遭遇Cli5.exe,DNFchin.exe,362.VBS,,svhot.exe,userdata.dll,oshajf.sys等

　　昨天，一位朋友的電腦重裝系統沒幾天就出了問題：正常模式進入桌面後就卡住了，鼠標指針一直爲漏斗狀，無法操作。請我幫忙檢修。
　　朋友電腦桌面上有金山毒霸2012的圖標，但任務欄托盤區沒有金山毒霸監控程序的圖標。按 Ctrl+Alt+Del打開任務管理器，發現一些奇怪的進程。估計是中了惡意程序。

　　重啓電腦到帶網絡連接的安全模式下，用pe_xscan掃描log並分析，發現如下可疑項：

 

pe_xscan 11-03-17 by Purple Endurer

2012-2-23 10:44:50

Windows XP Service Pack 3(5.1.2600)

MSIE:6.0.2900.5512

管理員用戶組

帶網絡連接的安全模式

[System Process]*0

　　 C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||

C:\WINDOWS\system32\winlogon.exe*628|2008-4-24 0:14:3|Microsoft(R) Windows(R) Operating System|5.1.2600.5512|Windows NT Logon Application|(C) Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2113)|Microsoft Corporation|?|winlogon|WINLOGON.EXE

　　 C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||

C:\WINDOWS\system32\svchost.exe*948|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe

　　 C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

C:\WINDOWS\system32\svchost.exe*1096|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe

　　 c:\progra~1\%program files%\wdcp.dll|2012-2-21 16:19:42|QQ2010|1, 55, 1870, 1|QQ2010|Copyright ? 2010 Tencent. All Rights Reserved|1, 55, 1870, 1|Tencent||QQ2010|QQ2010

　　 C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

C:\WINDOWS\system32\svchost.exe*1128|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe

　　 C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

C:\WINDOWS\system32\userinit.exe*1488|2008-4-14 20:0:0

　　 C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

 C:\DOCUME~1\Cli5.exe*1496|2012-2-21 16:46:52|EngineClicker|1.00|?|?|1.00|微軟中國|?|EngineClicker4|EngineClicker4.exe

　　 C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||

　　 C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

C:\WINDOWS\explorer.exe*1520|2008-4-14 20:0:0|Microsoft(R) Windows(R) Operating System|6.00.2900.5512|Windows Explorer|(C) Microsoft Corporation. All rights reserved.|6.00.2900.5512 (xpsp.080413-2105)|Microsoft Corporation|?|explorer|EXPLORER.EXE

　　 C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||

　　 C:\Program Files\Common Files\whh37001.ocx|2012-2-21 16:8:6

　　 C:\WINDOWS\system32\yumsimg32.dll|2012-2-21 16:9:29|Microsoft? Windows? Operating System|5.1.2600.5512|GDIEXT Client DLL|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2105)|Microsoft Corporation|?|gdiext|gdiext

　　 C:\WINDOWS\system32\sysapp1.dll|2012-2-21 16:11:54

　　 C:\WINDOWS\system32\sysapp2.dll|2012-2-21 16:9:46

　　 C:\WINDOWS\system32\sysapp5.dll|2012-2-21 16:12:46

　　 C:\WINDOWS\system32\sysapp6.dll|2012-2-21 16:11:48

　　 C:\WINDOWS\system32\sysapp8.dll|2012-2-21 16:9:30

　　 C:\WINDOWS\system32\sysapp9.dll|2012-2-21 16:12:1

　　 C:\WINDOWS\system32\sysapp17.dll|2012-2-21 16:12:15

　　 C:\WINDOWS\system32\sysapp18.dll|2012-2-21 16:12:7

　　 C:\WINDOWS\system32\sysapp19.dll|2012-2-21 16:10:35

　　 C:\WINDOWS\system32\sysapp21.dll|2012-2-21 16:12:21

　　 C:\WINDOWS\system32\sysapp23.dll|2012-2-21 16:10:1

　　 C:\WINDOWS\system32\sysapp29.dll|2012-2-21 16:11:28

　　 C:\WINDOWS\system32\sysapp33.dll|2012-2-21 16:11:42

 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\pbhmcv.exe*1980|2012-2-23 10:37:35|DHTMLProject|1.00|?|?|1.00|微軟中國|?|1003|1003.exe

