昨天,一位朋友的电脑重装系统没几天就出了问题:正常模式进入桌面后就卡住了,鼠标指针一直为漏斗状,无法操作。请我帮忙检修。
  朋友电脑桌面上有金山毒霸2012的图标,但任务栏托盘区没有金山毒霸监控程序的图标。按 Ctrl+Alt+Del打开任务管理器,发现一些奇怪的进程。估计是中了恶意程序。
  重启电脑到带网络连接的安全模式下,用pe_xscan扫描log并分析,发现如下可疑项:
 

pe_xscan 11-03-17 by Purple Endurer

2012-2-23 10:44:50

Windows XP Service Pack 3(5.1.2600)

MSIE:6.0.2900.5512

管理员用户组

带网络连接的安全模式

[System Process]*0

   C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||

C:\WINDOWS\system32\winlogon.exe*628|2008-4-24 0:14:3|Microsoft(R) Windows(R) Operating System|5.1.2600.5512|Windows NT Logon Application|(C) Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2113)|Microsoft Corporation|?|winlogon|WINLOGON.EXE

   C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||

C:\WINDOWS\system32\svchost.exe*948|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe

   C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

C:\WINDOWS\system32\svchost.exe*1096|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe

   c:\progra~1\%program files%\wdcp.dll|2012-2-21 16:19:42|QQ2010|1, 55, 1870, 1|QQ2010|Copyright ? 2010 Tencent. All Rights Reserved|1, 55, 1870, 1|Tencent||QQ2010|QQ2010

   C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

C:\WINDOWS\system32\svchost.exe*1128|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe

   C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

C:\WINDOWS\system32\userinit.exe*1488|2008-4-14 20:0:0

   C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

 C:\DOCUME~1\Cli5.exe*1496|2012-2-21 16:46:52|EngineClicker|1.00|?|?|1.00|微软中国|?|EngineClicker4|EngineClicker4.exe

   C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||

   C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

C:\WINDOWS\explorer.exe*1520|2008-4-14 20:0:0|Microsoft(R) Windows(R) Operating System|6.00.2900.5512|Windows Explorer|(C) Microsoft Corporation. All rights reserved.|6.00.2900.5512 (xpsp.080413-2105)|Microsoft Corporation|?|explorer|EXPLORER.EXE

   C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||

   C:\Program Files\Common Files\whh37001.ocx|2012-2-21 16:8:6

   C:\WINDOWS\system32\yumsimg32.dll|2012-2-21 16:9:29|Microsoft? Windows? Operating System|5.1.2600.5512|GDIEXT Client DLL|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2105)|Microsoft Corporation|?|gdiext|gdiext

   C:\WINDOWS\system32\sysapp1.dll|2012-2-21 16:11:54

   C:\WINDOWS\system32\sysapp2.dll|2012-2-21 16:9:46

   C:\WINDOWS\system32\sysapp5.dll|2012-2-21 16:12:46

   C:\WINDOWS\system32\sysapp6.dll|2012-2-21 16:11:48

   C:\WINDOWS\system32\sysapp8.dll|2012-2-21 16:9:30

   C:\WINDOWS\system32\sysapp9.dll|2012-2-21 16:12:1

   C:\WINDOWS\system32\sysapp17.dll|2012-2-21 16:12:15

   C:\WINDOWS\system32\sysapp18.dll|2012-2-21 16:12:7

   C:\WINDOWS\system32\sysapp19.dll|2012-2-21 16:10:35

   C:\WINDOWS\system32\sysapp21.dll|2012-2-21 16:12:21

   C:\WINDOWS\system32\sysapp23.dll|2012-2-21 16:10:1

   C:\WINDOWS\system32\sysapp29.dll|2012-2-21 16:11:28

   C:\WINDOWS\system32\sysapp33.dll|2012-2-21 16:11:42

 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\pbhmcv.exe*1980|2012-2-23 10:37:35|DHTMLProject|1.00|?|?|1.00|微软中国|?|1003|1003.exe

