator][C:\WINDOWS\Explorer.EXE] [(Verified) Microsoft Corporation, 6.00.2900.3156 (xpsp_sp2_gdr.070613-1234)]
[C:\WINDOWS\system32\usmt\eenlsin.dll] [, 9.0.0.50]
插入系统资源管理器进程，当然无法删除。

鉴于病毒文件已经插入系统核心进程，建议用XDELBOX的“立即重启执行删除”功能将它们一次性解决掉，重启后再删除那个无效的服务项目（用SRENG扫描工具）。

完美的童话 - 2009-2-19 23:06:00

瑞星扫描了一次，还是不报毒。我直接用冰刃的强制删除给删了。这就完了吗?

超级游戏迷 - 2009-2-19 23:11:00

引用:

原帖由 完美的童话 于 2009-2-19 23:06:00 发表
瑞星扫描了一次，还是不报毒。我直接用冰刃的强制删除给删了。这就完了吗?

重启电脑后扫描新日志上来。

可以的话尽量提交可疑文件样本，这样别人就可以不受病毒侵害，谢谢配合……:default7:

完美的童话 - 2009-2-19 23:16:00

重启了，这次开始乱弹网站了，都是网页游戏的网站。怎么办?回复里怎么传日志啊？

完美的童话 - 2009-2-19 23:18:00

传到上面了

完美的童话 - 2009-2-19 23:22:00

刚才瑞星出了个修改 2009-02-19 23:13:08 C:\PROGRAM FILES\STORMII\MEDIA\TMP\STORM.EXE HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN\START PAGEabout:blank http://www.56fo.cn
我直接给这文件删了，就不弹了。我的日志还有问题吗？

超级游戏迷 - 2009-2-19 23:41:00

【普及知识】：杀毒不等于删除病毒文件，事情不象你想得那么简单……

建议按照以下步骤操作：

一、拔掉网线；

二、运行SRENG扫描工具，直到显示其主界面；

三、运行冰刃，文件--设置--勾选“禁止进线程创建”、“禁止协件功能”--确定；

四、切换到SRENG界面，删除以下服务项目（删除后，先不要重启电脑）：
[Server of Storm Media Contrl center / ccosvr][Running/Auto Start]
<C:\Program Files\StormII\media\tmp\ccosvr.exe><(File is missing)>
[基于 Microsoft 的 Windows 程序和组件颁发的事件消息 / Rasmgrsvc][Stopped/Auto Start]
<C:\WINDOWS\system32\wdnveulv.exe><(File is missing)>
[Uplive Automatic / upausvce][Stopped/Auto Start]
<C:\WINDOWS\system32\svchost.exe -k auscer-->c:\windows\system32\usmt\omrvhsvc.dll><N/A>

五、切换到冰刃窗口，找到和删除以下文件：
C:\Program Files\StormII\media\tmp\ccosvr.exe
C:\WINDOWS\SYSTEM32\xfsvc.ocx
c:\windows\system32\usmt\omrvhsvc.dll

六、在冰刃窗口下，文件--设置--取消“禁止进线程创建”、“禁止协件功能”的勾选--确定；

七、重启电脑。

八、重启后，请分别找到c:\windows\system32\usmt、C:\Program Files\StormII\media\tmp这两个文件夹，双击打开，查看---详细信息，把窗口中的文件名、路径等所有信息显示清楚后，截图发上来。

超级游戏迷 - 2009-2-19 23:49:00

建议楼主卸载暴风影音，用冰刃找到和删除该软件残留的安装目录和其下所有文件，到www.baofeng.com下载安装包，重新安装，怀疑你的暴风安装包有问题（被捆绑恶意软件）。

飞翔地龙 - 2009-2-20 0:32:00

我的电脑也是楼主的这种情况，不过总是提示：
Trojan.DL.Win32.Mnless.cga 不处理
怎么办啊？

瑞星卡卡安全论坛