　　 C:\WINDOWS\system32\WHHFD008.OCX|2012-2-21 16:8:6|||Chinese (PRC)|Copyright(C) 2002|1, 0, 0, 1||||

　　 C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

F2 - REG: system.ini: UserInit = <C:\WINDOWS\system32\userinit.exe C:\DOCUME~1\Cli5.exe> |2008-4-14 20:0:0

F3 - REG: win.ini: load C:\WINDOWS\DNFchin.exe

O4 - HKCU\..\run: [LockIE] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ie.exe /r

O4 - HKLM\..\run: [OpwareSE4]  C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"

O4 - HKLM\..\run: [] file c:\windows\362.VBS

O4 - HKLM\..\run: [pp_click] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1544937.exe

O4 - HKLM\..\run: [ie] c:\windows\svhot.exe

O4 - HKLM\..\run: [cftmon] C:\Program Files\iexplores\iexplore.exe

O4 - HKLM\..\run: [Lll] %systemroot%\Lll.exe

O4 - Global Startup: 齊秀社區.lnk -> C:\Program Files\qixiu\Qixiu001.exe

 O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel 存在 IE或Internet選項可能受到限制

O10 - LSP: Phoenix11LSP1020211c over MSAFD Tcpip [TCP/IP] = C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

O10 - LSP: Phoenix11LSP1020211c over MSAFD Tcpip [UDP/IP] = C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

O10 - LSP: Phoenix11LSP1020211c over MSAFD Tcpip [RAW/IP] = C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

O10 - LSP: Phoenix11LSP1020211c = C:\Program Files\Common Files\001194EAce.dll|1658-2-24 3:26:51

O23 - 服務: 6to4 (VMserviceshi) - C:\WINDOWS\sYSTEM32\SVCHOST.EXE -K NETSVCS|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe

　　-> C:\Documents and Settings\Local User\userdata.dll|2005-4-19 16:14:0(自動)

O23 - 服務: AppMgmt (Application Management) - C:\WINDOWS\system32\svchost.exe -k netsvcs|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe

　　-> C:\Progra~1\%Program Files%\Wdcp.dll|2012-2-21 16:19:42|QQ2010|1, 55, 1870, 1|QQ2010|Copyright ? 2010 Tencent. All Rights Reserved|1, 55, 1870, 1|Tencent||QQ2010|QQ2010(自動)

O23 - 服務: gmsgqn () - C:\Documents and Settings\All Users\Application Data\QEILCRW\gmsgqn.bin|2012-2-21 16:14:36(自動)

O23 - 服務: HidServ (Human Interface Device Access) - C:\WINDOWS\System32\svchost.exe -k netsvcs|2008-4-14 20:0:0|Microsoft? Windows? Operating System|5.1.2600.5512|Generic Host Process for Win32 Services|? Microsoft Corporation. All rights reserved.|5.1.2600.5512 (xpsp.080413-2111)|Microsoft Corporation|?|svchost.exe|svchost.exe

　　-> C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\feguf.cc3|2012-2-21 16:13:15(自動)

O23 - 服務: jolrdk () - C:\Documents and Settings\All Users\Application Data\QEILCRW\jolrdk.bin(自動)

O23 - 服務: oshajf () - C:\WINDOWS\system32\drivers\oshajf.sys|2012-2-21 16:14:0(自動)

O23 - 服務: rsrqgp () - C:\Documents and Settings\All Users\Application Data\VHQXVVM\rsrqgp.bin(自動)

O23 - 服務: pwimuj () - C:\Documents and Settings\All Users\Application Data\VHQXVVM\pwimuj.bin|2012-2-21 16:47:48(自動)

O23 - 服務: SoftDaemo (SoftDaemo) - C:\WINDOWS\system32\drivers\SoftDaemo.sys|2012-2-23 10:37:26(手動)

O23 - 服務: 系統關鍵服務 (System Service) - C:\Program Files\smss.exe|2012-2-21 16:7:18|NAdminAPI Module|1, 0, 2, 21|NAdminAPI Module|(c) NHN Corporation. All rights reserved.|1, 0, 2, 21|NHN Corp.|?|NAdminAPI|NAdminAPI.exe(自動)

O25 - InsCom: {AENGFU3AA-B552-11d2-9CBD-0000F87A369E} = C:\WINDOWS\Tyuip\lsasp.exe