   C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||

   C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

F2 – REG: system.ini: UserInit = <C:\WINDOWS\system32\userinit.exe C:\DOCUME~1\Cli5.exe|2008-4-14 20:0:0

F3 – REG: win.ini: load C:\WINDOWS\DNFchin.exe

O4 – HKCU\..\run: [LockIE] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ie.exe /r

O4 – HKLM\..\run: [OpwareSE4]  C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe”

O4 – HKLM\..\run: [] file c:\windows\362.VBS

O4 – HKLM\..\run: [pp_click] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1544937.exe

O4 – HKLM\..\run: [ie] c:\windows\svhot.exe

O4 – HKLM\..\run: [cftmon] C:\Program Files\iexplores\iexplore.exe

O4 – HKLM\..\run: [Lll] %systemroot%\Lll.exe

O4 – Global Startup: 齐秀社区.lnk -> C:\Program Files\qixiu\Qixiu001.exe

 O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel 存在 IE或Internet选项可能受到限制

O10 – LSP: Phoenix11LSP1020211c over MSAFD Tcpip [TCP/IP] = C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

O10 – LSP: Phoenix11LSP1020211c over MSAFD Tcpip [UDP/IP] = C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

O10 – LSP: Phoenix11LSP1020211c over MSAFD Tcpip [RAW/IP] = C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

O10 – LSP: Phoenix11LSP1020211c = C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

O23 – 服务: 6to4 (VMserviceshi) – C:\WINDOWS\sYSTEM32\SVCHOST.EXE -K NETSVCS|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe

  -> C:\Documents and Settings\Local User\userdata.dll|2005-4-19 16:14:0(自动)

O23 – 服务: AppMgmt (Application Management) – C:\WINDOWS\system32\svchost.exe -k netsvcs|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe

  -> C:\Progra~1\%Program Files%\Wdcp.dll|2012-2-21 16:19:42|QQ2010|1, 55, 1870, 1|QQ2010|Copyright ? 2010 Tencent. All Rights Reserved|1, 55, 1870, 1|Tencent||QQ2010|QQ2010(自动)

O23 – 服务: gmsgqn () – C:\Documents and Settings\All Users\Application Data\QEILCRW\gmsgqn.bin|2012-2-21 16:14:36(自动)

O23 – 服务: HidServ (Human Interface Device Access) – C:\WINDOWS\System32\svchost.exe -k netsvcs|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe

  -> C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\feguf.cc3|2012-2-21 16:13:15(自动)

O23 – 服务: jolrdk () – C:\Documents and Settings\All Users\Application Data\QEILCRW\jolrdk.bin(自动)

O23 – 服务: oshajf () – C:\WINDOWS\system32\drivers\oshajf.sys|2012-2-21 16:14:0(自动)

O23 – 服务: rsrqgp () – C:\Documents and Settings\All Users\Application Data\VHQXVVM\rsrqgp.bin(自动)

O23 – 服务: pwimuj () – C:\Documents and Settings\All Users\Application Data\VHQXVVM\pwimuj.bin|2012-2-21 16:47:48(自动)

O23 – 服务: SoftDaemo (SoftDaemo) – C:\WINDOWS\system32\drivers\SoftDaemo.sys|2012-2-23 10:37:26(手动)

O23 – 服务: 系统关键服务 (System Service) – C:\Program Files\smss.exe|2012-2-21 16:7:18|NAdminAPI Module|1, 0, 2, 21|NAdminAPI Module|(c) NHN Corporation. All rights reserved.|1, 0, 2, 21|NHN Corp.|?|NAdminAPI|NAdminAPI.exe(自动)

O25 – InsCom: {AENGFU3AA-B552-11d2-9CBD-0000F87A369E} = C:\WINDOWS\Tyuip\lsasp.exe

O25 – InsCom: {AENGFU3AA-B933-11d2-9CBD-0000F87A369E} = C:\WINDOWS\Qedie\conime.exe

O29 – HKCU-Start Page = hxxp://www.daohangbai.com

O29 – HKUS-Start Page = hxxp://www.114la.com/index.htm

O30 – OpenHttp =  C:\Program Files\Internet Explorer\iexplore.exe” hxxp://www.9966dh.com/?1(CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command) C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch

  启动 Internet Explorer 浏览器.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE hxxp://www.2345.com/?9011

   酷屏.lnk-> 非lnk文件

 C:\Documents and Settings\All Users\「开始」菜单\程序\启动

  齐秀社区.lnk -> C:\Program Files\qixiu\Qixiu001.exe

 C:\Documents and Settings\Default User\Application Data\Microsoft\Internet Explorer\Quick Launch

  启动 Internet Explorer 浏览器.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE hxxp://www.2345.com/?9011

 

 
  有些恶意程序在安全模式下也启动了。
  本来想下载Dr.Web CureIt! 来查杀的,但刚打开下载页面就卡住了!估计是O10组的恶意程序在做怪!
  双于桌面上的金山毒霸查图标,打开金山毒霸查杀病毒,看看毒霸的查杀效果:
 
病毒查杀日志 如下:
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:c:\progra~1\%program files%\wdcp.dll Win32.Troj.DeepScan.b.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Common Files\whh37001.ocx Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp1.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp2.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp5.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp6.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp8.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp9.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp17.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp18.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp19.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp21.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp23.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp29.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp33.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Internet Explorer\MSIMG32.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp1.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp2.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp5.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp6.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp8.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp9.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp17.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp18.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp19.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp21.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp23.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp29.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\sysapp33.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Internet Explorer\MSIMG32.dll Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Documents and Settings\Administrator\桌面\FileInfo.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Progra~1\%Program Files%\Wdcp.dll Win32.Troj.DeepScan.b.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Progra~1\%Program Files%\Wdcp.dll Win32.Troj.DeepScan.b.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\Tyuip\lsasp.exe Win32.TrojDownloader.Agent.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\Qedie\conime.exe Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Documents and Settings\All Users\Application Data\QEILCRW\gmsgqn.bin Win32.Troj.Generic.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\feguf.cc3 Win32.Hack.Unknown.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\feguf.cc3 Win32.Hack.Unknown.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\Drivers\HTTP.sys Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Documents and Settings\All Users\Application Data\QEILCRW\gmsgqn.bin Win32.Troj.Generic.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\drivers\SoftDaemo.sys Win32.Troj.KillAV.nk.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\drivers\http.sys Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:c:\documents and settings\administrator\桌面\FileInfo.