O25 - InsCom: {AENGFU3AA-B933-11d2-9CBD-0000F87A369E} = C:\WINDOWS\Qedie\conime.exe

O29 - HKCU-Start Page = hxxp://www.daohangbai.com

O29 - HKUS-Start Page = hxxp://www.114la.com/index.htm

O30 - OpenHttp =  C:\Program Files\Internet Explorer\iexplore.exe" hxxp://www.9966dh.com/?1(CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command) C:\Documents and Settings\Administrator\Application Data\Microsoft\Internet Explorer\Quick Launch

　　啓動 Internet Explorer 瀏覽器.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE hxxp://www.2345.com/?9011

　　 酷屏.lnk-> 非lnk文件

 C:\Documents and Settings\All Users\「開始」菜單\程序\啓動

　　齊秀社區.lnk -> C:\Program Files\qixiu\Qixiu001.exe

 C:\Documents and Settings\Default User\Application Data\Microsoft\Internet Explorer\Quick Launch

　　啓動 Internet Explorer 瀏覽器.lnk -> C:\Program Files\Internet Explorer\IEXPLORE.EXE hxxp://www.2345.com/?9011

 

 

　　有些惡意程序在安全模式下也啓動了。

　　本來想下載Dr.Web CureIt! 來查殺的，但剛打開下載頁面就卡住了！估計是O10組的惡意程序在做怪！

　　雙於桌面上的金山毒霸查圖標，打開金山毒霸查殺病毒，看看毒霸的查殺效果：

 

病毒查殺日誌 如下:

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:c:\progra~1\%program files%\wdcp.dll Win32.Troj.DeepScan.b.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Common Files\whh37001.ocx Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp1.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp2.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp5.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp6.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp8.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp9.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp17.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp18.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp19.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp21.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp23.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp29.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp33.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Internet Explorer\MSIMG32.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp1.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp2.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp5.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp6.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp8.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp9.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp17.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp18.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp19.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp21.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp23.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp29.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\sysapp33.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Internet Explorer\MSIMG32.dll Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Documents and Settings\Administrator\桌面\FileInfo.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Progra~1\%Program Files%\Wdcp.dll Win32.Troj.DeepScan.b.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Progra~1\%Program Files%\Wdcp.dll Win32.Troj.DeepScan.b.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\Tyuip\lsasp.exe Win32.TrojDownloader.Agent.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\Qedie\conime.exe Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Documents and Settings\All Users\Application Data\QEILCRW\gmsgqn.bin Win32.Troj.Generic.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\feguf.cc3 Win32.Hack.Unknown.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Documents and Settings\All Users\Application Data\Storm\update\%SESSIONNAME%\feguf.cc3 Win32.Hack.Unknown.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\Drivers\HTTP.sys Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Documents and Settings\All Users\Application Data\QEILCRW\gmsgqn.bin Win32.Troj.Generic.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\drivers\SoftDaemo.sys Win32.Troj.KillAV.nk.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\WHHFD008.OCX Win32.Troj.FakeIME.d.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\drivers\http.sys Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:c:\documents and settings\administrator\桌面\FileInfo.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\drivers\oshajf.sys.del Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\drivers\SoftDaemo.sys Win32.Troj.KillAV.nk.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\Program Files\Common Files\001194EAce.dll Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\userinit.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\arp.exe Win32.Hack.Delf.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\asipi.dll Win32.Troj.Generic.c.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\drivers\dv.dll Win32.TrojDownloader.VB.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:D:\daili.exe Win32.Troj.Agent.xb.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:D:\svchost.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\drivers\Setup1.exe Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\drivers\Setupa.exe Win32.Troj.Undef.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\drivers\Setupb.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\drivers\Setupc.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\drivers\smsoft.exe Win32.Malware.Heur_Generic.A.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:C:\WINDOWS\system32\drivers\svchost.exe Win32.TrojDownloader.VB.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 病毒***:c:\windows\system32\360ST.exe Win32.Troj.VB.(kcloud) 清除

[2012-02-23 11:50:58] 手動殺毒 C:\WINDOWS\DNFchin.exe 類型:啓動項殘留 安全級別:可疑  處理方式:清除

[2012-02-23 11:50:58] 手動殺毒 IE主頁設置選項存在異常 類型:系統異常項 安全級別:風險  處理方式:修復

[2012-02-23 11:50:58] 手動殺毒 IE默認首頁設置存在異常 類型:系統異常項 安全級別:風險  處理方式:修復

[2012-02-23 11:50:58] 手動殺毒 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ie.exe /r 類型:啓動項殘留 安全級別:可疑  處理方式:清除