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\drivers\oshajf.sys.del Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\drivers\SoftDaemo.sys Win32.Troj.KillAV.nk.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\userinit.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\arp.exe Win32.Hack.Delf.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\asipi.dll Win32.Troj.Generic.c.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\drivers\dv.dll Win32.TrojDownloader.VB.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:D:\daili.exe Win32.Troj.Agent.xb.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:D:\svchost.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\drivers\Setup1.exe Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\drivers\Setupa.exe Win32.Troj.Undef.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\drivers\Setupb.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\drivers\Setupc.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\drivers\smsoft.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:C:\WINDOWS\system32\drivers\svchost.exe Win32.TrojDownloader.VB.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 病毒木马:c:\windows\system32\360ST.exe Win32.Troj.VB.(kcloud) 清除
[2012-02-23 11:50:58] 手动杀毒 C:\WINDOWS\DNFchin.exe 类型:启动项残留 安全级别:可疑  处理方式:清除
[2012-02-23 11:50:58] 手动杀毒 IE主页设置选项存在异常 类型:系统异常项 安全级别:风险  处理方式:修复
[2012-02-23 11:50:58] 手动杀毒 IE默认首页设置存在异常 类型:系统异常项 安全级别:风险  处理方式:修复
[2012-02-23 11:50:58] 手动杀毒 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ie.exe /r 类型:启动项残留 安全级别:可疑  处理方式:清除
[2012-02-23 11:50:58] 手动杀毒 g:\chenhu\chenznwb.exe ch 类型:启动项残留 安全级别:可疑  处理方式:清除
[2012-02-23 11:50:58] 手动杀毒 file:c:\windows\362.VBS 类型:启动项残留 安全级别:可疑  处理方式:清除
[2012-02-23 11:50:58] 手动杀毒 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1544937.exe 类型:启动项残留 安全级别:可疑  处理方式:清除
[2012-02-23 11:50:58] 手动杀毒 c:\windows\svhot.exe 类型:启动项残留 安全级别:可疑  处理方式:清除
[2012-02-23 11:50:58] 手动杀毒 C:\Program Files\iexplores\iexplore.exe 类型:启动项残留 安全级别:可疑  处理方式:清除
[2012-02-23 11:50:58] 手动杀毒 %systemroot%\Lll.exe 类型:启动项残留 安全级别:可疑  处理方式:清除
[2012-02-23 11:50:58] 手动杀毒 IE功能设置被禁用 类型:系统异常项 安全级别:异常  处理方式:修复
[2012-02-23 11:50:58] 手动杀毒 注册表中userinit键值存在异常 类型:系统异常项 安全级别:危险  处理方式:修复
[2012-02-23 11:50:58] 手动杀毒 注册表Shell键值存在异常 类型:系统异常项 安全级别:危险  处理方式:修复
[2012-02-23 11:50:58] 手动杀毒 部分系统服务对应注册表键值和文件异常问题 类型:系统异常项 安全级别:危险  处理方式:修复
[2012-02-23 11:50:58] 手动杀毒 部分系统服务对应文件异常 类型:系统异常项 安全级别:风险  处理方式:修复
[2012-02-23 11:50:58] 手动杀毒 系统常规文件存在异常 类型:系统异常项 安全级别:危险  处理方式:修复
[2012-02-23 11:50:58] 手动杀毒 可疑的启动项 类型:系统异常项 安全级别:危险  处理方式:修复
[2012-02-23 11:50:58] 手动杀毒 系统常用文件存在异常 类型:系统异常项 安全级别:危险  处理方式:修复
[2012-02-23 11:50:58] 手动杀毒 感染型病毒及驻留系统中的病毒残留 类型:系统异常项 安全级别:危险  处理方式:修复
[2012-02-23 11:50:58] 手动杀毒 C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe 类型:可疑启动项 安全级别:未知  处理方式:禁用
[2012-02-23 11:50:58] 手动杀毒 C:\Program Files\Canon\MF Toolbox Ver4.9\MfTBox.exe 类型:可疑启动项 安全级别:未知  处理方式:禁用
[2012-02-23 11:50:58] 手动杀毒 C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLED.EXE 类型:可疑启动项 安全级别:未知  处理方式:禁用
[2012-02-23 11:50:58] 手动杀毒 C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE 类型:可疑启动项 安全级别:未知  处理方式:禁用
[2012-02-23 11:50:58] 手动杀毒 C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE 类型:可疑启动项 安全级别:未知  处理方式:禁用
[2012-02-23 11:50:58] 手动杀毒 C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe 类型:可疑启动项 安全级别:未知  处理方式:禁用
[2012-02-23 11:50:58] 手动杀毒 C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE 类型:可疑启动项 安全级别:未知  处理方式:禁用
[2012-02-23 11:50:58] 手动杀毒 C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE 类型:可疑启动项 安全级别:未知  处理方式:禁用
[2012-02-23 11:50:58] 手动杀毒 C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE 类型:可疑启动项 安全级别:未知  处理方式:禁用
[2012-02-23 11:50:58] 手动杀毒 C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE 类型:可疑启动项 安全级别:未知  处理方式:禁用
[2012-02-23 11:50:58] 手动杀毒 C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE 类型:可疑启动项 安全级别:未知  处理方式:禁用
[2012-02-23 11:50:58] 手动杀毒 C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE 类型:可疑启动项 安全级别:未知  处理方式:禁用
 
  由于userinit.exe被病毒替换了,需要补上一正常的,另外O10项也比较特殊,不修复的话会打不开网页,于是在查杀过程中又下载金山卫士来检修。
 
  毒霸查杀结束后,按提示重启电脑。
 
  系统进入登录界面后反复登录、注销,典型的userinit.exe文件丢失后的症状。
 
  用win pe光盘启动,用U盘从其它电脑中复制了userinit.exe到c:\windows\system32文件夹里。再次重启电脑。
 
  这次顺利进入桌面,毒霸和卫士的监控图标都进驻系统托盘,金山卫士随即提示发现100多个漏洞需要打补丁……
 
附 部分恶意文件信息:
 

文件说明符 : C:\DOCUME~1\Cli5.exe
属性 : A—
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : EngineClicker
公司名称 : 微软中国
内部名称 : EngineClicker4
源文件名 : EngineClicker4.exe
创建时间 : 2012-2-21 16:46:49
修改时间 : 2012-2-21 16:46:52
大小 : 106569 字节 104.73 KB
MD5 : 7e4cd025b1b27f184a48048b9858892a
SHA1: 4D90F828F6D2D85DE0A510A69F3F924FD3F963E6
CRC32: de1c372e

文件说明符 : C:\WINDOWS\DNFchin.exe
属性 : A—
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.2.2.9
说明 : DNF Launcher
版权 : 作者版权所有 请尊重并使用正版
备注 : DNF
产品版本 : 1.2.2.9
产品名称 : DNFchina
创建时间 : 2012-2-21 16:9:56
修改时间 : 2012-2-21 16:10:2
大小 : 5312512 字节 5.68 MB
MD5 : 28efa93866c5c6e8c0a0f0fca29ae794
SHA1: AFDCB6125B1C563D585F7A366B2F0E67485DE372
CRC32: c8f5711d

文件说明符 : c:\windows\362.VBS
属性 : A—
数字签名:否
PE文件:否
创建时间 : 2012-2-21 16:19:40
修改时间 : 2012-2-21 16:19:40
大小 : 111 字节
MD5 : ebacecdbb8a4f62f0b1a3e1d03d0c146
SHA1: 8A2D0840BB07070B8C04F440C47DD2285FB6BBD7
CRC32: 36e98201

文件说明符 : c:\windows\svhot.exe
属性 : A—
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1.00
产品版本 : 1.00
产品名称 : DHTMLProject
公司名称 : 微软中国
内部名称 : 1003
源文件名 : 1003.exe
创建时间 : 2012-2-21 16:14:5
修改时间 : 2012-2-21 16:14:5
大小 : 65536 字节 64.0 KB
MD5 : 3d8020fc70afec5fb479377c221f86dc
SHA1: 2EC8C288EE9290145F88C68334142520F3BAFB2E
CRC32: 8b2944db

文件说明符 : C:\Program Files\iexplores\iexplore.exe
属性 : A—
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-21 16:46:49
修改时间 : 2012-2-3 14:40:58
大小 : 146944 字节 143.512 KB
MD5 : b1ea74eaa518d6840ae93734f9b53e88
SHA1: DDD3E47A7DC64BA2BFDAF9952216E3814F6C2693
CRC32: d672c138

文件说明符 : C:\Documents and Settings\Local User\userdata.dll
属性 : -SHR
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2005-4-19 16:14:0
修改时间 : 2005-4-19 16:14:0
大小 : 103478 字节 101.54 KB
MD5 : c4a85d47e066767fa8a04dbfd0952c35
SHA1: E8292D673DF557F8880DE068904A4112E1B0857D
CRC32: 36fa7317