[2012-02-23 11:50:58] 手動殺毒 g:\chenhu\chenznwb.exe ch 類型:啓動項殘留 安全級別:可疑  處理方式:清除

[2012-02-23 11:50:58] 手動殺毒 file:c:\windows\362.VBS 類型:啓動項殘留 安全級別:可疑  處理方式:清除

[2012-02-23 11:50:58] 手動殺毒 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\1544937.exe 類型:啓動項殘留 安全級別:可疑  處理方式:清除

[2012-02-23 11:50:58] 手動殺毒 c:\windows\svhot.exe 類型:啓動項殘留 安全級別:可疑  處理方式:清除

[2012-02-23 11:50:58] 手動殺毒 C:\Program Files\iexplores\iexplore.exe 類型:啓動項殘留 安全級別:可疑  處理方式:清除

[2012-02-23 11:50:58] 手動殺毒 %systemroot%\Lll.exe 類型:啓動項殘留 安全級別:可疑  處理方式:清除

[2012-02-23 11:50:58] 手動殺毒 IE功能設置被禁用 類型:系統異常項 安全級別:異常  處理方式:修復

[2012-02-23 11:50:58] 手動殺毒 註冊表中userinit鍵值存在異常 類型:系統異常項 安全級別:危險  處理方式:修復

[2012-02-23 11:50:58] 手動殺毒 註冊表Shell鍵值存在異常 類型:系統異常項 安全級別:危險  處理方式:修復

[2012-02-23 11:50:58] 手動殺毒 部分系統服務對應註冊表鍵值和文件異常問題 類型:系統異常項 安全級別:危險  處理方式:修復

[2012-02-23 11:50:58] 手動殺毒 部分系統服務對應文件異常 類型:系統異常項 安全級別:風險  處理方式:修復

[2012-02-23 11:50:58] 手動殺毒 系統常規文件存在異常 類型:系統異常項 安全級別:危險  處理方式:修復

[2012-02-23 11:50:58] 手動殺毒 可疑的啓動項 類型:系統異常項 安全級別:危險  處理方式:修復

[2012-02-23 11:50:58] 手動殺毒 系統常用文件存在異常 類型:系統異常項 安全級別:危險  處理方式:修復

[2012-02-23 11:50:58] 手動殺毒 感染型病毒及駐留系統中的病毒殘留 類型:系統異常項 安全級別:危險  處理方式:修復

[2012-02-23 11:50:58] 手動殺毒 C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe 類型:可疑啓動項 安全級別:未知  處理方式:禁用

[2012-02-23 11:50:58] 手動殺毒 C:\Program Files\Canon\MF Toolbox Ver4.9\MfTBox.exe 類型:可疑啓動項 安全級別:未知  處理方式:禁用

[2012-02-23 11:50:58] 手動殺毒 C:\Program Files\Common Files\Microsoft Shared\OFFICE11\MSOXMLED.EXE 類型:可疑啓動項 安全級別:未知  處理方式:禁用

[2012-02-23 11:50:58] 手動殺毒 C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE 類型:可疑啓動項 安全級別:未知  處理方式:禁用

[2012-02-23 11:50:58] 手動殺毒 C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE 類型:可疑啓動項 安全級別:未知  處理方式:禁用

[2012-02-23 11:50:58] 手動殺毒 C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe 類型:可疑啓動項 安全級別:未知  處理方式:禁用

[2012-02-23 11:50:58] 手動殺毒 C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE 類型:可疑啓動項 安全級別:未知  處理方式:禁用

[2012-02-23 11:50:58] 手動殺毒 C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE 類型:可疑啓動項 安全級別:未知  處理方式:禁用

[2012-02-23 11:50:58] 手動殺毒 C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE 類型:可疑啓動項 安全級別:未知  處理方式:禁用

[2012-02-23 11:50:58] 手動殺毒 C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE 類型:可疑啓動項 安全級別:未知  處理方式:禁用

[2012-02-23 11:50:58] 手動殺毒 C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE 類型:可疑啓動項 安全級別:未知  處理方式:禁用

[2012-02-23 11:50:58] 手動殺毒 C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE 類型:可疑啓動項 安全級別:未知  處理方式:禁用

 

　　由於userinit.exe被病毒替換了，需要補上一正常的，另外O10項也比較特殊，不修復的話會打不開網頁，於是在查殺過程中又下載金山衛士來檢修。

 

　　毒霸查殺結束後，按提示重啓電腦。

 

　　系統進入登錄界面後反覆登錄、註銷，典型的userinit.exe文件丟失後的症狀。

 

　　用win pe光盤啓動，用U盤從其它電腦中複製了userinit.exe到c:\windows\system32文件夾裏。再次重啓電腦。

 

　　這次順利進入桌面，毒霸和衛士的監控圖標都進駐系統托盤，金山衛士隨即提示發現100多個漏洞需要打補丁……

 

附　部分惡意文件信息：

 

文件說明符 : C:\DOCUME~1\Cli5.exe
屬性 : A---
數字簽名:否
PE文件:是
語言 : 中文(中國)
文件版本 : 1.00
產品版本 : 1.00
產品名稱 : EngineClicker
公司名稱 : 微軟中國
內部名稱 : EngineClicker4
源文件名 : EngineClicker4.exe
創建時間 : 2012-2-21 16:46:49
修改時間 : 2012-2-21 16:46:52
大小 : 106569 字節 104.73 KB
MD5 : 7e4cd025b1b27f184a48048b9858892a
SHA1: 4D90F828F6D2D85DE0A510A69F3F924FD3F963E6
CRC32: de1c372e

文件說明符 : C:\WINDOWS\DNFchin.exe
屬性 : A---
數字簽名:否
PE文件:是
語言 : 中文(中國)
文件版本 : 1.2.2.9
說明 : DNF Launcher
版權 : 作者版權所有 請尊重並使用正版
備註 : DNF
產品版本 : 1.2.2.9
產品名稱 : DNFchina
創建時間 : 2012-2-21 16:9:56
修改時間 : 2012-2-21 16:10:2
大小 : 5312512 字節 5.68 MB
MD5 : 28efa93866c5c6e8c0a0f0fca29ae794
SHA1: AFDCB6125B1C563D585F7A366B2F0E67485DE372
CRC32: c8f5711d

文件說明符 : c:\windows\362.VBS
屬性 : A---
數字簽名:否
PE文件:否
創建時間 : 2012-2-21 16:19:40
修改時間 : 2012-2-21 16:19:40
大小 : 111 字節
MD5 : ebacecdbb8a4f62f0b1a3e1d03d0c146
SHA1: 8A2D0840BB07070B8C04F440C47DD2285FB6BBD7
CRC32: 36e98201

文件說明符 : c:\windows\svhot.exe
屬性 : A---
數字簽名:否
PE文件:是
語言 : 中文(中國)
文件版本 : 1.00
產品版本 : 1.00
產品名稱 : DHTMLProject
公司名稱 : 微軟中國
內部名稱 : 1003
源文件名 : 1003.exe
創建時間 : 2012-2-21 16:14:5
修改時間 : 2012-2-21 16:14:5
大小 : 65536 字節 64.0 KB
MD5 : 3d8020fc70afec5fb479377c221f86dc
SHA1: 2EC8C288EE9290145F88C68334142520F3BAFB2E
CRC32: 8b2944db

文件說明符 : C:\Program Files\iexplores\iexplore.exe
屬性 : A---
數字簽名:否
PE文件:是
獲取文件版本信息大小失敗!
創建時間 : 2012-2-21 16:46:49
修改時間 : 2012-2-3 14:40:58
大小 : 146944 字節 143.512 KB
MD5 : b1ea74eaa518d6840ae93734f9b53e88
SHA1: DDD3E47A7DC64BA2BFDAF9952216E3814F6C2693
CRC32: d672c138

文件說明符 : C:\Documents and Settings\Local User\userdata.dll
屬性 : -SHR
數字簽名:否
PE文件:是
獲取文件版本信息大小失敗!
創建時間 : 2005-4-19 16:14:0
修改時間 : 2005-4-19 16:14:0
大小 : 103478 字節 101.54 KB
MD5 : c4a85d47e066767fa8a04dbfd0952c35
SHA1: E8292D673DF557F8880DE068904A4112E1B0857D
CRC32: 36fa7317