文件说明符 : C:\WINDOWS\system32\drivers\oshajf.sys
属性 : A—
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-21 16:14:0
修改时间 : 2008-4-14 20:0:0
大小 : 28976 字节 28.304 KB
MD5 : a22f2586ae56554598862c2004f2a4da
SHA1: BF41179BED54DA5167EB6E2B37710B60054DEA03
CRC32: 39ed9ea1

文件说明符 : C:\Documents and Settings\All Users\Application Data\VHQXVVM\pwimuj.bin
属性 : A—
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-21 16:47:48
修改时间 : 2008-4-14 20:0:0
大小 : 29440 字节 28.768 KB
MD5 : 639c17ec244e166807e6d0a82b5767ed
SHA1: BCE836F00EB288EC2B7A4AFD8D0E8E1FB5B16D44
CRC32: 251d4e90

文件说明符 : C:\Program Files\smss.exe
属性 : A—
数字签名:否
PE文件:是
语言 : 英语(美国)
文件版本 : 1, 0, 2, 21
说明 : NAdminAPI Module
版权 : (c) NHN Corporation. All rights reserved.
产品版本 : 1, 0, 2, 21
产品名称 : NAdminAPI Module
公司名称 : NHN Corp.
内部名称 : NAdminAPI
源文件名 : NAdminAPI.exe
创建时间 : 2012-2-21 16:7:16
修改时间 : 2012-2-21 16:7:18
大小 : 16442880 字节 15.697 MB
MD5 : be29845d09682d686b00daa179876151
SHA1: 811BD583C729D3AF8D1F5D9632B97F28CC540C42
CRC32: 74407bb4

 

文件说明符 : c:\windows\system32\explore.exe
属性 : A—
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 1, 0, 0, 1
说明 : tongji_ie_mfc Microsoft 基础类应用程序
版权 : 版权所有 (C) 2012
产品版本 : 1, 0, 0, 1
产品名称 : tongji_ie_mfc 应用程序
内部名称 : tongji_ie_mfc
源文件名 : tongji_ie_mfc.EXE
创建时间 : 2012-2-21 16:13:49
修改时间 : 2012-2-21 16:13:49
大小 : 7680 字节 7.512 KB
MD5 : 38c2364e92026113a0df8449fe012605
SHA1: 0B988059B908FE8443479586FAB4757694477913
CRC32: 53c63971

文件说明符 : d:\daili.exe
属性 : A—
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-21 16:12:12
修改时间 : 2012-2-21 16:12:17
大小 : 1859584 字节 1.792 MB
MD5 : 8cdc62230a77751b1fa8f18b3010ce6c
SHA1: BE24D8BCB2608A347042764CF8BD607651AE5A17
CRC32: 080ca542
 

文件说明符 : d:\daili.exe
属性 : A—
数字签名:否
PE文件:是
获取文件版本信息大小失败!
创建时间 : 2012-2-21 16:12:12
修改时间 : 2012-2-21 16:12:17
大小 : 1859584 字节 1.792 MB
MD5 : 8cdc62230a77751b1fa8f18b3010ce6c
SHA1: BE24D8BCB2608A347042764CF8BD607651AE5A17
CRC32: 080ca542

文件说明符 : D:\svchost.exe
属性 : A—
数字签名:否
PE文件:是
语言 : 中文(中国)
文件版本 : 2.14.16.34
说明 : 完整版
版权 : 作者版权所有 请尊重并使用正版
备注 : svchost
产品版本 : 2.14.16.34
产品名称 : misofot
创建时间 : 2012-2-21 16:9:39
修改时间 : 2012-2-21 16:48:46
大小 : 2601299 字节 2.492 MB
MD5 : bc37d9fae09e9a329ee48518f26d1518
SHA1: 727FF9A0CFFE8C235B6D388F4C1B6F22577FF5BB
CRC32: e914d888

 

   BTW,金山毒霸隔离区里的文件时只能恢复到原始位置,不如瑞星可以恢复到指定位置好使。