文件說明符 : C:\WINDOWS\system32\drivers\oshajf.sys
屬性 : A---
數字簽名:否
PE文件:是
獲取文件版本信息大小失敗!
創建時間 : 2012-2-21 16:14:0
修改時間 : 2008-4-14 20:0:0
大小 : 28976 字節 28.304 KB
MD5 : a22f2586ae56554598862c2004f2a4da
SHA1: BF41179BED54DA5167EB6E2B37710B60054DEA03
CRC32: 39ed9ea1

文件說明符 : C:\Documents and Settings\All Users\Application Data\VHQXVVM\pwimuj.bin
屬性 : A---
數字簽名:否
PE文件:是
獲取文件版本信息大小失敗!
創建時間 : 2012-2-21 16:47:48
修改時間 : 2008-4-14 20:0:0
大小 : 29440 字節 28.768 KB
MD5 : 639c17ec244e166807e6d0a82b5767ed
SHA1: BCE836F00EB288EC2B7A4AFD8D0E8E1FB5B16D44
CRC32: 251d4e90

文件說明符 : C:\Program Files\smss.exe
屬性 : A---
數字簽名:否
PE文件:是
語言 : 英語(美國)
文件版本 : 1, 0, 2, 21
說明 : NAdminAPI Module
版權 : (c) NHN Corporation. All rights reserved.
產品版本 : 1, 0, 2, 21
產品名稱 : NAdminAPI Module
公司名稱 : NHN Corp.
內部名稱 : NAdminAPI
源文件名 : NAdminAPI.exe
創建時間 : 2012-2-21 16:7:16
修改時間 : 2012-2-21 16:7:18
大小 : 16442880 字節 15.697 MB
MD5 : be29845d09682d686b00daa179876151
SHA1: 811BD583C729D3AF8D1F5D9632B97F28CC540C42
CRC32: 74407bb4

 

文件說明符 : c:\windows\system32\explore.exe
屬性 : A---
數字簽名:否
PE文件:是
語言 : 中文(中國)
文件版本 : 1, 0, 0, 1
說明 : tongji_ie_mfc Microsoft 基礎類應用程序
版權 : 版權所有 (C) 2012
產品版本 : 1, 0, 0, 1
產品名稱 : tongji_ie_mfc 應用程序
內部名稱 : tongji_ie_mfc
源文件名 : tongji_ie_mfc.EXE
創建時間 : 2012-2-21 16:13:49
修改時間 : 2012-2-21 16:13:49
大小 : 7680 字節 7.512 KB
MD5 : 38c2364e92026113a0df8449fe012605
SHA1: 0B988059B908FE8443479586FAB4757694477913
CRC32: 53c63971

文件說明符 : d:\daili.exe
屬性 : A---
數字簽名:否
PE文件:是
獲取文件版本信息大小失敗!
創建時間 : 2012-2-21 16:12:12
修改時間 : 2012-2-21 16:12:17
大小 : 1859584 字節 1.792 MB
MD5 : 8cdc62230a77751b1fa8f18b3010ce6c
SHA1: BE24D8BCB2608A347042764CF8BD607651AE5A17
CRC32: 080ca542
 

文件說明符 : d:\daili.exe
屬性 : A---
數字簽名:否
PE文件:是
獲取文件版本信息大小失敗!
創建時間 : 2012-2-21 16:12:12
修改時間 : 2012-2-21 16:12:17
大小 : 1859584 字節 1.792 MB
MD5 : 8cdc62230a77751b1fa8f18b3010ce6c
SHA1: BE24D8BCB2608A347042764CF8BD607651AE5A17
CRC32: 080ca542

文件說明符 : D:\svchost.exe
屬性 : A---
數字簽名:否
PE文件:是
語言 : 中文(中國)
文件版本 : 2.14.16.34
說明 : 完整版
版權 : 作者版權所有 請尊重並使用正版
備註 : svchost
產品版本 : 2.14.16.34
產品名稱 : misofot
創建時間 : 2012-2-21 16:9:39
修改時間 : 2012-2-21 16:48:46
大小 : 2601299 字節 2.492 MB
MD5 : bc37d9fae09e9a329ee48518f26d1518
SHA1: 727FF9A0CFFE8C235B6D388F4C1B6F22577FF5BB
CRC32: e914d888

 

 　　BTW，金山毒霸隔離區裏的文件時只能恢復到原始位置，不如瑞星可以恢復到指定位置好使。